网络安全国内安全动态

DYNAMIC SECURITY

01

中共中央 国务院印发《数字中国建设整体布局规划》

近日，中共中央、国务院印发了《数字中国建设整体布局规划》（以下简称《规划》），并发出通知，要求各地区各部门结合实际认真贯彻落实。

《规划》指出，建设数字中国是数字时代推进中国式现代化的重要引擎，是构筑国家竞争新优势的有力支撑。加快数字中国建设，对全面建设社会主义现代化国家、全面推进中华民族伟大复兴具有重要意义和深远影响。

https://mp.weixin.qq.com/s/RGEvnuf8JdzIF3r3WA8RpQ

全国首部！《苏州市数据条例》明起施行

《苏州市数据条例》（以下简称《条例》）已由市第十七届人大常委会第四次会议于2022年10月28日通过，并经江苏省第十三届人民代表大会常务委员会第三十三次会议于2022年11月25日批准，自2023年3月1日起施行。

https://mp.weixin.qq.com/s/uFuGmO2Ru71EbqkS3HeqmQ

“网络安全创新发展高峰论坛”在京召开

近日，由《信息安全研究》杂志社主办的“网络安全创新发展高峰论坛”在北京召开，中国科学院院士郑建华、中国科学院院士冯登国、国家信息中心李新友研究员、公安部网络安全保卫局处长祝国邦等领导、专家出席论坛并做主题演讲或致辞，国家信息中心办公室副主任吕欣研究员主持论坛。论坛指出，党的二十大报告对建设数字中国、网络强国提出了明确要求，对加强网络安全，健全国家安全体系做出了顶层部署。本次论坛旨在深入学习贯彻党的二十大精神，坚持总体国家安全观，全面落实党中央、国务院对网络安全、数据安全等工作的部署和要求，深入研讨网络空间安全技术的新挑战、新进展和新方向，以技术创新、产业创新推进网络空间安全能力的总体提升。

https://mp.weixin.qq.com/s/rSVu4CaGwnKwtY4E_Nkrzw

“网络安全创新发展高峰论坛”在京召开

近日，由《信息安全研究》杂志社主办的“网络安全创新发展高峰论坛”在北京召开，中国科学院院士郑建华、中国科学院院士冯登国、国家信息中心李新友研究员、公安部网络安全保卫局处长祝国邦等领导、专家出席论坛并做主题演讲或致辞，国家信息中心办公室副主任吕欣研究员主持论坛。论坛指出，党的二十大报告对建设数字中国、网络强国提出了明确要求，对加强网络安全，健全国家安全体系做出了顶层部署。本次论坛旨在深入学习贯彻党的二十大精神，坚持总体国家安全观，全面落实党中央、国务院对网络安全、数据安全等工作的部署和要求，深入研讨网络空间安全技术的新挑战、新进展和新方向，以技术创新、产业创新推进网络空间安全能力的总体提升。

‍https://mp.weixin.qq.com/s/rSVu4CaGwnKwtY4E_Nkrzw‍

首届未来数商大会在杭举行

2月25日，首届未来数商大会在杭州未来科技城学术交流中心举办。大会以“以数据 见未来”为主题，邀请知名院士专家、专业机构、企业代表，通过主题演讲、圆桌对话、产业展览等形式，多方位交流解读数据要素价值化新趋势，揭晓“数商”产业画像，超过1000名专业观众在现场参加。

https://mp.weixin.qq.com/s/rsd-38YswSo7VReD_jomuA

3月3日消息，美国卫星电视运营商Dish Network上周遭遇勒索软件攻击，截至本周三（3月1日）仍在恢复当中。

https://mp.weixin.qq.com/s/w1C87usc0HP1PTT82TZlrQ

LastPass用户数据遭窃：关键运维员工遭定向攻击，内部安全控制失效

3月2日消息，密码管理供应商LastPass日前公布了去年遭受“二次协同攻击”事件的更多信息，发现恶意黑客潜伏在其内网长达两个月的时间内，持续访问并窃取了亚马逊AWS云存储中的数据。

https://mp.weixin.qq.com/s/zvrwVei6Jy-zEDTkks7Ptg

3月2日消息，过去一年，谷歌通过漏洞奖励计划支付了公司史上最高的总奖金金额，并对单个关键漏洞利用链奖励60.5万美元，打破单笔奖金纪录。

2022年全年，安全研究人员发现和上报的谷歌产品漏洞超过2900个，搜索巨头总计为此向703位研究人员支付了超1200万美元（约合人民币8200万元）。

https://mp.weixin.qq.com/s/nSHQCcWN1dFeNwiknapM-Q

2月27日消息，全球最大的新鲜果蔬生产与分销商之一都乐食品（Dole Food）宣布遭受勒索软件攻击，目前正在着手解决由此引发的运营影响。

都乐食品公司公布的细节很少，表示正在调查“事件的波及范围”，并宣称攻击影响有限。

该公司拥有约38000名员工，年收入达65亿美元。都乐食品在官网上的声明中表示，他们已经与第三方专家接洽，帮助其修复受影响系统并保障安全。执法当局也已经获悉此次事件。

https://mp.weixin.qq.com/s/IQCa3icdpTuQVHwCiI1mcg

INSEC WORLD世界信息安全大会移师西安，将于3月23日举办

2023年，又将是信息安全动荡的一年！在此背景下，由陕西省工业和信息化厅和陕西省商务厅指导，英富曼会展集团主办的2023 INSEC WORLD世界信息安全大会将以“聚焦安全 打造多元新格局“为主题，于3月23-24日在西安国际会展中心会议楼举办。

https://mp.weixin.qq.com/s/IZoVKJxfRPnoVYevKFDCvQ

Google TensorFlow是美国谷歌（Google）公司的一套用于机器学习的端到端开源平台。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞触发拒绝服务攻击。

CNVD收录的相关漏洞包括：Google TensorFlow拒绝服务漏洞（CNVD-2023-10600、CNVD-2023-10601）、Google TensorFlow CollectiveGather拒绝服务漏洞、Google TensorFlow输入验证错误漏洞（CNVD-2023-10603）、Google TensorFlow AvgPoolOp拒绝服务漏洞、Google TensorFlow EmptyTensorList拒绝服务漏洞、Google TensorFlow DrawBoundingBoxes拒绝服务漏洞、Google TensorFlow Conv2D拒绝服务漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10600

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10604

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10603

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10602

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10601

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10607

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10606

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10605

IBM Maximo Asset Management是美国国际商业机器（IBM）公司的一套综合性资产生命周期和维护管理解决方案。该方案能够在一个平台上管理所有类型的资产，如设施、交通运输等，并对这些资产实现单点控制。IBM Aspera是美国国际商业机器（IBM）公司的一套基于IBM FASP协议构建的快速文件传输和流解决方案。IBM InfoSphere Information Server是企业级信息集成平台。它能够帮助客户理解异构系统中的各种复杂信息，并且通过清洗和转换生成一致、完整的可信赖信息，最后将可信赖信息以各种方式交付给各种业务系统。IBM Sterling B2B Integrator是美国国际商业机器（IBM）公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。IBM QRadar SIEM是美国国际商业机器（IBM）公司的一套利用安全智能保护资产和信息远离高级威胁的解决方案。该方案提供对整个IT架构范围进行监督、生成详细的数据访问和用户活动报告等功能。IBM WebSphere Application Server（WAS）是美国国际商业机器（IBM）公司的一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台，也是IBMWebSphere软件平台的基础。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在浏览器中返回详细的技术错误消息时获取敏感信息，在系统上执行任意代码等。

CNVD收录的相关漏洞包括：IBM Maximo Asset Management信息泄露漏洞（CNVD-2023-11691）、IBM Aspera Faspex反序列化漏洞、IBM InfoSphere Information Server跨站脚本漏洞（CNVD-2023-11689）、IBM Aspera Faspex跨站脚本漏洞、IBM Sterling B2B Integrator跨站脚本漏洞（CNVD-2023-11694）、IBM QRadar SIEM信息泄露漏洞（CNVD-2023-11693）、IBM Sterling B2B Integrator身份验证错误漏洞、IBM WebSphere Application Server加密问题漏洞。其中，“IBM Aspera Faspex反序列化漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

Oracle产品安全漏洞

Oracle PeopleSoft Enterprise PeopleTools是美国甲骨文（Oracle）公司的用于为 PeopleSoft 应用程序提供与用户的需求和期望保持同步的技术。Oracle Supply Chain Products Suite是美国甲骨文（Oracle）公司的一套供应链解决方案。该产品提供价值链计划、价值链执行、产品生命周期管理等功能。Oracle PeopleSoft Enterprise PeopleTools是美国甲骨文（Oracle）公司的用于为PeopleSoft应用程序提供与用户的需求和期望保持同步的技术。Oracle E-Business Suite（电子商务套件）是美国甲骨文（Oracle）公司的一套全面集成式的全球业务管理软件。该软件提供了客户关系管理、服务管理、财务管理等功能。Oracle VM VirtualBox是美国甲骨文（Oracle）公司的一款虚拟机管理软件。Oracle Enterprise Manager Base Platform是美国甲骨文（Oracle）公司的一套本地管理平台。该平台主要用于管理Oracle产品部署。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，在系统上执行任意代码或导致拒绝服务等。

CNVD收录的相关漏洞包括Oracle PeopleSoft Enterprise PeopleTools信息泄露漏洞（CNVD-2023-11165、CNVD-2023-12017）、Oracle Supply Chain信息泄露漏洞（CNVD-2023-11168）、Oracle PeopleSoft Enterprise PeopleTools跨站脚本漏洞、Oracle Trade Management信息泄露漏洞（CNVD-2023-11172）、Oracle VM VirtualBox输入验证错误漏洞（CNVD-2023-11171）、Oracle Enterprise Manager Base Platform输入验证错误漏洞、Oracle VM VirtualBox拒绝服务漏洞（CNVD-2023-11169）。其中，“Oracle Enterprise Manager Base Platform输入验证错误漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

Siemens产品安全漏洞

Siemens Tecnomatix Plant Simulation是面向对象的、图形化的、集成的建模、仿真工具。本周，上述产品被披露存在越界写入漏洞，攻击者可利用漏洞在当前进程的上下文中执行代码。

CNVD收录的相关漏洞包括：Siemens Tecnomatix Plant Simulation越界写入漏洞（CNVD-2023-10614、CNVD-2023-10616、CNVD-2023-10615、CNVD-2023-10618、CNVD-2023-10617、CNVD-2023-10620、CNVD-2023-10619、CNVD-2023-10621）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10614

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10616

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10615

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10618

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10617

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10620

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10619

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10621

OTFCC代码问题漏洞

OTFCC是Caryll开源的一个C库和实用程序。用于解析和编写OpenType字体文件。本周，OTFCC被披露存在代码问题漏洞。攻击者可利用该漏洞导致程序拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://mp.weixin.qq.com/s/LVpXbMhA7i3wwLjv5KORCw