山石情报局丨《网络产品安全漏洞管理规定》发布;YAPI远程代码执行漏洞


 

一、业界动态

 

1、2021年上半年全球网络空间发展态势综述

2021年上半年,在日益不稳定的全球网络安全格局中,大规模针对性网络行动大幅增加,数据泄露、勒索软件、安全漏洞不断升级发展,网络安全已成为国家安全的重要因素。回顾2021年上半年,全球网络空间政治和军事领域力量持续发展,太空网络安全建设重要性进一步凸显,网络空间规则主导权和话语权争夺更加激烈。面对美国网络威慑实施、网络预算节节攀升,我国进一步增强网络防御手段、优化装备建设、研发自主技术已迫在眉睫。

<戳我看原文>

 

2、滴滴,“团灭”了!旗下25款App全部下架!

据国家网信办9日消息,根据举报,经检测核实,“滴滴企业版”等25款App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架上述25款App,要求相关运营者严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。各网站、平台不得为“滴滴出行”和“滴滴企业版”等上述25款已在应用商店下架的App提供访问和下载服务。

<戳我看原文>

 

二、网络安全政策

 

1、工信部等十部门印发《5G应用“扬帆”行动计划(2021-2023年)》

5G融合应用是促进经济社会数字化、网络化、智能化转型的重要引擎。为贯彻落实习近平总书记关于加快5G发展的重要指示精神和党中央、国务院决策部署,大力推动5G全面协同发展,深入推进5G赋能千行百业,促进形成“需求牵引供给,供给创造需求”的高水平发展模式,驱动生产方式、生活方式和治理方式升级,培育壮大经济社会发展新动能,特制订本计划。

<戳我看原文>

 

2、这48款侵害用户权益App,下架!

2021年第5批(总第14批)公开通报APP,经第三方检测机构核查复检,截至目前尚有18款APP未按照我部要求完成整改。上海、安徽、广东、四川省(市)通信管理局检查发现共有30款APP仍未完成整改。依据《网络安全法》《电信和互联网用户个人信息保护规定》《移动智能终端应用软件预置和分发管理暂行规定》等法律和规范性文件要求,工信部组织对上述48款APP进行下架。

<戳我看原文>

 

3、国家互联网信息办公室关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知

依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规,我办会同有关部门修订了《网络安全审查办法》,现向社会公开征求意见。意见反馈截止日期为2021年7月25日。

<戳我看原文>

 

4、《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》发布

为深入贯彻党中央、国务院关于制造强国和网络强国的战略决策部署,落实《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》有关要求,加快推动网络安全产业高质量发展,提升网络安全产业综合实力,工业和信息化部起草了《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》。为进一步听取社会各界意见,现予以公示。如有意见或建议,请于2021年7月16日(周五)前反馈。

<戳我看原文>

 

5、工信部、网信办、公安部联合印发《网络产品安全漏洞管理规定》

工业和信息化部、国家互联网信息办公室、公安部近日联合印发《网络产品安全漏洞管理规定》。《规定》旨在维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者,以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。《规定》自9月1日起施行。

<戳我看原文>

 

三、漏洞/安全通告

 

1、【漏洞风险通告】 YAPI远程代码执行漏洞

YAPI是一个可本地部署的、打通前后端及QA的、可视化的接口管理平台。近日,YAPI接口管理平台被曝出远程代码执行漏洞,攻击者可通过平台注册用户添加接口,设置mock脚本从而执行任意代码。该漏洞影响YAPI全版。由于该漏洞目前为0day状态,官方补丁尚未发布。

<戳我看原文>

 

2、【补丁发布】Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)风险通告

2021年7月1日,微软提前发布Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)。目前该漏洞的PoC和EXP均已公开,建议尽快修复漏洞并自查服务器的安全状况。补丁已于7日发布,链接地址:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527。鉴于此漏洞危害较大,且有研究人员发现该补丁存在被绕过的可能性,因此建议在打补丁的同时仍然禁用非必要的打印服务。

<戳我看原文>

 

四、国外新闻

 

1、拜登敦促普京对勒索软件攻击采取行动

据路透社华盛顿消息,美国总统拜登与罗斯总统普京于9日进行了一个小时的电话通话。拜登,求普京采取行动打击俄罗斯境内勒索软件组织,并警告称如果网络黑客不能得到阻止,美国就将做出回应。

<戳我看原文>

 

2、黑客在伊朗铁路系统上造成“混乱”,并公布其领导人的电话号码

伊朗的铁路系统遭到网络攻击,黑客不仅在伊朗全国各地车站的显示板上发布火车延误或取消的虚假信息,导致数千名乘客被困,而且引导乘客致电了解信息,而电话号码留的却是伊朗最高领导人办公室的。

<戳我看原文>