由于国内疫情的反复,很多高校都进入了校园封闭管理状态。各类信息化管理手段大幅提升了管控的效率,信息系统收集了大量用户信息进行分析,为精准的防控提供了数据依据。但校园网的管理者在做好防疫工作支持的同时,也要做好数据安全防护工作,尤其是与个人身份信息及隐私信息相关的防护工作。在与第三方公司合作时,需要事先签署数据管理协议,明确数据的收集和使用范围,保障数据安全及个人隐私信息安全。
2022年3月-2022年4月CCERT安全投诉事件统计
安全投诉事件数量整体保持稳中有降的趋势。随着各类针对挖矿行为的封禁措施生效,各类挖矿木马的功能也得到了抑制,但木马传播途径还在,需警惕相关木马被转换成勒索病毒。
近期新增严重漏洞评述
01
微软2022年4月的例行安全更新共涉及漏洞数118个,其中严重等级的漏洞2个,重要等级的漏洞87个,中危等级的漏洞29个。涉及的产品包括Windows系统和Windows组件、Microsoft Lightweight Directory Access、微软DNS服务、Microsoft Dynamics 365和Microsoft Dynamics、Microsoft Windows Local Security Authority Subsystem Service、Microsoft Windows File等产品。两个高危漏洞为Windows Network File System代码注入漏洞(CVE-2022-24491)和Windows Remote Procedure Call Runtime代码注入漏洞(CVE-2022-26809)。鉴于上述漏洞带来的风险,建议用户尽快使用Windows自带的更新功能进行更新。
02
Oracle今年二季度的安全公告,修复了其多款产品存在的520个安全漏洞,其中包括近300个可以在没有身份验证的情况下远程利用的漏洞。这些漏洞中有75个被评为“严重程度”,包括三个CVSS得分为10的漏洞,其余40多个漏洞的CVSS得分在8~9之间。值得关注的是,公告里也包含了多个补丁用来修补之前的Spring框架漏洞(CVE-2022-22965和CVE-2022-22963)。建议用户根据使用情况尽快进行补丁更新。
03
本月Apache官方发布了新版本(2.5.30),用于修补一个Apache Struts2中的代码注入漏洞(CVE-2021-31805),该漏洞是由于前两年Struts2代码注入漏洞(CVE-2020-17530)的修补不够完整而导致的。攻击者利用该漏洞可以在目标服务器上执行任意代码,建议相关管理员根据使用情况进行升级。
升级的信息可以参见:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30
04
VMware发布了安全更新,用于修补部分产品中涉及的Spring4Shell远程代码执行漏洞(CVE-2022-22965),影响的产品包括WMware TAS,WMware Ops Manager和VMware TKGI。由于Spring是嵌入到软件中的,所以用户只能通过升级相关产品才能防范相关漏洞。建议使用WMware产品的管理员尽快根据使用情况进行版本更新。
05
Chrome浏览器发布最新的版本,用于修补之前版本中存在的多个漏洞,其中包括一个在野被利用的0day漏洞(CVE-2022-1364),该漏洞存在于V8引擎中,这是今年以来Chrome修补的第三个0day漏洞。建议用户开启Chrome浏览器的自动更新功能及时进行更新,并尽量不要点击来历不明的网页链接。
安全提示
《个人信息保护法》已于2021年11月1日起开始实施。根据相关法规的规定,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。个人信息处理者的义务在《个人信息保护法》的第五章中有详细要求,建议数据管理者参照执行。疫情期间收集和处理个人信息适用《个人信息保护法》第十三条中的第四种情况(为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需),可无需用户授权就收集使用,但数据使用范围需严格限制在疫情防控需求中,并且要注意个人行踪信息属于敏感的个人信息,需要较高的保护级别。
作者:郑先伟(中国教育和科研计算机网应急响应组)
责编:项阳
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。