问题背景：非本账户下服务器使用金蝶天燕部署的web网站，使用vss扫描需要认证文件来认证网站所有权，但是vss并未有金蝶天燕中间件如何完成认证的指导。解决办法：下载vss扫描认证html文件，放置到某目录中，目录中新建WEB-INF空文件夹     2. 登录天燕v10管理后台，选择部署页签文件夹部署选择上一步的文件夹      3. 上下文路径写/，选择部署即可访问

导语：为推进实施《新能源汽车产业发展规划（20212035年）》加强车联网网络安全和数据安全管理工作现将有关事项通知如下工信部网安〔2021〕134号各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局，中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司，有关智能网联汽车生产企业、车联网服务平台运营企业，有关标准化技术组织：车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态。智能网联汽车是搭载先进的车载传感器、控制器、执行器等装置，并融合现代通信与网络技术，实现车与车、路、人、云端等智能信息交换、共享，具备复杂环境感知、智能决策、协同控制等功能，可实现“安全、高效、舒适、节能”行驶的新一代汽车。在产业快速发展的同时，车联网安全风险日益凸显，车联网安全保障体系亟须健全完善。为推进实施《新能源汽车产业发展规划（2021-2035年）》，加强车联网网络安全和数据安全管理工作，现将有关事项通知如下：一、网络安全和数据安全基本要求（一）落实安全主体责任。各相关企业要建立网络安全和数据安全管理制度，明确负责人和管理机构，落实网络安全和数据安全保护责任。强化企业内部监督管理，加大资源保障力度，及时发现并解决安全隐患。加强网络安全和数据安全宣传、教育和培训。（二）全面加强安全保护。各相关企业要采取管理和技术措施，按照车联网网络安全和数据安全相关标准要求，加强汽车、网络、平台、数据等安全保护，监测、防范、及时处置网络安全风险和威胁，确保数据处于有效保护和合法利用状态，保障车联网安全稳定运行。二、加强智能网联汽车安全防护（三）保障车辆网络安全。智能网联汽车生产企业要加强整车网络安全架构设计。加强车内系统通信安全保障，强化安全认证、分域隔离、访问控制等措施，防范伪装、重放、注入、拒绝服务等攻击。加强车载信息交互系统、汽车网关、电子控制单元等关键设备和部件安全防护和安全检测。加强诊断接口（OBD）、通用串行总线（USB）端口、充电端口等的访问和权限管理。（四）落实安全漏洞管理责任。智能网联汽车生产企业要落实《网络产品安全漏洞管理规定》有关要求，明确本企业漏洞发现、验证、分析、修补、报告等工作程序。发现或获知汽车产品存在漏洞后，应立即采取补救措施，并向工业和信息化部网络安全威胁和漏洞信息共享平台报送漏洞信息。对需要用户采取软件、固件升级等措施修补漏洞的，应当及时将漏洞风险及修补方式告知可能受影响的用户，并提供必要技术支持。三、加强车联网网络安全防护（五）加强车联网网络设施和网络系统安全防护能力。各相关企业要严格落实网络安全分级防护要求，加强网络设施和网络系统资产管理，合理划分网络安全域，加强访问控制管理，做好网络边界安全防护，采取防范木马病毒和网络攻击、网络侵入等危害车联网安全行为的技术措施。自行或者委托检测机构定期开展网络安全符合性评测和风险评估，及时消除风险隐患。（六）保障车联网通信安全。各相关企业要建立车联网身份认证和安全信任机制，强化车载通信设备、路侧通信设备、服务平台等安全通信能力，采取身份认证、加密传输等必要的技术措施，防范通信信息伪造、数据篡改、重放攻击等安全风险，保障车与车、车与路、车与云、车与设备等场景通信安全。鼓励相关企业、机构接入工业和信息化部车联网安全信任根管理平台，协同推动跨车型、跨设施、跨企业互联互认互通。（七）开展车联网安全监测预警。国家加强车联网网络安全监测平台建设，开展网络安全威胁、事件的监测预警通报和安全保障服务。各相关企业要建立网络安全监测预警机制和技术手段，对智能网联汽车、车联网服务平台及联网系统开展网络安全相关监测，及时发现网络安全事件或异常行为，并按照规定留存相关的网络日志不少于6个月。（八）做好车联网安全应急处置。智能网联汽车生产企业、车联网服务平台运营企业要建立网络安全应急响应机制，制定网络安全事件应急预案，定期开展应急演练，及时处置安全威胁、网络攻击、网络侵入等网络安全风险。在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照《公共互联网网络安全突发事件应急预案》等规定向有关主管部门报告。（九）做好车联网网络安全防护定级备案。智能网联汽车生产企业、车联网服务平台运营企业要按照车联网网络安全防护相关标准，对所属网络设施和系统开展网络安全防护定级工作，并向所在省（区、市）通信管理局备案。对新建网络设施和系统，应当在规划设计阶段确定网络安全防护等级。各省（区、市）通信管理局会同工业和信息化主管部门做好定级备案审核工作。四、加强车联网服务平台安全防护（十）加强平台网络安全管理。车联网服务平台运营企业要采取必要的安全技术措施，加强智能网联汽车、路侧设备等平台接入安全，主机、数据存储系统等平台设施安全，以及资源管理、服务访问接口等平台应用安全防护能力，防范网络侵入、数据窃取、远程控制等安全风险。涉及在线数据处理与交易处理、信息服务业务等电信业务的，应依法取得电信业务经营许可。认定为关键信息基础设施的，要落实《关键信息基础设施安全保护条例》有关规定，并按照国家有关标准使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。（十一）加强在线升级服务（OTA）安全和漏洞检测评估。智能网联汽车生产企业要建立在线升级服务软件包安全验证机制，采用安全可信的软件。开展在线升级软件包网络安全检测，及时发现产品安全漏洞。加强在线升级服务安全校验能力，采取身份认证、加密传输等技术措施，保障传输环境和执行环境的网络安全。加强在线升级服务全过程的网络安全监测和应急响应，定期评估网络安全状况，防范软件被伪造、篡改、损毁、泄露和病毒感染等网络安全风险。（十二）强化应用程序安全管理。智能网联汽车生产企业、车联网服务平台运营企业要建立车联网应用程序开发、上线、使用、升级等安全管理制度，提升应用程序身份鉴别、通信安全、数据保护等安全能力。加强车联网应用程序安全检测，及时处置安全风险，防范恶意应用程序攻击和传播。五、加强数据安全保护（十三）加强数据分类分级管理。按照“谁主管、谁负责，谁运营、谁负责”的原则，智能网联汽车生产企业、车联网服务平台运营企业要建立数据管理台账，实施数据分类分级管理，加强个人信息与重要数据保护。定期开展数据安全风险评估，强化隐患排查整改，并向所在省（区、市）通信管理局、工业和信息化主管部门报备。所在省（区、市）通信管理局、工业和信息化主管部门要对企业履行数据安全保护义务进行监督检查。（十四）提升数据安全技术保障能力。智能网联汽车生产企业、车联网服务平台运营企业要采取合法、正当方式收集数据，针对数据全生命周期采取有效技术保护措施，防范数据泄露、毁损、丢失、篡改、误用、滥用等风险。各相关企业要强化数据安全监测预警和应急处置能力建设，提升异常流动分析、违规跨境传输监测、安全事件追踪溯源等水平；及时处置数据安全事件，向所在省（区、市）通信管理局、工业和信息化主管部门报告较大及以上数据安全事件，并配合开展相关监督检查，提供必要技术支持。（十五）规范数据开发利用和共享使用。智能网联汽车生产企业、车联网服务平台运营企业要合理开发利用数据资源，防范在使用自动化决策技术处理数据时，侵犯用户隐私权和知情权。明确数据共享和开发利用的安全管理和责任要求，对数据合作方数据安全保护能力进行审核评估，对数据共享使用情况进行监督管理。（十六）强化数据出境安全管理。智能网联汽车生产企业、车联网服务平台运营企业需向境外提供在中华人民共和国境内收集和产生的重要数据的，应当依法依规进行数据出境安全评估并向所在省（区、市）通信管理局、工业和信息化主管部门报备。各省（区、市）通信管理局会同工业和信息化主管部门做好数据出境备案、安全评估等工作。六、健全安全标准体系（十七）加快车联网安全标准建设。加快编制车联网网络安全和数据安全标准体系建设指南。全国通信标准化技术委员会、全国汽车标准化技术委员会等要加快组织制定车联网防护定级、服务平台防护、汽车漏洞分类分级、通信交互认证、数据分类分级、事件应急响应等标准规范及相关检测评估、认证标准。鼓励各相关企业、社会团体制定高于国家标准或行业标准相关技术要求的企业标准、团体标准。特此通知。工业和信息化部2021年9月15日来源 | 本文来源于网络，本着学习交流的目的进行转载，已标注原始作者和出处 新工业网作者 | 工信部文章链接 | https://www.xingongye.cn/cms/policy/818.html

漏洞名称 :OpenSSL多个漏洞安全通告组件名称 :OpenSSL安全公告链接 : https://www.openssl.org/news/secadv/20210824.txt漏洞分析：1、组件介绍OpenSSL是一个开源的密码学套件库包。包括SSL协议库，应用程序和密码算法库等功能，提供完整的传输层安全实现，可以实现密钥生成，数字签名，数字证书签发，信息摘要等完整的加解密功能，保证通信的私密性。2、漏洞简介近日，监测到一则OpenSSL官方发布安全补丁的通告，共修复了2个安全漏洞，其中包含1个高危漏洞的信息。序号漏洞名漏洞编号 严重等级影响版本1OpenSSL缓冲区溢出漏洞          CVE-2021-3711高危1.1.1<=OpenSSL<=1.1.1k2OpenSSL缓冲区溢出漏洞CVE-2021-3712中危1.1.1<=OpenSSL<=1.1.1k1.0.2<=OpenSSL<=1.0.2y3、漏洞描述漏洞1：OpenSSL缓冲区溢出漏洞 CVE-2021-3711该漏洞是由于OpenSSL调用用来解密SM2加密的数据所用的API函数EVP_PKEY_decrypt时，计算缓冲区大小存在错误，攻击者可利用该漏洞，构造恶意数据执行远程代码执行攻击，最终可控制程序的运行或造成程序崩溃。漏洞2：OpenSSL缓冲区溢出漏洞 CVE-2021-3712该漏洞是由于OpenSSL用于存储ASN.1字符串的结构ASN1_STRING在创建时没有严格遵守字符串的零字节结尾，打印时可能发生读取缓冲区溢出，攻击者可利用该漏洞，构造恶意数据执行信息泄露攻击，最终可造成服务器敏感性信息泄露或程序崩溃。影响范围：OpenSSL是多数Linux发行版系统默认的密码套件库，由于其强大的功能被广泛使用。可能受漏洞影响的资产广泛分布于世界各地，此次曝出的漏洞有高危和中危的漏洞，涉及用户量大，漏洞影响力较大。解决方案：1、官方修复建议 执行命令openssl version显示的版本如属于上述的影响版本，则存在此漏洞。2、官方修复建议当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：https://www.openssl.org/source/参考链接：https://www.openssl.org/news/vulnerabilities.html

近日，第九届ISC互联网安全大会于北京国家会议中心举行。华为云PaaS服务产品部安全专家受邀发表题为《华为20年研发安全积累，助力企业落地DevSecOps》的主题演讲。在过去20年的演进中，华为积累了深厚的研发安全文化、流程和工具链，经历了超大规模复杂场景的考验，例如，每天执行的代码安全扫描量超过500亿行，每天执行的Web和主机漏洞扫描任务近10万个等等。这些积累，形成了华为云5大DevSecOps安全服务，可以帮助企业获得端到端的研发安全体系和能力。在敏捷开发过程中内置安全措施，让应用“天生安全，健康成长”。华为云PaaS服务产品部安全域相关负责人在现场发表演讲威胁建模服务：在产品设计早期识别并消减风险威胁建模服务，对业界公认的STRIDE方法论进行了升级，用于系统威胁分析，提供分析维度、参考案例，辅助进行安全设计，识别风险；识别风险后，智能推荐消减措施及测试用例，输出分析报告；内置的华为长期积累的安全风险识别方案、消减方案、设计方案、测试用例、场景样例与知识，降低企业安全设计门槛。隐私合规服务：解读GDPR、等保等法律法规，帮助企业满足合规要求隐私合规服务，根据对GDPR、等保等的解读与分析，提供工具，生成隐私合规报告、隐私声明，帮助企业合规设计。根据隐私合规设计方案，自动生成和执行测试用例，最后给出隐私合规验证报告。内置的的隐私设计框架，可以帮助企业快速形成行业解决方案并复制至其它行业。代码安全服务：多种源码安全静态检查，将风险拦截在编码阶段该服务支持：拦截多种语言安全问题：今年将陆续支持C/C++/Java/JS/Python/Go语言的安全问题的检查，拦截OWASP Top10、CWE等多类型的安全漏洞。为华为云CloudIDE提供IDE级代码检查能力、为CodeHub提供代码提交、合并阶段的门禁级检查，以及流水线自动化测试、出包阶段的版本级的安全问题检测。高效闭环发现的安全问题：支持扫描告警屏蔽、屏蔽结果继承、告警修复建议等功能，协助问题快速分析和闭环。内置华为优秀实践规则集、行业规则集：提供金融、车企等行业特有的安全编码扫描规则集，并提供华为云推荐规则集的合规检测。漏洞扫描服务：多场景高精度漏洞扫描，走好上线前最后一公里该服务已在华为云发布，并计划在下半年进行重大升级，支持：全场景漏洞覆盖：覆盖Web、主机、镜像、开源软件、移动应用的漏洞扫描和隐私合规检查能力，支持华为、OWASP等业界优秀实践，支持等保2.0等标准。专业的修复建议：提供典型Web漏洞精准检测，在CVE漏洞评估方面更贴近真实威胁；在APK开源组件扫描和信息泄露检测方面，具备更精准的检测能力，因此可以提供更专业的修复建议。可升级的漏洞检测能力：聚焦最新安全漏洞，动态扩展扫描能力；可灵活集成第三方漏洞扫描引擎，统一报告展示，支持漏洞去重，也可被集成至第三方持续集成/持续发布流水线中。研发安全专家服务：企业既有工具，又建立安全文化研发安全专家服务，可以为企业提供研发安全水平评估、检查能力定制、工具工程能力定制、安全运营体系咨询、设立工具评估标准等。帮助企业不仅用好安全工具链，更深刻认识安全流程如何协调团队和工具的使用，最后形成牢不可破的安全文化，将安全融入企业的基因中。上述研发安全服务，许多能力已经上线国内领先的DevOps平台——华为云DevCloud，并将持续迭代，降低企业安全研发门槛，提升效率。华为云希望与更多的合作伙伴一道，进行产品、技术、商务等层面的合作，共同构建DevSecOps安全生态，为用户打造领先的应用安全解决方案。

安全研究人员7月25日提醒注意 Exim 安全公告中披露的Exim输入验证错误漏洞，该漏洞源于receivemsg()函数的整数溢出。漏洞描述：安全研究人员7月25日提醒注意 Exim 安全公告中披露的Exim输入验证错误漏洞，该漏洞源于receivemsg()函数的整数溢出。远程攻击者利用该漏洞可以向邮件服务器发送专门设计的数据，触发整数溢出，并在目标系统上执行任意代码。专家建议受影响的用户尽快升级到安全版本。漏洞编号：CVE-2020-28020漏洞等级：高危，CVSS评分9.8漏洞详情：在Exim 4.91（邮件服务器软件）中发现了一个严重漏洞。该漏洞影响功能receive_msg，使用未知输入进行操作会导致内存损坏。4.92 之前的 Exim 4 允许整数溢出到缓冲区溢出，其中未经身份验证的远程攻击者可以通过在标头长度限制期间利用对连续行的错误处理来执行任意代码。该漏洞于 2021 年 5 月 6 日发布，可以在qualys.com上阅读该建议。自 2020 年 10 月30 日起，此漏洞被唯一标识为CVE- 2020-28020。可利用性评估为“很容易”，漏洞可以远程发起，且不需要任何形式的身份验证。该漏洞的技术细节已知，暂无可用POC。Exim是一个运行于Unix系统中的开源消息传送代理（MTA），它主要负责邮件的路由、转发和投递。Exim 是根据GNU 通用公共许可证条款分发的免费软件。受影响的版本：Exim < 4.94.2安全版本：Exim >= 4.94.2漏洞解决办法：建议受影响的用户尽快升级到安全版本。参考链接：http://www.openwall.com/lists/oss-security/2021/07/25/1https://seclists.org/oss-sec/2021/q3/42https://www.qualys.com/2021/05/04/21nails/21nails.txthttps://www.exim.org/static/doc/security/CVE-2020-qualys/CVE-2020-28020-HSIZE.txt

Istio 包含一个可远程利用的漏洞，使用Istio的k8s集群内的机器有可能越权访问到TLS证书和密钥。漏洞描述： Istio 包含一个可远程利用的漏洞，使用Istio的k8s集群内的机器有可能越权访问到TLS证书和密钥。建议受影响的用户尽快升级。lstio是一个由谷歌、IBM与Lyft共同开发的开源项目，旨在提供一种统一化的微服务连接、安全保障、管理与监控方式。漏洞编号：CVE-2021-34824漏洞等级： 高危，CVSS评分9.1漏洞详情： 该IstioGateway DestinationRule可以通过从Kubernetes秘密加载私钥和证书credentialName的配置。对于Istio 1.8 及更高版本，秘密通过 XDS API 从 Istiod 传送到网关或工作负载。在上述方法中，网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes 机密中的凭据（TLS 证书和私钥）。然而，Istiod 中的一个错误允许授权客户端访问和检索 Istiod 中缓存的任何 TLS证书和私钥。受影响的版本：Istio <=1.8Istio 1.9.0 到 1.9.5Istio 1.10.0 到 1.10.1安全版本：Istio >= 1.9.6 或更高版本，如果使用 1.9.xIstio >= 1.10.2 或更高版本，如果使用 1.10.x如果使用的是 Istio 1.8，请联系Istio 提供商以检查更新。否则，请升级到 Istio 1.9 或 1.10 的最新补丁版本。我受影响了吗？如果以下所有条件都为真，您的集群就会受到影响：使用的是 Istio 1.10.0 到 1.10.1、Istio 1.9.0 到 1.9.5 或 Istio 1.8.x。已定义Gateways或 DestinationRules具有credentialName指定的字段。没有指定 Istiod 标志PILOT_ENABLE_XDS_CACHE=false。漏洞修复建议：建议受影响的用户尽快升级到安全版本。如果升级不可行，则可以通过禁用 Istiod 缓存来缓解此漏洞。通过设置 Istiod 环境变量来禁用缓存PILOT_ENABLE_XDS_CACHE=false。修改后，系统和 Istiod 性能可能会受到影响，因为这会禁用 XDS 缓存。参考链接：https://istio.io/latest/news/security/istio-security-2021-007/

一、概要近日，微软发布2021年6月份安全补丁更新，共披露了50个安全漏洞，其中5个漏洞标记为严重漏洞。攻击者利用漏洞可实现远程代码执行、权限提升、敏感信息泄露等。受影响的应用包括：Microsoft Windows、Windows Server、Edge、SharePoint等组件。华为云提醒用户及时安排自检并做好安全加固以降低安全风险。微软官方说明：https://msrc.microsoft.com/update-guide/releaseNote/2021-Jun本月用户需关注已出现在野攻击利用的6个0day漏洞，及时升级补丁避免遭受攻击： CVE-2021-31955 - Windows 内核信息泄露漏洞CVE-2021-31956 - Windows NTFS 特权提升漏洞CVE-2021-33739 - Microsoft DWM 核心库特权提升漏洞CVE-2021-33742 - Windows MSHTML 平台远程代码执行漏洞CVE-2021-31199 - Microsoft Enhanced Cryptographic特权提升漏洞CVE-2021-31201 - Microsoft Enhanced Cryptographic特权提升漏洞二、漏洞级别漏洞级别：【严重】（说明：漏洞级别共四级：一般、重要、严重、紧急）三、影响范围Microsoft Windows、Windows Server、Edge、SharePoint等产品。四、重要漏洞说明详情CVE编号漏洞名称严重程度影响产品CVE-2021-31985Microsoft Defender 远程代码执行漏洞严重Microsoft  Malware Protection EngineCVE-2021-31959脚本引擎内存损坏漏洞严重Windows 10、Windows 8.1/RT 8.1、Windows 7、Windows Server 2008 R2/2012/2012 R2/2016/2019CVE-2021-31967VP9 Video 扩展程序远程执行代码漏洞严重VP9 Video ExtensionsCVE-2021-31963Microsoft SharePoint Server 远程执行代码漏洞严重Microsoft SharePoint Foundation 2013、Microsoft SharePoint Server 2019、Microsoft SharePoint Enterprise Server 2013/2016CVE-2021-33742Windows MSHTML 平台远程代码执行漏洞严重Windows 10、Windows 8.1/RT 8.1、Windows 7、Windows Server 2008/2008 R2/2012/2012 R2/2016/2019（注：以上为严重漏洞，其他漏洞及详情请参见微软官方说明） 五、安全建议1、可通过Windows Update自动更新微软补丁修复漏洞，也可以手动下载补丁，补丁下载地址：https://msrc.microsoft.com/update-guide2、为确保数据安全，建议重要业务数据进行异地备份。注意：修复漏洞前请将资料备份，并进行充分测试。

日前著名Web服务器和反向代理服务器Nginx暴露严重漏洞NS解析器Off-by-One堆写入漏洞，该漏洞存在于Nginx的DNS解析模块ngx_resolver_copy()。攻击者可以利用该漏洞进行远程DDos攻击，甚至远程执行。概述　　ngx_resolver_copy()在处理DNS响应时出现一个off-by-one错误，利用该漏洞网络攻击者可以在堆分配的缓冲区中写一个点字符（.’, 0x2E）导致超出范围。 所有配置解析器语法的（resolver xxxx）Nginx实例可以通过DNS响应（响应来自Nginx的DNS请求）来触发该漏洞。 特制数据包允许使用0x2E覆盖下一个堆块元数据的最低有效字节，利用该漏洞攻击者，可以实现Ddos拒绝服务，甚至可能实现远程代码执行。　　由于Nginx中缺乏DNS欺骗缓解措施，并且在检查DNS事务ID之前调用了易受攻击的功能，因此远程攻击者可能能够通向中毒服务器注入受毒的DNS响应来利用此漏洞。　　漏洞影响　　严重等级： 高　　漏洞向量： 远程/DNS　　确认的受影响版本： 0.6.18-1.20.0　　确认的修补版本： 1.21.0，1.20.1　　供应商： F5，Inc.　　状态： 公开　　CVE： CVE-2021-23017　　CWE： 193　　CVSS得分： 8.1　　CVSS向量：CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C　　漏洞分析　　当Nginx配置中设置resolver时，Nginx DNS解析器（core/ngx_resolver.c）用于通过DNS解析多个模块的主机名。　　Nginx中通过ngx_resolver_copy()调用来验证和解压缩DNS响应中包含的每个DNS域名，接收网络数据包作为输入和指向正在处理的名称的指针，并在成功后返回指向包含未压缩名称的新分配缓冲区的指针。调用整体上分两步完成的，　　1）计算未压缩的域名大小的长度len并验证输入包的合法性，丢弃包含大于128个指针或包含超出输入缓冲区边界的域名。　　2）分配输出缓冲区，并将未压缩的域名复制到其中。　　第1部分中的大小计算与第2部分中的未压缩的域名之间的不匹配，导致一个len的一个off-by-one错误，导致允许以一个字节为单位写一个点字符超出name->data的边界。　　当压缩名称的最后一部分包含一个指向NUL字节的指针时，就会发生计算错误。 尽管计算步骤仅考虑标签之间的点，但每次处理标签并且接着的字符为非NUL时，解压缩步骤都会写入一个点字符。当标签后跟指向NUL字节的指针时，解压缩过程将：　　// 1) copy the label to the output buffer,　　ngx_strlow(dst, src, n);　　dst += n;　　src += n;　　// 2) read next character,　　n = *src++;　　// 3) as its a pointer, its not NUL,　　if (n != 0) {　　// 4) so a dot character that was not accounted for is written out of bounds　　*dst++ = '.';　　// 5) Afterwards, the pointer is followed,　　if (n & 0xc0) {　　n = ((n & 0x3f) << 8) + *src;　　src = &buf[n];　　n = *src++;　　// 6) and a NULL byte is found, signaling the end of the function　　if (n == 0) {　　name->len = dst - name->data;　　return NGX_OK;　　如果计算的大小恰好与堆块大小对齐，则超出范围的点字符将覆盖下一个堆块长度的元数据中的最低有效字节。这可能会直接导致下一个堆块的大小写入，但还会覆盖3个标志，从而导致 PREV_INUSE被清除并 IS_MMAPPED被设置。　　==7863== Invalid write of size 1　　==7863== at 0x137C2E: ngx_resolver_copy (ngx_resolver.c:4018)　　==7863== by 0x13D12B: ngx_resolver_process_a (ngx_resolver.c:2470)　　==7863== by 0x13D12B: ngx_resolver_process_response (ngx_resolver.c:1844)　　==7863== by 0x13D46A: ngx_resolver_udp_read (ngx_resolver.c:1574)　　==7863== by 0x14AB19: ngx_epoll_process_events (ngx_epoll_module.c:901)　　==7863== by 0x1414D4: ngx_process_events_and_timers (ngx_event.c:247)　　==7863== by 0x148E57: ngx_worker_process_cycle (ngx_process_cycle.c:719)　　==7863== by 0x1474DA: ngx_spawn_process (ngx_process.c:199)　　==7863== by 0x1480A8: ngx_start_worker_processes (ngx_process_cycle.c:344)　　==7863== by 0x14952D: ngx_master_process_cycle (ngx_process_cycle.c:130)　　==7863== by 0x12237F: main (Nginx.c:383)　　==7863== Address 0x4bbcfb8 is 0 bytes after a block of size 24 alloc'd　　==7863== at 0x483E77F: malloc (vg_replace_malloc.c:307)　　==7863== by 0x1448C4: ngx_alloc (ngx_alloc.c:22)　　==7863== by 0x137AE4: ngx_resolver_alloc (ngx_resolver.c:4119)　　==7863== by 0x137B26: ngx_resolver_copy (ngx_resolver.c:3994)　　==7863== by 0x13D12B: ngx_resolver_process_a (ngx_resolver.c:2470)　　==7863== by 0x13D12B: ngx_resolver_process_response (ngx_resolver.c:1844)　　==7863== by 0x13D46A: ngx_resolver_udp_read (ngx_resolver.c:1574)　　==7863== by 0x14AB19: ngx_epoll_process_events (ngx_epoll_module.c:901)　　==7863== by 0x1414D4: ngx_process_events_and_timers (ngx_event.c:247)　　==7863== by 0x148E57: ngx_worker_process_cycle (ngx_process_cycle.c:719)　　==7863== by 0x1474DA: ngx_spawn_process (ngx_process.c:199)　　==7863== by 0x1480A8: ngx_start_worker_processes (ngx_process_cycle.c:344)　　==7863== by 0x14952D: ngx_master_process_cycle (ngx_process_cycle.c:130)　　虽然目前还没有Poc出来，理论上该漏洞可以被用来进行远程代码执行。　　攻击向量分析　　DNS响应可以通过多种方式触发漏洞。　　首先，Nginx必须发送了DNS请求，并且必须等待响应。 然后，可以在DNS响应的多个部分进行投毒：　　DNS问题QNAME，　　DNS回答名称，　　DNS会回答RDATA以获得CNAME和SRV响应，　　通过使用多个中毒的QNAME，NAME或RDATA值制作响应，可以在处理响应时多次击中易受攻击的函数，从而有效地执行多次脱机写入。　　此外，当攻击者提供中毒的CNAME时，它将以递归方式解决，从而在执行过程中触发了额外的OOB写操作 ngx_resolve_name_locked() 调用ngx_strlow()（ngx_resolver.c：594）和其他OOB读取期间 ngx_resolver_dup()（ngx_resolver.c：790）和 ngx_crc32_short()（ngx_resolver.c：596）。　　用于“example.net”请求的DNS响应示例负载，其中包含被污染的CNAME：　　稍微不同的有效负载（poc.py中的有效负载）填充了足够的字节以覆盖 next_chunk.mchunk_size带点的最低有效字节：　　24字节的标签导致分配了24字节的缓冲区，该缓冲区填充有24字节+一个超出范围的点字符。　　漏洞修复和解决　　通过向域名解析时，在域名末尾写入的伪造的点字符分配一个额外的字节可以缓解此问题。　　受漏洞影响的配置　　daemon off;　　http{　　access_log logs/access.log;　　server{　　listen 8080;　　location / {　　resolver 127.0.0.1:1053;　　set $dns example.net;　　proxy_pass $dns;　　events {　　worker_connections 1024;

一、概要近日，华为云关注到XStream官方发布安全公告，披露在1.4.17之前的版本中存在一处新的反序列化漏洞（CVE-2021-29505），攻击者通过构造特殊的XML可绕过XStream黑名单，导致远程代码执行。XStream是Java类库，用来将对象序列化成XML （JSON）或反序列化为对象。华为云提醒使用XStream的用户尽快安排自检并做好安全加固。参考链接：http://x-stream.github.io/CVE-2021-29505.htmlhttp://x-stream.github.io/changes.html二、威胁级别威胁级别：【严重】（说明：威胁级别共四级：一般、重要、严重、紧急）三、漏洞影响范围影响版本：XStream < 1.4.17安全版本：XStream 1.4.17四、漏洞处置目前官方已在最新版本中修复了该漏洞，请受影响的用户及时升级至安全版本。http://x-stream.github.io/download.html华为云WAF具备对该漏洞防御能力。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。注：修复漏洞前请将资料备份，并进行充分测试。 

一、概要近日，微软发布2021年4月份安全补丁更新，共披露了108个安全漏洞，其中19个漏洞标记为严重漏洞。攻击者利用漏洞可实现远程代码执行、权限提升、敏感信息泄露等。受影响的应用包括：Microsoft Windows、Exchange Server、Office等组件。微软官方说明：https://msrc.microsoft.com/update-guide/releaseNote/2021-Apr本月用户需关注如下重点漏洞，及时自检并安排补丁升级，避免遭受攻击：Microsoft Exchange Server远程代码执行漏洞（CVE-2021-28480、CVE-2021-28481、CVE-2021-28482、CVE-2021-28483）：攻击者将这四个漏洞结合利用可绕过Exchange身份验证机制，无需用户交互，实现远程代码执行。用户需注意的是这几个漏洞官方描述可造成蠕虫级漏洞危害，受影响的用户需尽快升级补丁。二、漏洞级别漏洞级别：【严重】（说明：漏洞级别共四级：一般、重要、严重、紧急。）三、影响范围Microsoft Windows、Exchange Server、Office等产品。四、重要漏洞说明详情CVE编号漏洞名称严重程度影响产品CVE-2021-28481CVE-2021-28482CVE-2021-28483Microsoft Exchange   Server远程执行代码漏洞严重Microsoft Exchange Server 2013/2016/2019CVE-2021-28315CVE-2021-28329CVE-2021-28330CVE-2021-28331CVE-2021-28332CVE-2021-28333CVE-2021-28334CVE-2021-28335CVE-2021-28336CVE-2021-28337CVE-2021-28338CVE-2021-28339CVE-2021-28343RPC（Remote Procedure Call） 运行中的远程代码执行漏洞严重Windows 10、Windows   8.1/RT 8.1、Windows Server 2008/2008 R2/2012/2012   R2/2016/2019CVE-2021-27095CVE-2021-28315Windows Media视频解码器远程执行代码漏洞严重Windows 10、Windows   8.1/RT 8.1、Windows 7、Windows Server 2008/2008 R2/2012/2012 R2/2016/2019CVE-2021-28460Azure Sphere未签名代码执行漏洞严重Azure Sphere（注：以上为严重漏洞，其他漏洞及详情请参见微软官方说明） 五、安全建议1、可通过Windows Update自动更新微软补丁修复漏洞，也可以手动下载补丁，补丁下载地址：https://msrc.microsoft.com/update-guide/2、为确保数据安全，建议重要业务数据进行异地备份。注意：修复漏洞前请将资料备份，并进行充分测试。

2021年3月13日 XStream 官方发布安全公告，披露多个反序列化漏洞。漏洞描述：XStream是一个常用的Java对象和XML相互转换的工具。近日XStream官方发布安全更新，修复了多个XStream 反序列化漏洞。攻击者通过构造恶意的XML文档，可绕过XStream的黑名单，触发反序列化，从而造成如CVE-2021-21345 反序列化代码执行漏洞等。实际漏洞利用依赖于具体代码实现以及相关接口请求，无法批量远程利用，实际危害相对较低。漏洞评级：CVE-2021-21344 XStream 反序列化代码执行漏洞 高危CVE-2021-21345 XStream 反序列化代码执行漏洞 高危CVE-2021-21346 XStream 反序列化代码执行漏洞 高危CVE-2021-21347 XStream 反序列化代码执行漏洞 高危CVE-2021-21350 XStream 反序列化代码执行漏洞 高危CVE-2021-21351 XStream 反序列化代码执行漏洞 高危影响版本：XStream < 1.4.16安全版本：XStream 1.4.16安全建议：针对使用到XStream组件的web服务升级至最新版本：http://x-stream.github.io/changes.html相关链接：https://x-stream.github.io/security.html#workaround

所属漏洞编号CNVD-2021-17268补丁链接https://github.com/blackbeam/rust-marc/issues/7备注补丁描述Blackbeam Rust-marc是Blackbeam个人开发者的一个为Rust语言提供与mrc格式文件进行交互的代码库。 Blackbeam Rust-marc 2.0.0 之前版本存在安全漏洞，该漏洞源于用户提供的读实现可访问新分配的内存中的旧内容。目前没有详细的漏洞细节提供。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。补丁附件(无附件)补丁状态通过审核补丁审核意见(无审核意见)  在发布漏洞公告信息之前，CNVD都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。

引言：在“DevOps能力之屋（Capabilities House of DevOps）”中，华为云DevCloud提出（工程方法+最佳实践+生态）×工具平台=DevOps能力。华为云DevCloud将推出“DevOps on DevCloud”系列，针对DevOps领域场景，阐述该场景在华为云DevCloud上的实施方法与实践。本文共同作者为浩初。安全测试是测试的重要组成部分。无可否认，安全测试是一片汪洋大海，如果没有经过全面培训与丰富实战的专业人员的帮助，企业可能很难进行完整的安全测试。但是每个企业组织都应该在进行生产前，至少进行基本的安全测试。同时，从2012年Gartner公司提出DevSecOps以来，DevSecOps的理念与实践越来越得到业界的关注与认可。DevSecOps旨在将安全测试结合到持续集成/持续交付（CI/CD）中，使得安全能够跟上代码的迭代速度。因此，企业组织与其它任何测试（例如回归测试、冒烟测试）一样，将安全测试加入到流水线，这样安全测试也可以作为流水线的一部分运行并及时报告问题，在一定程度上践行DevSecOps。OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究。OWASP ZAP（Zed Attack Proxy）是用于安全测试的开源工具，它可以帮助我们查找不同类型的漏洞，例如SQL注入，跨站点脚本编写等。ZAP以架设代理的形式来实现渗透性测试，它充当一个中间人的角色，浏览器所有与服务器的交互都要经过ZAP，这样ZAP就可以获得所有这些交互的信息，并且可以对他们进行分析、扫描，甚至是改包再发送。在本文中，主要分步展示了如何在华为云DevCloud中配置OWASP ZAP安全测试并发布HTML结果，主要实现以下目标：1.    将OWASP ZAP测试配置到华为云DevCloud流水线中；2.    将ZAP HTML测试结果发布到Tomcat服务器中，进行在线查看；3.    基于ZAP测试结果，在华为云DevCloud项目管理创建相应的工作项。1. 前提准备1.1      创建代码仓库本安全测试用到的脚本已经存放在华为云DevCloud的代码托管模板中。用户首先创建一个项目，然后点击代码-代码托管-按模板新建，在弹出页面中选择华北-北京四，在搜索框中输入DoD进行搜索，如下图所示：选中图中搜索出的代码仓库，并新建自己的仓库。在仓库中有如下两个脚本：start_zap.sh脚本用来执行安全测试，生成测试结果，并将测试结果传递给data_analysis.py进行处理。data_analysis.py脚本用来进行测试结果处理，实现门禁功能。注意用户在使用过程中，需将该脚本中的用户名、密码改成自己的华为云用户名、密码。1.2     将ZAP镜像上传到华为云SWR镜像仓华为云容器镜像服务（Software Repository for Container）是一种支持容器镜像全生命周期管理的服务，提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务，参考链接。[w1] 在这里，我们首先将ZAP镜像拉取到本地，命令如下：docker pull owasp/zap2docker-weekly然后再上传到华为云SWR中，以便后续使用。如下图所示：1.3     在华为云DevCloud中添加相应服务扩展点服务扩展点是DevCloud平台的一种扩展插件，为DevCloud平台提供链接第三方服务的能力。如本文中的华为云SWR镜像仓。[w2] 本文中使用华为云SWR镜像仓地址为：swr.cn-north-4.myhuaweicloud.com用户名、密码等信息可以到华为云SWR页面点击登录信息按钮进行获取。1.4     已准备好待检测网站地址本文用的是ZAP Baseline Scan中的示例：https://www.example.com1.5     弹性云服务器部署将使用带有公网IP的弹性云服务器，本文使用的是华为云ECS，参考链接。2. 在华为云DevCloud 流水线中设置OWASP ZAP测试2.1     将脚本发布到发布仓库我们可以使用编译构建任务将步骤1.1代码仓库中的start_zap.sh和data_analysis.py脚本发布到发布仓库中，供后续使用。当然也可以下载后上传到发布仓库，本处不在赘述。[w3] 2.2     创建ZAP运行环境通过华为云DevCloud的部署任务来创建ZAP运行环境，主要是从SWR拉取镜像部署到用户自己的弹性云服务器中，然后安装Python、Tomcat基础环境，并将安全测试脚本拉取到弹性云服务器中执行并进行结果处理。•      安装Docker。•      登录Docker镜像仓。•      拉取镜像。•      安装Python，执行Python脚本用。•      安装Tomcat，在线浏览测试结果用。•      停止Tomcat。•      拉取步骤2.1中上传到发布仓库中的测试用脚本（start_zap.sh和data_analysis.py）。•      执行测试用脚本，进行流程控制。•      启动Tomcat服务，在线浏览测试结果。2.3     将ZAP安全测试添加到流水线中将要测试网站进行构建、检查、打包、部署，然后通过ZAP进行安全测试，测试没有问题后，进行业务决策，并上线生产环境。流水线执行后，我们可以通过在线浏览查看相应的测试报告，如下图所示：根据测试结果脚本中的处理流程，在有问题的情况下，我们可以直接在华为云DevCloud的项目管理服务新建相应工作项如下图所示：本文实现了在华为云DevCloud流水线中实现OWASP ZAP安全测试，企业组织可以在本文的基础上进一步优化相关的实现。当然，企业组织在软件交付中，可能还会使用其它第三方工具，也可以参考本文找到解决方法。

请移步https://bbs.huaweicloud.com/blogs/194516

尊敬的华为云云市场合作伙伴：您好！为了确保云市场商品的安全性，自2020年8月7日起，发布SaaS类商品如涉及为用户提供网站服务（包括业务前台，管理后台portal等），您需确保您的应用不存在恶意内容，高危漏洞等。请您根据SaaS类商品安全漏洞扫描操作指导及安全规范的指引，对应用完成安全漏洞扫描自测试 ，商品发布时关联相应的扫描测试报告一起提交审核。具体操作流程请参见：https://support.huaweicloud.com/usermanual-marketplace/zh-cn_topic_0268096870.html如您有任何问题，可随时通过工单或者服务邮箱（partner@huaweicloud.com）与我们联系。感谢您对华为云云市场的支持！