1、漏洞预警:基于 RedHat 发行的 Apache Tomcat 本地提权漏洞
2016年 10月 11日,网上爆出 Tomcat本地提权漏洞,漏洞编号为 CVE-2016-5425。
此次受到影响的主要是基于 RedHat发行版 Apache Tomcat,包括 CentOS,RedHat,OracleLinux,Fedora等等。主要原因是普通Tomcat用户拥有权限来/usr/lib/tmpfiles.d/tomcat.conf 这个配置文件进行读写,那么该用户组成员或者拥有普通 Tomcat权限的 WebShell 可以将权限提升至 root级别。Redhat安全小组已经在第一时间修复了受影响的 Tomcat上游包,直接更新发行版提供的 Tomcat即可。
参考链接:
http://www.freebuf.com/news/116412.html
2、漏洞预警: Linux 内核 9年高龄的“脏牛”0day 漏洞
Linux 内核的内存子系统在处理写入时复制(copy-on-write, COW)时产生了竞争条件(race condition) 。恶意用户可利用此漏洞,来获取高权限,对只读内存映射进行写访问。竞争条件,指的是任务执行顺序异常,可导致应用崩溃,或令攻击者有机可乘,进一步执行其他代码。利用这一漏洞,攻击者可在其目标系统提升权限,甚至可能获得root权限。进行 Linux 内核维护的 Greg Kroah-Hartman宣布针对 Linux 4.8、4.7 和 4.4 LTS 内核系列的维护更新(更新后为 Linux kernel 4.8.3、4.7.9和 4.4.26 LTS) ,修复了该漏洞。
参考链接:
http://www.freebuf.com/vuls/117331.html
3、 信息安全资讯:新加坡正式公布网络安全策略
新华网 10 月 10 日消息 为期 3天的新加坡国际网络周 10 日拉开帷幕,新加坡总理李显龙在开幕式上正式宣布该国的网络安全策略,为新加坡加强网络安全建设做出规划。10日公布的网络安全策略包括四大要点,即建立具备较强适应性的基础设施,创造更加安全的网络空间,发展具有活力的网络安全系统及加强国际合作。李显龙还特别提到今年已开始试行的公务电脑与公共互联网连接分离计划。他表示,政府部长、高级别公务员及近半公共机构已开始执行这一计划, 预计 2017 年年中, 新加坡所有政府部门使用的电脑办公系统和公共互联网都将实现分离。
4、 信息安全资讯:第七届中国信息安全法律大会将召开 聚焦网络社会治理创新
法制网 10 月 21 日消息 从公安三所网络安全法律研究中心获悉,第七届中国信息安全法律大会将于 12 月14 日-15 日在上海召开。大会以“主权、治理、密码、执法”为主题,设大会主论坛和“关键信息基础设施保护” “网络社会治理创新” “网络安全法” “密码法闭门高端论坛”四个分论坛。此次大会由多家国家政府部门和中国网络空间安全协会联合指导,西安交通大学、公安部第三研究所、中国信息通信研究院互联网法律研究中心、北京邮电大学互联网治理与法律研究中心等单位联合承办。
5、信息安全资讯:“第五届全国信息安全等级保护技术大会”在昆明成功召开
新浪网 10月 19日消息 2016年 10月 10日, 第五届全国信息安全等级保护技术大会在云南昆明成功召开。本届大会由公安部第三研究所主办,公安部网络安全保卫局、中央网信办网络安全协调局、工信部网络安全管理局、国家密码管理局、国家保密局、中国科学院办公厅为本届大会指导单位。来自政府部门、企事业、科研院所等单位代表共计 550 余人参加了本届大会,征集论文稿件 486 篇。本届大会重点围绕新技术新应用环境下信息安全等级保护、关键信息基础设施和大数据安全、国内外网络安全政策与策略、网络安全态势监测与预警处置等主题展开了研讨交流。
/
网络安全