网安周报|CISA发布增强开源安全性的计划

1、CISA发布增强开源安全性的计划

美国一家领先的安全机构发布了一项期待已久的计划,详细说明了它将如何增强联邦政府和整个生态系统的开源安全性。美国网络安全和基础设施安全局(CISA)开源软件安全路线图在安全开源峰会上发布。据估计,解决开源软件中的网络风险是拜登政府的一个关键优先事项,因为 96% 的代码库包含开源代码。CISA警告了两个关键风险:Log4j等开源组件漏洞的"级联"影响,以及对开源存储库的供应链攻击,其中包括试图破坏开发人员帐户和/或将后门恶意软件滑入软件包的攻击者。

参考链接:

https://www.infosecurity-magazine.com/news/cisa-plan-enhance-open-source/

2、GitHub 曝出严重漏洞,或使4,000多个存储库遭受劫持攻击

新发现显示,GitHub中披露的新漏洞可能已经暴露了数千个面临重新劫持攻击风险的存储库。该漏洞可能允许攻击者利用GitHub存储库创建和用户名重命名操作中的竞争条件,成功利用此漏洞会影响开源社区,因为它可以劫持 Go、PHP 和 Swift 等语言的 4,000 多个代码包,以及 GitHub 操作。

参考链接:

https://thehackernews.com/2023/09/critical-github-vulnerability-exposes.html

3、免费下载管理器可能对Linux机器进行供应链攻击

巴斯基研究人员研究发现,"免费下载管理器"软件的 Debian 存储库具有针对Linux攻击活动,通过对免费下载管理器组织域fdmpkg进行开源检查发现,恶意的Debian软件包可能是通过供应链攻击,通过freedownloadmanager[.]org网站分发的。但是并非所有情况下都会重定向到恶意deb.fdmpkg[.]org域,它可能会以某种概率出现或基于潜在受害者的数字指纹。

参考链接:

https://securelist.com/backdoored-free-download-manager-linux-malware/110465/

4、Microsoft 发现影响 Linux 和 macOS 系统的 ncurses 库中的缺陷

在 ncurses(新诅咒的缩写)编程库中发现了一组内存损坏缺陷,威胁参与者可以利用这些缺陷在易受攻击的 Linux 和 macOS 系统上运行恶意代码。Microsoft的代码审计和模糊测试发现,ncurses 库搜索多个环境变量,包括 TERMINFO,这些变量可能被毒害并与已识别的缺陷相结合以实现权限提升,并在目标程序的上下文中运行代码或执行其他恶意操作。

参考链接:

https://thehackernews.com/2023/09/microsoft-uncovers-flaws-in-ncurses.html

相关推荐
国服第二切图仔1 小时前
文心开源大模型ERNIE-4.5-0.3B-Paddle私有化部署保姆级教程及技术架构探索
百度·架构·开源·文心大模型·paddle·gitcode
钱彬 (Qian Bin)1 小时前
一文掌握Qt Quick数字图像处理项目开发(基于Qt 6.9 C++和QML,代码开源)
c++·开源·qml·qt quick·qt6.9·数字图像处理项目·美观界面
步、步、为营2 小时前
.net开源物联网项目IoTSharp
物联网·开源·.net
Whoisshutiao2 小时前
网安-XSS-pikachu
前端·安全·网络安全
斯~内克3 小时前
Centrifugo 深度解析:构建高性能实时应用的开源引擎
前端·开源
说私域5 小时前
基于开源AI智能名片链动2+1模式的S2B2C商城小程序:门店私域流量与视频号直播融合的生态创新研究
人工智能·小程序·开源
说私域7 小时前
传统微商困境与开源链动2+1模式、AI智能名片及S2B2C商城小程序的转型破局
人工智能·小程序·开源
不讲道理的柯里昂9 小时前
Vue MathJax Beautiful,基于Mathjax的数学公式编辑插件
vue.js·开源
FIT2CLOUD飞致云10 小时前
多项功能优化与改进,1Panel开源面板v2.0.3版本发布
开源
Qiuner11 小时前
【源力觉醒 创作者计划】开源、易用、强中文:文心一言4.5或是 普通人/非AI程序员 的第一款中文AI?
人工智能·百度·开源·文心一言·gitcode