【摘要】 CGS可扫描SWR中的私有镜像，自动检测镜像的安全问题并提供漏洞报告和解决方案，助您在容器构建开发阶段就得到安全可信的镜像文件。镜像是容器运行的基础，在容器的构建开发阶段，镜像一旦存在漏洞，就有可能导致在后续运行环境里面所有运行这个镜像的容器都存在安全问题。例如，镜像中的软件存在漏洞、镜像存在病毒后门，就可能导致容器被不法分子控制利用，从而导致容器中的敏感信息被泄露、整个系统沦陷等风险。那么，如何在构建开发阶段排查镜像的安全性呢？华为云容器安全服务（Container Guard Servic，CGS）的私有镜像漏洞扫描功能帮助您解决这个困扰，让您在容器构建开发阶段就能发现镜像的安全问题，得到一个安全可靠的镜像文件，避免使用危险镜像进行开发。目前，私有镜像扫描功能支持对基于Linux操作系统制作的容器镜像进行检测，且是免费的哦~~还没有开通CGS的用户来体验本节课程的操作？戳这里，了解开通CGS。玩转CGS私有镜像安全扫描CGS支持对容器镜像服务（Software Repository for Container，SWR）中的自有镜像进行检测。将自有镜像上传至SWR，然后更新到CGS后，CGS即可在每日凌晨自动检测更新的镜像。检测完成后，您就可以查看漏洞报告和根据提供的解决方案对镜像进行修复和调整。现在教大家一个口诀，“一更二查三修复”，完成这三个步骤，您就能得到一个安全可靠的镜像文件啦~~【一更】从SWR更新镜像若SWR镜像已更新到CGS，您可以跳过此步骤，直接查看镜像版本的漏洞报告。步骤1：登录管理控制台。步骤2：在页面上方选择区域后，单击，选择“安全 > 容器安全服务”。步骤3： 在左侧导航树中，选择“镜像列表”，进入“镜像列表”界面。步骤4：选择“私有镜像仓库”页签。步骤5： 单击“从SWR更新镜像”，更新镜像到CGS私有镜像仓库。CGS对镜像进行检测需要一段时间，百兆级的镜像，大概需要10分钟左右，扫描耗时随镜像的规模增大而延长。请您过一段时间在进行刷新查看哦~~ 【二查】查看镜像版本的漏洞报告步骤1：自动检测完成后，在需要查看漏洞报告的镜像左侧，单击展开该镜像的版本列表，然后单击“漏洞报告”，查看该镜像各个版本的漏洞报告。步骤2：漏洞报告按照“需尽快修复”、“可延后修复”、“暂可不修复”三个漏洞等级汇总漏洞信息，并且展示了漏洞的具体信息以及相应的漏洞解决方案。小窍门对于漏洞的修复或调整，您可以根据自身业务情况进行选择性修复，对系统影响较小的镜像，可不进行修复【三修复】对镜像进行修复或调整单击解决方案列的链接，根据解决方案对该镜像版本进行修复和调整。修复和调整后，您就可以得到一个安全可信的镜像啦~~对于私有镜像，CGS还提供了恶意文件、基线配置、软件信息和文件信息的检测，有没有很心动，赶紧戳它了解详情吧~~更多关于CGS的功能，戳这里安全无小事，时刻需警惕。2020，华为云普惠云安全，为您的网站、主机、数据提供免费云体检，还有一站式过等保贴心指导，赶紧戳这里，了解详情吧！

在使用漏洞扫描工具之前先查阅了华为云DevOps的相关资料，我了解到到DevOps 的本质，DevOps从本质来讲只是倡导开发运维一体化的理念（MindSet）。这个理念的提出是为了解决很多企业面临的转型挑战，也就是将业务数字化，并且缩短数字化业务上线的周期，快速试错，快速占领市场。DevOps并没有改变固有的软件生命周期：需求，设计，开发，测试，交付。但伴随着基础设施，软件设计方法等的改变，软件开发的思路，或者方式产生了比较大的变化。DevOps带来的最大好处是，软件生命周期数据链路的打通这不仅仅是运维和开发的结合。从顶层视角看，这是业务和生产的紧密结合。以前从业务和开发是脱节的。想要查看需求的实现进度，需要大量的人工汇报，更别提运营了。而现在以一个微服务实现一个特性的粒度来看，可以从需求，开发，测试，部署一直追溯到这个特性运营情况。这也是DevOps成为数字化企业基因的原因，业务和生产实现了完美的结合。从敏捷实践的角度来讲，你会发现开发组织中参与者好似生物体中的神经元，大家各司其职，自成一体，接受反馈，并向外主动反馈。团队的自组织使得工作更加自然，能产生更大的效能。由以前的项目经理驱动，改为自我驱动的协作方式。每个人都可以给相关的团队以及责任人提需求，大家有机的协调在一起。天津市大学软件学院魏家豪 

按照实验指导书完成DevStar增值税发票文字识别应用体验按照实验指导书完成VSS漏洞扫描产品体验二进制，根据指导对这些项目有了一些了解，也懂得了基础操作。

- News -1.俄罗斯黑客对奥地利、爱沙尼亚进行侦察https://www.bleepingcomputer.com/news/security/russian-hackers-perform-reconnaissance-against-austria-estonia/?&web_view=true2.伪造沙特阿拉伯一石油供应商发布采购订单的电子钓鱼邮件中带有GuLoader的可执行文件https://www.fortinet.com/blog/threat-research/spoofed-saudi-purchase-order-drops-guloader?&web_view=true3.勒索软件在 2021 年主导了威胁格局https://www.techtarget.com/searchsecurity/news/252520585/Verizon-DBIR-Ransomware-dominated-threat-landscape?&web_view=true4.通用汽车遭撞库攻击被暴露车主个人信息https://www.freebuf.com/news/334080.html5.支付巨头PayPal曝大漏洞，黑客可直接窃取用户资金https://www.freebuf.com/news/334074.html6.俄罗斯拥有可操纵社交媒体趋势的强大僵尸网络https://www.secrss.com/articles/427397.国际刑警组织：国家网络武器将很快在暗网上出现https://www.secrss.com/articles/427408.俄最大银行遭到最严重DDoS攻击，普京称正经历“信息空间战争”https://mp.weixin.qq.com/s/6yzsgh6yXJqKdNjn4mJBZQ9.朝鲜黑客组织Lazarus利用Log4J攻击VMware服务器长达数月之久https://mp.weixin.qq.com/s/rjiTAdX98QPaezIIOpCfbg10.警惕！强制渗透测试式勒索攻击--新的“勒索之家”组织创立了新勒索市场并公布了第一批受害者https://mp.weixin.qq.com/s/LZpq41jVK-r750tBYzDXDA

1.我首先自己在非官方下载了可能有风险的应用，应用截图如下：一般下载软件都是在官方下载，但是有些时候一些软件可能找不到官网，这时我们可能就会在非官方页面下载有风险的应用，我下载的宙斯浏览器就是这样的情况，对于可能有风险的应用，我使用华为提供的华为云VSS移动应用安全服务对该应用进行了安全检查，检查结果如下：检测用时非常短，只有不到2毫秒的时间就出结果了，而结果也如我所料，该应用确实存在风险：可以看到该应用存在1个高危风险，39个中危风险，61个低危风险，华为的移动应用安全检测服务可以将这些风险漏洞检测出来，并且提供详细信息，详细信息如下：华为的移动应用安全服务不仅检测出了这些漏洞，并且提供了漏洞的详细信息，说明检测服务还是非常给力的，对于普通用户来说，如果怀疑某个应用有风险，可以将该应用提交给华为移动安全检测服务进行检测，根据检测结果来判断是否安装该应用，对于开发者来说，可以根据检测结果对应用进行漏洞修复。华为云VSS移动应用安全服务体验

活动已结束，如有问题可加群反馈活动说明:软件的安全和合规越来越受重视，想快捷了解自己开发出的软件包是否存在合规或安全怎么办？二进制成分分析服务给你解决，一键自动化扫描软件包/固件，即可快速排查，快来免费体验，现在体验还有机会赢取手环、帆布包、运动汗巾等好礼！体验指导书>>>活动时间：即日起至礼品放完为止激励概览：心得文章投稿须知>>>注意事项：1、请务必使用个人账号参与活动（IAM、企业账号等账号参与无效）；2、华为云新用户定义：2022年5月16日后注册华为云账号的用户；3、一个新用户最多获取一次“新用户体验有奖”奖项，不能再获得其他三个活动的该奖项，但可以参与其余三个同期体验活动的体验抽奖（其余三个活动可进群了解）；4、只有完成产品体验并截图回帖后再进行问卷抽奖才算有效。否则并不具备获奖资格，将不会发放奖品；5、用户回帖只会仅楼主可见，以防冒用截图；6、截图务必包含华为云账号；7、获奖名单将于每月底统一公布直至礼品发放完毕，届时将发布兑奖方式。8、本活动最终解释权归华为云所有。获奖公示：奖品公示（截至5月30日）：如有异议请加入体验群进行反馈，谢谢！恭喜以上获奖小伙伴，请获奖小伙伴2022年6月10日之前点链接>>>填写领奖信息，逾期将自动视为放弃，礼品将于15个工作日内安排发放，请耐心等待~奖品公示（6月1日-6月30日）：如有异议请加入体验群进行反馈，谢谢！恭喜以上获奖小伙伴，请获奖小伙伴2022年7月15日之前点链接>>>填写领奖信息，逾期将自动视为放弃，礼品将于15个工作日内安排发放，请耐心等待~活动答疑群：解锁问卷答案：问题：华为云漏洞扫描服务本次大会发布的最新特性是什么？答案：A.移动应用安全扫描、二进制成分分析

当今社会物联网设备已经逐步渗透到人们生产生活的方方面面，为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高，物联网设备的安全性问题也逐渐影响到人们的正常生活，甚至生命安全，物联网设备安全不容小觑。以下为近日的物联网安全新闻内容。易于利用的 Linux 漏洞为攻击者提供 root 访问权限 (CVE-2022-0847)Linux 内核中的一个易于利用的漏洞 (CVE-2022-0847) 可以被本地非特权用户利用已经公开的漏洞利用来获得易受攻击系统的 root 权限。该漏洞由安全研究员 Max Kellermann 发现，由于其与Dirty Cow漏洞相似，他将其称为 Dirty Pipe，已经在 Linux 内核和 Android 内核中进行了修补。受影响的 Linux 发行版正在推出带有补丁的安全更新。关于漏洞 (CVE-2022-0847)CVE-2022-0847 是 Linux 内核处理管道缓冲区标志的方式中的一个缺陷，它允许攻击者覆盖只读文件和 SUID 二进制文件中的数据以实现 root 访问。详文阅读：https://www.helpnetsecurity.com/2022/03/08/cve-2022-0847/ICS 漏洞披露在过去四年中激增 110%根据 Claroty 发布的一项研究，工业控制系统 (ICS)漏洞披露在过去四年中增长了惊人的 110%，与前六个月相比，2021 年下半年 (2H) 增长了 25%。该报告还发现，ICS 漏洞正在从运营技术 (OT) 扩展到扩展物联网 (XIoT)，到 2021 年 2 月，有 34% 的漏洞影响 IoT、IoMT 和 IT 资产。Claroty研究副总裁Amir Preminger说：“随着越来越多的网络物理系统相互连接，从互联网和云中访问这些网络需要防御者拥有及时、有用的漏洞信息来为风险决策提供信息。”“数字化转型的增加，加上融合的 ICS 和 IT 基础设施，使研究人员能够将他们的工作从 OT 扩展到 XIoT。2021 年第二季度备受瞩目的网络事件，例如 Tardigrade 恶意软件、Log4j漏洞和对 NEW Cooperative 的勒索软件攻击，显示了这些网络的脆弱性，强调了安全研究社区合作发现和披露新漏洞的必要性。”主要发现ICS 漏洞披露在过去四年中增长了 110%，这表明人们对该问题的认识有所提高，以及安全研究人员越来越多地参与到转向 OT 环境的过程中。2021 年 2 月发布了 797 个漏洞，比 2021 年 1 月的 637 个增加了 25%。34% 披露的漏洞影响 IoT、IoMT 和 IT 资产，表明组织将在融合安全管理下合并 OT、IT 和 IoT。因此，资产所有者和运营商必须全面了解其环境，以便管理漏洞并减少风险。50% 的漏洞是由第三方公司披露的，其中大部分是由网络安全公司的研究人员发现的，他们将重点转移到 ICS 以及 IT 和物联网安全研究。此外，55 名新研究人员在 2021 年 2 月报告了漏洞。内部供应商研究披露的漏洞在过去四年中增长了 76%。这表明了围绕漏洞研究的成熟行业和学科，因为供应商正在为其产品的安全性分配更多资源。87% 的漏洞都是低复杂性的，这意味着它们不需要特殊条件，并且攻击者每次都可以获得可重复的成功。70% 的漏洞在成功利用漏洞之前不需要特殊权限，64% 的漏洞不需要用户交互。所披露的漏洞中有 63% 可能通过网络攻击向量远程利用，这表明对安全远程访问解决方案的需求（由于COVID-19大流行而加速）将继续存在。主要的潜在影响是远程代码执行（普遍存在于 53% 的漏洞中），其次是拒绝服务条件（42%）、绕过保护机制（37%）和允许攻击者读取应用程序数据（33%） .最重要的缓解措施是网络分段（在 21% 的漏洞披露中推荐），其次是勒索软件、网络钓鱼和垃圾邮件防护 (15%) 和流量限制 (13%)。详文阅读：https://www.helpnetsecurity.com/2022/03/08/ics-vulnerability-disclosures-grew/CPU 又曝大 bug，涉及英特尔、AMD、ARM近日，VUSec安全研究人员发布了技术报告，披露了一个新的Spectre类投机执行漏洞，详细介绍了一种新的攻击方法，即利用分支历史注入 (BHI) 来绕过所有现有的缓解措施。报告强调，虽然现有的硬件缓解措施可以防止非特权攻击者向内核注入预测器条目，但是通过攻击分支全局历史将会是一种全新的攻击方法。对目标系统具有低权限的恶意攻击者可以毒化此历史记录，以迫使操作系统内核错误预测可能泄漏敏感数据。为了进一步证明漏洞可用性，安全研究人员还发布了概念证明（PoC）测试，展示了任意内核内存泄漏，成功披露了易受攻击的系统的哈希密码。该漏洞影响到自Haswell以来推出的任何英特尔CPU，包括Ice Lake-SP和Alder Lake。受影响的ARM CPU包括Cortex A15/A57/A65/A72/A73/A75/A76/A77/A78/X1/X2/A710、Neoverse N2/N1/V1和博通Brahma B15。ARM的漏洞编号是CVE-2022-23960，Intel的漏洞编号CVE-2022-0001和CVE-2022-0002。详文阅读：https://hackernews.cc/archives/37723TLStorm 2.0：广泛使用的 Aruba、Avaya 网络交换机中的严重错误Armis 研究人员在多种网络交换机模型中发现了 TLS 通信实施过程中的五个关键漏洞。这些漏洞统称为 TLStorm 2.0，源于 TLStorm 漏洞中发现的类似设计缺陷，将 TLStorm 的范围扩大到数百万额外的企业级网络基础设施设备。不过，好消息是，没有迹象表明它们已被野外攻击者利用。发现2022 年 3 月，Armis 首次披露了 TLSstorm，这是 APC Smart-UPS 设备中的三个关键漏洞，攻击者可以在没有用户交互的情况下从互联网上控制它们，导致 UPS 过载并最终在烟雾中自毁。这些漏洞的根本原因是对 Mocana 流行的 TLS 库 NanoSSL 的滥用。使用 Armis 知识库，他们的研究人员使用 Mocana NanoSSL 库识别了数十种设备。调查结果不仅包括 APC Smart-UPS 设备，还包括受到库的类似实施缺陷影响的两家流行的网络交换机供应商。虽然 UPS 设备和网络交换机在网络内的功能和信任级别不同，但潜在的 TLS 实施问题会带来毁灭性的后果。新的 TLStorm 2.0 研究揭示了漏洞，这些漏洞可能允许攻击者完全控制全球机场、医院、酒店和其他组织中使用的网络交换机。受影响的供应商是 Aruba（被 HPE 收购）和 Avaya Networking（被 ExtremeNetworks 收购）。详文阅读：https://www.helpnetsecurity.com/2022/05/03/tlstorm-2-0/严重漏洞使 Synology、QNAP NAS 设备容易受到攻击建议 Synology 和 QNAP 网络附加存储 (NAS) 设备的用户寻找影响Netatalk的几个关键漏洞的补丁，Netatalk是 Apple 归档协议 (AFP) 的开源实现，允许类 Unix 操作系统为 Mac 提供文件服务器。没有迹象表明它们目前正被野外攻击者利用，但在补丁可用之前，用户应实施公司描述的缓解措施。关于 Netatalk 漏洞网络附加存储 (NAS) 设备通常由中小型企业和家庭用户用于存储和共享文件和备份。此外，它们经常暴露在公共互联网上，使攻击者也可以访问它们。影响一些最广泛使用的 NAS 设备的漏洞经常被利用来秘密挖掘加密货币或遭到破坏，其内容被盗或加密并被勒索赎金。报告了当前存在问题的漏洞，其中一些漏洞在 Pwn2Own 2021 黑客竞赛中被利用。它们已在 3 月份的 Netatalk v3.1.1 中进行了修补，但新版本尚未传播到一些受影响的设备。他们有问题的漏洞是：CVE-2022-0194、CVE-2022-23122 和 CVE-2022-23125，可用于实现未经身份验证的远程代码执行CVE-2022-23123 和 CVE-2022-23124 – 两个敏感信息泄露漏洞CVE-2022-23121 和 CVE-2021-31439，这两个漏洞可能允许网络相邻攻击者在受影响的安装上执行任意代码详文阅读：https://www.helpnetsecurity.com/2022/04/29/nas-devices-vulnerabilities/

【HCSD集训营】软件流水线专场活动开始啦！参加活动获取积分就能获得华为云官方结业证书！成为简历加分项！获奖名单（兑奖时间截至2022年10月9日12:00，过期未兑奖将视为自动放弃）实体奖品将按照问卷中所填信息进行邮寄，结业证书将在兑奖结束后在本帖下自行下载经专家评判，回帖中没有专业性并具有建设性的意见和建议，所以第一名奖项空缺兑奖方式：>>问卷填写获奖信息<<如何参与活动进行报名——领取免费套餐——完成打卡体验——本帖回复体验完成截图&心得反馈活动详情请关注报名页面回帖规则：1、报名后，请首先领取免费产品资源，否则其他积分将不作数：2、将最终打卡完成截图和心得体会统一在本帖下一次性回帖，多次回复将不做数，最终只按照最后一次回帖为准；注意是在本帖下方回帖，不要自己新建帖子，那样我们将看不到你的心得！注意：回帖要包含华为云账号，否则影响积分和奖品发放3、心得体会包含但不局限于,只有有效回帖才能获得此部分积分①用户对产品的评测，优点、缺点②希望能用到的场景③产品优化建议注意事项：1、请务必使用个人账号参与活动（IAM、企业账号等账号参与无效）；2、学习积分排名一致，则按加入课堂学习的时间先后为标准，进行排名；3、本次活动，活动获奖名单预计于活动结束后10个工作日内完成公示，15个工作日内完成奖品发放，发放时间根据实际情况动态调整，如有延期敬请见谅；4、本次活动参与用户需真实有效，如有虚假、黑产等行为，一律通报、剔除活动参与资格；5、活动解释权归华为云所有。【活动交流】活动交流答疑请务必扫码加入企业微信群，群里会不定时公布活动重要信息、获奖名单、培训信息、有奖竞答提醒等内容。

近日， 安全牛发布了《中国网络安全行业全景图（第九版）》，对我国网络安全产业整体发展情况和细分领域代表厂商进行了展现。《中国网络安全行业全景图（第九版）》（以下简称“全景图”）已于2022 年 3 月 31 日发布，是国内影响力最大的网络安全专业媒体和旗舰智库安全牛团队，基于对我国安全行业的调研和积累，并结合网络安全厂商产品信息而推出的行业图谱，自2016年9月首次推出以来，备受行业关注。作为业界知名的多云管理平台，行云管家此次入围了2大安全分类、2项安全领域：身份和访问安全、云计算安全。此次（第九版）全景图包含14项一级安全分类，94项二级安全分类，共收录433家国产网络安全企业和相关行业机构，二级细分领域共收录2609项。行云管家是国内唯一一家以SaaS形态提供的多云管理平台，目前已成功服务十万家企业级用户，实现了对多家云厂商多种云计算资源的集中管理，从成本、自动化运维、监控、合规审计、多云纳管、云资源全生命周期等多个维度提供统一运维管控，对企业而言，只需一个控制台，即可整合操作多个公有云、多个私有云 、混合云以及各种异构资源，从而进行灵活的资源管理与运维。行云管家在多云管理领域助力云计算产业发展，秉承科技引领创新、技术驱动未来的使命，通过市场验证，再次入选全景图以下分类：身份与访问安全、云计算安全。作为云计算领域的重要技术分支，云管平台（Cloud Management Platform，简称CMP）的出现是为了帮助众多企业充分利用云计算最大效能的保证，而作为业界领先的多云管理平台和技术独立的第三方云管平台，行云管家为企业用户提供了针对多家云厂商、多种云资源的一站式管理解决方案，帮助我们的客户易上云、用好云、管好云。行云管家作为国内技术领先的云堡垒机安全产品和多云管理服务提供商，多年来一直在云管领域专注多云异构环境下的运维管理难题，凭借其优异的产品能力和服务质量多次上榜《中国网络安全行业全景图》，获得资本、市场和用户的广泛认可。今后，行云管家将持续提升产品研发能力，进一步深耕和打磨产品使用体验，并联合众多渠道与伙伴，共同打造企业云服务良好的生态环境，助力企业数字化、智能化转型升级。

近日，华为云安全团队关注到Apache Log4j2 的远程代码执行最新漏洞。Apache Log4j2是一款业界广泛使用的基于Java的日志工具，该组件使用范围广泛，利用门槛低，漏洞危害极大。华为云安全在第一时间检测到漏洞状况并在官网发布相关公告，在此提醒使用Apache Log4j2的用户尽快安排自检并做好安全防护。公告详情： https://www.huaweicloud.com/notice/2021/20211210001621800.html 扫码查看Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。此次曝出的漏洞，利用门槛低，漏洞危害极大，威胁级别定义为严重级。此漏洞存在于Apache Log4j 2.x到 2.15.0-rc1多个版本，已知受影响的应用及组件包括spring-boot-starter-log4j2 / Apache Solr / Apache Flink / Apache Druid等。华为云安全在第一时间提供了对该漏洞的防护。仅仅过去数小时，华为云WAF就在现网中拦截了Apache Log4j2 远程代码执行漏洞的大量变形攻击，通过分析发现攻击者正在不断尝试新的攻击方法，当前已识别到10+种试图取得服务器控制权的变形攻击。鉴于此漏洞威胁级别高，而且出现大量变形攻击，因此华为云安全团队提醒客户及时进行检测、采取处置措施和开启防护服务。漏洞处置1. 尽快升级至Apache log4j-2.15.0-rc2官方正式版，Apache官方已发布补丁，下载地址：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2 2. 对于无法短时间升级新版本的情况，建议采取如下措施来缓解： (优先) 添加以下JVM启动参数来禁止解析JDNI，重启服务，jvm参数 -Dlog4j2.formatMsgNoLookups=truelog4j2配置中设置log4j2.formatMsgNoLookups=True 禁止解析JDNI系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true确保使用高版本JDK，如JDK8u191默认限制远程加载恶意类(只能增加漏洞利用难度，不能杜绝)禁止没有必要的业务访问外网开启防护服务，主动检测和动态防护华为云安全持续监测此漏洞及其变种攻击，建议开启相关安全防护服务，主动扫描防护利用此漏洞进行的恶意攻击：1. 开启华为云WAF的基础防护功能（WAF标准版、专业版或铂金版），检测和拦截各种变形攻击，您可免费申请1个月标准版试用。产品页： https://www.huaweicloud.com/product/waf.html 扫码进入产品页在华为云WAF控制台，防护策略->Web基础防护，开启状态，设置拦截模式，开启华为云WAF的Web基础防护功能。2. 开启华为云CFW的基础防御功能（基础版），检测和拦截各种变形攻击。产品页： https://www.huaweicloud.com/product/cfw.html 扫码进入产品页在华为云CFW控制台，入侵防御->防御策略设置页面，打开基础防御功能开关，并启动拦截模式。3、华为云漏洞扫描服务VSS第一时间提供了对该漏洞的检测能力。开启华为云VSS的漏洞扫描功能（免费开通基础版，或购买专业版、高级版、企业版），检测网站及主机资产是否存在该漏洞，主动识别安全风险。产品页： https://www.huaweicloud.com/product/vss.html 扫码进入产品页在华为云VSS控制台，资产列表->网站->新增域名，资产列表->主机->添加主机，启动扫描，等待任务结束，查看扫描报告。华为云安全继承华为30多年的安全积累，华为云构筑的原生冰山安全体系和责任共担模型，为客户提供可信、极简、智能的云安全平台和服务，服务于包括华为流程与IT，消费者云及政企、电商、金融、互联网等行业客户。【卓越能力】20+自主研发的云安全服务和300+伙伴安全服务，从保护云工作负载，保护应用服务，保护数据资产，管理安全态势到帮助合规上云方面，帮助客户构建立体云安全防护。【全球合规】全球累计获得100+安全合规认证，如PCI 3DS，TISAX，ISO 27799， ISO/IEC 27701，ISO/IEC 27034，CSA STAR V4，SOC 2 Type2，德国C5等，满足全球客户业务合规和隐私保护要求。【产业共享】参与和主导制定10+云安全相关标准，输出30+安全白皮书，向产业和客户共享华为安全优秀实践经验。【安全保障】专业的安全运营团队，7*24小时安全保障体系，防御针对云平台的攻击，实现99.99%的安全事件自动响应，让企业上云安全无忧。

- News -1.安全研究人员发现了一个名为 GriftHorse 的大规模恶意软件操作，它已经感染了全球超过 1000 万台 Android 设备https://securityaffairs.co/wordpress/122730/malware/grifthorse-malware-campaign.html2.Group-IB 首席执行官因叛国罪被捕https://securityaffairs.co/wordpress/122710/cyber-crime/group-ib-ceo-arrested-treason-changes.html3.NSA、CISA 发布 VPN 安全指南https://www.databreachtoday.com/nsa-cisa-release-vpn-security-guidance-a-176404.土耳其国民被控使用 WireX 僵尸网络进行 DDoS 攻击https://therecord.media/turkish-national-charged-for-ddos-attacks-with-the-wirex-botnet/5.SolarWinds 攻击者开发新的 FoggyWeb 后门https://www.infosecurity-magazine.com/news/solarwinds-attackers-foggyweb/6.FormBook 将最新的 Office 365 0 日漏洞 (CVE-2021-40444) 添加到其武器库https://www.trendmicro.com/en_us/research/21/i/formbook-adds-latest-office-365-0-day-vulnerability-cve-2021-404.html7.儿童童话应用 Farfaria 曝光 290 万用户数据https://www.ehackingnews.com/2021/09/kids-fairy-tale-app-farfaria-exposed.html8.欺骗性 Zix 加密电子邮件用于凭证鱼叉式网络钓鱼https://www.ehackingnews.com/2021/09/spoofed-zix-encrypted-email-is-used-in.html9.黑客瞄准巴西的 PIX 支付系统以耗尽用户的银行账户https://thehackernews.com/2021/09/hackers-targeting-brazils-pix-payment.html10.新的 FinSpy 恶意软件变种使用 UEFI Bootkit 感染 Windows 系统https://thehackernews.com/2021/09/new-finspy-malware-variant-infects.html11.美媒：印度曾利用美公司黑客技术监听中国和巴基斯坦https://mp.weixin.qq.com/s/Zw5xsML9Gt1COFRSqnUgyw12.新型木马ERMAC已经影响378个安卓银行应用https://mp.weixin.qq.com/s/Zw5xsML9Gt1COFRSqnUgyw13.有 VISA 的 Apple Pay 允许黑客在锁定的 iPhone 上强制付款https://www.bleepingcomputer.com/news/security/apple-pay-with-visa-lets-hackers-force-payments-on-locked-iphones/

- News -1.Telegram正在成为网络罪犯的天堂https://securityaffairs.co/wordpress/122609/cyber-crime/telegram-cybercrime.html2.“安全钱包”不安全 恶意Firefox插件窃取加密货币https://www.bleepingcomputer.com/news/security/malicious-safepal-wallet-firefox-add-on-stole-cryptocurrency/3.以太坊开发人员承认帮助朝鲜逃避加密货币制裁https://www.bleepingcomputer.com/news/security/ethereum-dev-admits-to-helping-north-korea-evade-crypto-sanctions/4.新的Android 恶意软件窃取了378个银行和钱包应用程序的财务数据https://thehackernews.com/2021/09/new-android-malware-steals-financial.html5.报告称美国政府索取用户数据最多，超过任何其他国家https://www.cnbeta.com/articles/tech/1183801.htm6.Clubhouse和Facebook38亿条综合个人信息正在暗网出售https://securityaffairs.co/wordpress/122532/cyber-crime/clubhouse-facebook-data-scraping.html7.欧洲主要呼叫中心提供商之一GSS遭勒索软件攻击https://securityaffairs.co/wordpress/122570/cyber-crime/gss-ransomware-attack.html- Analysis -1.窃密的浣熊：Raccoon RAThttps://www.freebuf.com/articles/system/289470.html- APT -1.黑客利用MSHTML漏洞，攻击俄国防部火箭中心https://www.anquanke.com/post/id/2543712.欧盟就德国大选前的“Ghostwriter”黑客行为向俄罗斯发出警告https://www.cnbeta.com/articles/tech/1183189.htm

问题背景：非本账户下服务器使用金蝶天燕部署的web网站，使用vss扫描需要认证文件来认证网站所有权，但是vss并未有金蝶天燕中间件如何完成认证的指导。解决办法：下载vss扫描认证html文件，放置到某目录中，目录中新建WEB-INF空文件夹     2. 登录天燕v10管理后台，选择部署页签文件夹部署选择上一步的文件夹      3. 上下文路径写/，选择部署即可访问

导语：为推进实施《新能源汽车产业发展规划（20212035年）》加强车联网网络安全和数据安全管理工作现将有关事项通知如下工信部网安〔2021〕134号各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局，中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司，有关智能网联汽车生产企业、车联网服务平台运营企业，有关标准化技术组织：车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态。智能网联汽车是搭载先进的车载传感器、控制器、执行器等装置，并融合现代通信与网络技术，实现车与车、路、人、云端等智能信息交换、共享，具备复杂环境感知、智能决策、协同控制等功能，可实现“安全、高效、舒适、节能”行驶的新一代汽车。在产业快速发展的同时，车联网安全风险日益凸显，车联网安全保障体系亟须健全完善。为推进实施《新能源汽车产业发展规划（2021-2035年）》，加强车联网网络安全和数据安全管理工作，现将有关事项通知如下：一、网络安全和数据安全基本要求（一）落实安全主体责任。各相关企业要建立网络安全和数据安全管理制度，明确负责人和管理机构，落实网络安全和数据安全保护责任。强化企业内部监督管理，加大资源保障力度，及时发现并解决安全隐患。加强网络安全和数据安全宣传、教育和培训。（二）全面加强安全保护。各相关企业要采取管理和技术措施，按照车联网网络安全和数据安全相关标准要求，加强汽车、网络、平台、数据等安全保护，监测、防范、及时处置网络安全风险和威胁，确保数据处于有效保护和合法利用状态，保障车联网安全稳定运行。二、加强智能网联汽车安全防护（三）保障车辆网络安全。智能网联汽车生产企业要加强整车网络安全架构设计。加强车内系统通信安全保障，强化安全认证、分域隔离、访问控制等措施，防范伪装、重放、注入、拒绝服务等攻击。加强车载信息交互系统、汽车网关、电子控制单元等关键设备和部件安全防护和安全检测。加强诊断接口（OBD）、通用串行总线（USB）端口、充电端口等的访问和权限管理。（四）落实安全漏洞管理责任。智能网联汽车生产企业要落实《网络产品安全漏洞管理规定》有关要求，明确本企业漏洞发现、验证、分析、修补、报告等工作程序。发现或获知汽车产品存在漏洞后，应立即采取补救措施，并向工业和信息化部网络安全威胁和漏洞信息共享平台报送漏洞信息。对需要用户采取软件、固件升级等措施修补漏洞的，应当及时将漏洞风险及修补方式告知可能受影响的用户，并提供必要技术支持。三、加强车联网网络安全防护（五）加强车联网网络设施和网络系统安全防护能力。各相关企业要严格落实网络安全分级防护要求，加强网络设施和网络系统资产管理，合理划分网络安全域，加强访问控制管理，做好网络边界安全防护，采取防范木马病毒和网络攻击、网络侵入等危害车联网安全行为的技术措施。自行或者委托检测机构定期开展网络安全符合性评测和风险评估，及时消除风险隐患。（六）保障车联网通信安全。各相关企业要建立车联网身份认证和安全信任机制，强化车载通信设备、路侧通信设备、服务平台等安全通信能力，采取身份认证、加密传输等必要的技术措施，防范通信信息伪造、数据篡改、重放攻击等安全风险，保障车与车、车与路、车与云、车与设备等场景通信安全。鼓励相关企业、机构接入工业和信息化部车联网安全信任根管理平台，协同推动跨车型、跨设施、跨企业互联互认互通。（七）开展车联网安全监测预警。国家加强车联网网络安全监测平台建设，开展网络安全威胁、事件的监测预警通报和安全保障服务。各相关企业要建立网络安全监测预警机制和技术手段，对智能网联汽车、车联网服务平台及联网系统开展网络安全相关监测，及时发现网络安全事件或异常行为，并按照规定留存相关的网络日志不少于6个月。（八）做好车联网安全应急处置。智能网联汽车生产企业、车联网服务平台运营企业要建立网络安全应急响应机制，制定网络安全事件应急预案，定期开展应急演练，及时处置安全威胁、网络攻击、网络侵入等网络安全风险。在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照《公共互联网网络安全突发事件应急预案》等规定向有关主管部门报告。（九）做好车联网网络安全防护定级备案。智能网联汽车生产企业、车联网服务平台运营企业要按照车联网网络安全防护相关标准，对所属网络设施和系统开展网络安全防护定级工作，并向所在省（区、市）通信管理局备案。对新建网络设施和系统，应当在规划设计阶段确定网络安全防护等级。各省（区、市）通信管理局会同工业和信息化主管部门做好定级备案审核工作。四、加强车联网服务平台安全防护（十）加强平台网络安全管理。车联网服务平台运营企业要采取必要的安全技术措施，加强智能网联汽车、路侧设备等平台接入安全，主机、数据存储系统等平台设施安全，以及资源管理、服务访问接口等平台应用安全防护能力，防范网络侵入、数据窃取、远程控制等安全风险。涉及在线数据处理与交易处理、信息服务业务等电信业务的，应依法取得电信业务经营许可。认定为关键信息基础设施的，要落实《关键信息基础设施安全保护条例》有关规定，并按照国家有关标准使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。（十一）加强在线升级服务（OTA）安全和漏洞检测评估。智能网联汽车生产企业要建立在线升级服务软件包安全验证机制，采用安全可信的软件。开展在线升级软件包网络安全检测，及时发现产品安全漏洞。加强在线升级服务安全校验能力，采取身份认证、加密传输等技术措施，保障传输环境和执行环境的网络安全。加强在线升级服务全过程的网络安全监测和应急响应，定期评估网络安全状况，防范软件被伪造、篡改、损毁、泄露和病毒感染等网络安全风险。（十二）强化应用程序安全管理。智能网联汽车生产企业、车联网服务平台运营企业要建立车联网应用程序开发、上线、使用、升级等安全管理制度，提升应用程序身份鉴别、通信安全、数据保护等安全能力。加强车联网应用程序安全检测，及时处置安全风险，防范恶意应用程序攻击和传播。五、加强数据安全保护（十三）加强数据分类分级管理。按照“谁主管、谁负责，谁运营、谁负责”的原则，智能网联汽车生产企业、车联网服务平台运营企业要建立数据管理台账，实施数据分类分级管理，加强个人信息与重要数据保护。定期开展数据安全风险评估，强化隐患排查整改，并向所在省（区、市）通信管理局、工业和信息化主管部门报备。所在省（区、市）通信管理局、工业和信息化主管部门要对企业履行数据安全保护义务进行监督检查。（十四）提升数据安全技术保障能力。智能网联汽车生产企业、车联网服务平台运营企业要采取合法、正当方式收集数据，针对数据全生命周期采取有效技术保护措施，防范数据泄露、毁损、丢失、篡改、误用、滥用等风险。各相关企业要强化数据安全监测预警和应急处置能力建设，提升异常流动分析、违规跨境传输监测、安全事件追踪溯源等水平；及时处置数据安全事件，向所在省（区、市）通信管理局、工业和信息化主管部门报告较大及以上数据安全事件，并配合开展相关监督检查，提供必要技术支持。（十五）规范数据开发利用和共享使用。智能网联汽车生产企业、车联网服务平台运营企业要合理开发利用数据资源，防范在使用自动化决策技术处理数据时，侵犯用户隐私权和知情权。明确数据共享和开发利用的安全管理和责任要求，对数据合作方数据安全保护能力进行审核评估，对数据共享使用情况进行监督管理。（十六）强化数据出境安全管理。智能网联汽车生产企业、车联网服务平台运营企业需向境外提供在中华人民共和国境内收集和产生的重要数据的，应当依法依规进行数据出境安全评估并向所在省（区、市）通信管理局、工业和信息化主管部门报备。各省（区、市）通信管理局会同工业和信息化主管部门做好数据出境备案、安全评估等工作。六、健全安全标准体系（十七）加快车联网安全标准建设。加快编制车联网网络安全和数据安全标准体系建设指南。全国通信标准化技术委员会、全国汽车标准化技术委员会等要加快组织制定车联网防护定级、服务平台防护、汽车漏洞分类分级、通信交互认证、数据分类分级、事件应急响应等标准规范及相关检测评估、认证标准。鼓励各相关企业、社会团体制定高于国家标准或行业标准相关技术要求的企业标准、团体标准。特此通知。工业和信息化部2021年9月15日来源 | 本文来源于网络，本着学习交流的目的进行转载，已标注原始作者和出处 新工业网作者 | 工信部文章链接 | https://www.xingongye.cn/cms/policy/818.html

漏洞名称 :OpenSSL多个漏洞安全通告组件名称 :OpenSSL安全公告链接 : https://www.openssl.org/news/secadv/20210824.txt漏洞分析：1、组件介绍OpenSSL是一个开源的密码学套件库包。包括SSL协议库，应用程序和密码算法库等功能，提供完整的传输层安全实现，可以实现密钥生成，数字签名，数字证书签发，信息摘要等完整的加解密功能，保证通信的私密性。2、漏洞简介近日，监测到一则OpenSSL官方发布安全补丁的通告，共修复了2个安全漏洞，其中包含1个高危漏洞的信息。序号漏洞名漏洞编号 严重等级影响版本1OpenSSL缓冲区溢出漏洞          CVE-2021-3711高危1.1.1<=OpenSSL<=1.1.1k2OpenSSL缓冲区溢出漏洞CVE-2021-3712中危1.1.1<=OpenSSL<=1.1.1k1.0.2<=OpenSSL<=1.0.2y3、漏洞描述漏洞1：OpenSSL缓冲区溢出漏洞 CVE-2021-3711该漏洞是由于OpenSSL调用用来解密SM2加密的数据所用的API函数EVP_PKEY_decrypt时，计算缓冲区大小存在错误，攻击者可利用该漏洞，构造恶意数据执行远程代码执行攻击，最终可控制程序的运行或造成程序崩溃。漏洞2：OpenSSL缓冲区溢出漏洞 CVE-2021-3712该漏洞是由于OpenSSL用于存储ASN.1字符串的结构ASN1_STRING在创建时没有严格遵守字符串的零字节结尾，打印时可能发生读取缓冲区溢出，攻击者可利用该漏洞，构造恶意数据执行信息泄露攻击，最终可造成服务器敏感性信息泄露或程序崩溃。影响范围：OpenSSL是多数Linux发行版系统默认的密码套件库，由于其强大的功能被广泛使用。可能受漏洞影响的资产广泛分布于世界各地，此次曝出的漏洞有高危和中危的漏洞，涉及用户量大，漏洞影响力较大。解决方案：1、官方修复建议 执行命令openssl version显示的版本如属于上述的影响版本，则存在此漏洞。2、官方修复建议当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：https://www.openssl.org/source/参考链接：https://www.openssl.org/news/vulnerabilities.html