1. 关于Spring框架存在远程命令执行漏洞的安全公告3月30日,据国家信息安全漏洞共享平台(CNVD)网站消息,CNVD收录了Spring框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,漏洞利用细节已大范围公开,Spring官方已发布补丁修复该漏洞。CNVD建议受影响的单位和用户立即更新至最新版本。
2. 中央网信办关于开展“清朗·2022年算法综合治理”专项行动的通知
4月8日,据中国网信网消息,为加强互联网信息服务算法综合治理,有效推动《互联网信息服务算法推荐管理规定》(以下简称《管理规定》)落地见效,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康有序发展,中央网信办牵头开展“清朗·2022年算法综合治理”专项行动。本次行动目标聚焦网民关切,解决算法难题,维护网民合法权益,落地落实落好《管理规定》,深入排查整改互联网企业平台算法安全问题,评估算法安全能力,重点检查具有较强舆论属性或社会动员能力的大型网站、平台及产品,督促企业利用算法加大正能量传播、处置违法和不良信息、整治算法滥用乱象、积极开展算法备案,推动算法综合治理工作的常态化和规范化,营造风清气正的网络空间。
3. 关于Fodcha僵尸网络大规模传播的风险提示
4月13日,据CNCERT官网消息,近期,国家互联网应急中心(CNCERT)与三六零数字安全科技集团有限公司共同监测发现一个新的且在互联网上快速传播的DDoS僵尸网络,通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)已超过1万、且每日会针对超过100个攻击目标发起攻击,给网络空间带来较大威胁。由于该僵尸网络最初使用的C2域名folded.in,以及使用chacha算法来加密网络流量,将其命名为Fodcha。请广大网民强化风险意识,加强安全防范,避免不必要的经济损失,及时修复相关系统漏洞,不使用弱密码或默认密码,定期更换密码。当发现主机感染僵尸木马程序后,立即核实主机受控情况和入侵途径,并对受害主机进行清理。
4. 微软发布2022年4月安全更新
4月13日,据国家信息安全漏洞共享平台CNVD消息,4月12日,微软发布了2022年4月份的月度例行安全公告,修复了多款产品存在的103个安全漏洞。受影响的产品包括:Windows 11(69个)、Windows Server 2022(98个)、Windows 10 21H2(72个)、Windows 10 21H1(72个)、Windows 1020H2 & Windows Server v20H2(97个)、Windows 8.1 & Server 2012 R2(63个)、Windows Server 2012(57个)、Windows RT 8.1(47个)和Microsoft Office-related software(4个)。利用上述漏洞,攻击者可以绕过安全功能限制,获取敏感信息,提升权限,执行远程代码,或发起拒绝服务攻击等。CNVD提醒广大Microsoft用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
5. Oracle发布2022年4月的安全公告
4月24日,据国家信息安全漏洞共享平台CNVD官网消息,4月20日,Oracle发布了2022年4月份的安全更新,修复了其多款产品存在的520个安全漏洞。受影响的产品包括:Oracle Database Server数据库(5个)、Oracle Autonomous Health Framework(1个)、Oracle Blockchain Platform(15个)、Oracle GoldenGate(5个)、Oracle REST Data Services(1个)、Oracle SQL Developer(2个)、Oracle Commerce(7个)、Oracle Communications Applications(39)、Oracle Communications(149个)、Oracle Construction and Engineering(3个)、电子商务套装软件Oracle E-Business Suite(5个)、Oracle Enterprise Manager(10个)、Oracle Financial Services Applications(41个)、Oracle Fusion Middleware(54个)、Oracle Health Sciences Applications(3个)、Oracle HealthCare Applications(10个)、Oracle Hospitality Applications(6个)、Oracle Hyperion(12个)、Oracle iLearning(1个)、Oracle Insurance Applications(7个)、Oracle Java SE(7个)、Oracle JD Edwards(8个)、Oracle MySQL数据库(43个)、Oracle PeopleSoft(14个)、Oracle Retail Applications(30个)、Oracle Supply Chain(11个)、Oracle Support Tools(3个)、Oracle Systems(20个)、Oracle Taleo(1个)、Oracle Utilities Applications(1个)和Oracle Virtualization(6个)。CNVD提醒广大Oracle用户,请及时下载补丁更新,避免引发漏洞相关的安全事件。
6. 中央网信办等三部门印发《深入推进IPv6规模部署和应用2022年工作安排》
4月25日,据中国网信网消息,中央网信办等三部门印发《深入推进IPv6规模部署和应用2022年工作安排》。《工作安排》明确了2022年工作目标:到2022年末,IPv6活跃用户数达到7亿,物联网IPv6连接数达到1.8亿,固定网络IPv6流量占比达到13%,移动网络IPv6流量占比达到45%。网络和应用基础设施承载能力和服务质量持续提升,IPv6网络性能指标与IPv4相当,部分指标优于IPv4。数据中心、内容分发网络、云平台和域名解析系统等应用基础设施深度支持IPv6服务。新出厂家庭无线路由器全面支持IPv6,并默认开启IPv6地址分配功能。“IPv6+”技术生态体系更加完善,行业融合应用领域持续扩大。县级以上政府门户网站IPv6支持率达到85%,国内主要商业网站及移动互联网应用IPv6支持率达到85%。IPv6网络安全防护能力大幅提升。