2024-07-26 - 国产化替代:观察漏洞修补的及时性以供应链关系选择操作系统
其实笔者本来是想技术性地分析一下 CVE-2024-29510 Ghostscript 漏洞的影响。因为之前已经写过一篇选择发行版的方式:
但开始分析后,就发现自己在这篇文章中默认了一件事:
发行版的厂商会及时修补漏洞。但实际并不一定。
所以,通过观察厂商对漏洞修补的态度和及时性,明晰厂商的供应链关系,也是在国产化替代过程中选择合适自己的操作系统的一种方法。
笔者:国际认证信息系统审计师、软考系统分析师、软件工程硕士
了解 GhostScript 及 CVE-2024-29510
先说说 Ghostscript CVE-2024-29510 这个漏洞的基本情况[1]。
该漏洞危险等级评分是 5.5/10,也就是中等程度。但随着对该漏洞的远程代码执行 POC 的发布,鉴于 Ghostscript 被使用的广泛程度,安全社区普遍认为其危险等级被严重低估。
Ghostscript 一定程度上属于 Linux 发行版中“默默无闻”的组件之一。但这个组件的重要性对于无论是桌面应用或是 WEB 服务都很高。
最新发表
2024-07-26 国产化替代:观察漏洞修补的及时性以供应链关系选择操作系统其实笔者本来是想技术性地分析一下 CVE-2024-29510 Ghostscript 漏洞的影响。但发现发行版的厂商并不一定会及时修补漏洞。所以,观察厂商对漏洞修补的态度和及时性,明晰厂商的供应链关系,也是在国产化替代过程中选择合适自己的操作系统的一种方法。
2024-07-25 weakpass.com 弱密码资源集中地要高效排查自己所在企业组织的信息系统用户是否使用了弱密码,其中的一个关键点是需要使用有代表性的弱密码库和泄露密码库进行排查,而 WEAKPASS.COM 就是有用的资源。
2024-07-21 蓝屏不会是最后一次:盘点杀毒软件反杀操作系统的历史和警惕钓鱼网站盘点一下曾经发生过的杀毒软件反杀操作系统的事件。顺带提醒读者,每次有大规模的互联网事件时,黑灰产都少不了加以利用进行钓鱼。所以:切勿病急乱投医。
2024-07-20 软件供应链安全应敲响警钟:从CrowdStrike搞蓝了Windows所思昨天刚刚写完对GB/T 43698-2024 《网络安全技术 软件供应链安全要求》的解读,然后就是铺天盖地的WINDOWS蓝屏消息。
2024-07-13 解读即将实施的 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》(中篇)继续解读即将实施的 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》,中篇聚焦在标准第7章需方安全要求以及附录ABC。
2024-07-06 解读即将实施的 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》(上篇)计划分开上中下三篇解读已经发布即将实施的国家标准 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》。
2024-06-12 家用或小型办公室无线路由器网络安全检查清单关于无线路由器的安全问题已经写了好几篇文章,不过有人说,你这样写还是显得太专业了,对于不懂行的人来说不好使用......所以这次就干脆编排了一份面向家用或小型办公室(以下简称SOHO)无线路由器网络安全的检查清单,方便读者可以直接对照检查。
2024-06-09 话音刚落,Windows “回顾”功能的数据提取工具“全面回忆”已经有了果然所有的安全研究人员都不会放过微软这个完全没有经过深思熟虑就匆忙推出的“回顾”(Recall)功能。查询提取数据的 POC 程序已经有人做了。
2024-06-08 周末补漏洞:PHP CGI Windows平台远程代码执行漏洞 CVE-2024-4577总有些事情让你周末忙个不停......昨天爆出的PHP 漏洞:CVE-2024-4577,漏洞评分高达 9.8。
