風險: 中度風險
類型: 伺服器 - 其他伺服器
於 GitLab 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發阻斷服務、權限提升、遠端執行任意程式碼、敏感資料洩露及資料篡改。
在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。
安裝供應商提供的修補程式:
RISK: Medium Risk
TYPE: Servers - Other Servers
Multiple vulnerabilities were identified in GitLab. A remote attacker could exploit some of these vulnerabilities to trigger denial of service, elevation of privilege, remote code execution, sensitive information disclosure and data manipulation on the targeted system.
Before installation of the software, please visit the vendor web-site for more details.
Apply fixes issued by the vendor:
風險: 中度風險
類型: 用戶端 - 瀏覽器
於 Google Chrome 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發遠端執行任意程式碼。
在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。
安裝軟件供應商提供的修補程式:
RISK: Medium Risk
TYPE: Clients - Browsers
Multiple vulnerabilities were identified in Google Chrome. A remote attacker could exploit some of these vulnerabilities to trigger remote code execution on the targeted system.
Before installation of the software, please visit the software vendor web-site for more details.
Apply fixes issued by the vendor:
風險: 極高度風險
類型: 操作系統 - 流動裝置及操作系統
於 Jenkins 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發遠端執行任意程式碼、洩露敏感資料、跨網站指令碼及繞過保安限制。
注意:
對於 CVE-2024-23897,透過 CLI 的任意檔案讀取漏洞可能會導致遠端執行任意程式碼。CVE-2024-23897 漏洞已被廣泛利用。
CVE-2024-23897 影響 Jenkins weekly 2.441 及以前的版本、Jenkins LTS 2.426.2 及以前的版本。
在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。
安裝供應商提供的修補程式:
RISK: Extremely High Risk
TYPE: Operating Systems - Mobile & Apps
Multiple vulnerabilities were identified in Jenkins. A remote attacker could exploit some of these vulnerabilities to trigger remote code execution, sensitive information disclosure, cross-site scripting and security restriction bypass on the targeted system.
Note:
For CVE-2024-23897, arbitrary file read vulnerability through the CLI can lead to RCE. The CVE-2024-23897 vulnerability is being exploited in the wild.
CVE-2024-23897 affects Jenkins weekly versions up to and including 2.441, Jenkins LTS versions up to and including 2.426.2.
Before installation of the software, please visit the vendor web-site for more details.
Apply fixes issued by the vendor:
風險: 中度風險
類型: 操作系統 - Network
於 Juniper Junos OS 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發洩露敏感資料、資料篡改、跨網站指令碼及繞過保安限制。
詳情請參閱以下連結﹕
在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。
安裝供應商提供的修補程式:
RISK: Medium Risk
TYPE: Operating Systems - Networks OS
Multiple vulnerabilities were identified in Juniper Junos OS. A remote attacker could exploit some of these vulnerabilities to trigger sensitive information disclosure, data manipulation, cross-site scripting and security restriction bypass on the targeted system.
Please refer to the link below for detail:
Before installation of the software, please visit the vendor web-site for more details.
Apply fixes issued by the vendor:
風險: 中度風險
類型: 操作系統 - LINUX
於 RedHat Linux核心發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發阻斷服務狀況、權限提升、遠端執行任意程式碼、洩露敏感資料、資料篡改及繞過保安限制。
在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。
安裝供應商提供的修補程式:
RISK: Medium Risk
TYPE: Operating Systems - Linux
Multiple vulnerabilities were identified in RedHat Linux Kernel. A remote attacker could exploit some of these vulnerabilities to trigger denial of service condition, elevation of privilege, remote code execution, sensitive information disclosure, data manipulation and security restriction bypass on the targeted system.
Before installation of the software, please visit the vendor web-site for more details.
Apply fixes issued by the vendor:
風險: 中度風險
類型: 用戶端 - 瀏覽器
於 Microsoft Edge 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發權限提升、洩露敏感資料及彷冒。
在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。
安裝軟件供應商提供的修補程式:
RISK: Medium Risk
TYPE: Clients - Browsers
Multiple vulnerabilities were identified in Microsoft Edge. A remote attacker could exploit some of these vulnerabilities to trigger elevation of privilege, sensitive information disclosure and spoofing on the targeted system.
Before installation of the software, please visit the software vendor web-site for more details.
Apply fixes issued by the vendor:
雲端運算在當今商業環境中扮演著不可或缺的角色。現今,IT 基礎架構、平台和軟件通常以服務形式提供(例如 IaaS、PaaS 和 SaaS)而非傳統的場地配置,這對於中小企業尤其具有吸引力。雲端提供了一個能夠與更大競爭對手平起平坐的機會,讓企業在不消耗大量資金的情況下,實現更高的業務靈活性和迅速擴張。正因如此,最近的一份報告指出,53% 的全球中小企業受訪者表示,他們每年在雲端上的支出超過 120 萬美元,而去年這個數字僅為 38%。
然而,隨著數位轉型的進展,各種風險也隨之而來。安全性(72%)和合規性(71%)是這些受訪者普遍提到的第二和第三個最常見的問題。應對這些挑戰的第一步,是了解中小企業在其雲端部署中犯下的主要錯誤。
一、缺乏多重要素驗證(MFA)
靜態密碼本質上並不安全,而且並非每家企業都遵守嚴格的密碼建立政策。密碼可能以多種方式被竊取,例如透過釣魚、暴力破解或猜測。因此,您需要在 MFA 之上增加一層額外的身份驗證,使攻擊者更難存取您的用戶的 SaaS、IaaS 或 PaaS 帳戶,以減輕勒索軟件、資料竊取和其他潛在風險。另一個選擇是在可能的情況下使用其他身份驗證方法,例如無密碼身份驗證。
二、過度信任雲端服務供商應(CSP)
許多 IT 主管誤以為投資於雲端,實際上就是將所有事務外判給一個可信賴的第三方,這並非完全正確。事實上,保護雲端的責任是由雲端服務供應商(CSP)和客戶共同承擔的,您需要關注的事情,將取決於雲端服務的類型(SaaS、IaaS 或 PaaS)和 CSP。即使大部分責任由 CSP 承擔,您仍然需要確保您的機構採取必要的安全措施,例如加密數據、設置適當的存取控制和監控活動。
三、忽略數據加密
數據加密是保護敏感信息免受未經授權存取的重要手段。即使數據在雲端中儲存和傳輸,也應該進行加密,這將使攻擊者即使獲得數據,也無法解讀其內容。請確保您的雲端服務供應商支援數據加密,並按照最佳實踐進行配置。
四、忽視強大的存取控制
存取控制是確保只有授權用戶能夠存取數據和系統的關鍵元素。適當的存取控制應該包括分配唯一的用戶帳戶、限制特權存取、實施角色基礎的存取控制和定期審查用戶權限。這有助於減少內部和外部威脅對您的雲端環境造成的風險。
五、不定期更新軟件和系統
雲端服務供應商通常會定期更新其軟件和系統,以修補安全漏洞和弱點。然而,這並不意味著您可以忽略更新。作為客戶,您負責確保您的應用程式和系統保持最新狀態。定期檢查並更新軟件、應用程式和操作系統,以確保您的環境免受已知漏洞的影響。
六、不進行適當的監控和日誌記錄
監控和日誌記錄是實時檢測和回應安全事件的關鍵。通過監控您的雲端環境,您可以檢測到異常活動、未授權的存取和其他潛在的安全問題。同樣重要的是,確保您的日誌記錄包含足夠的細節,以便在需要調查和回溯時使用。
七、忽略員工培訓和意識培育
員工是您機構的第一道防線,也是最脆弱的環節之一。進行定期的安全培訓和意識培育活動,教育員工有關雲端安全最佳實踐、釣魚攻擊、強密碼和其他安全相關主題。這將幫助減少人為錯誤和社交工程攻擊所帶來的風險。
以上是中小企業在雲端安全方面常見的錯誤。通過避免這些錯誤,您可以提高您的雲端環境的安全性,減少數據洩露和其他安全威脅的風險。同時,請記住,雲端安全是一個動態的領域,您需要與技術發展和威脅演變保持同步。最重要的是,將雲端安全納入您的整體業務戰略中,這包括確定安全負責人,建立安全政策和程序,並持續執行監控和修正措施。
風險: 中度風險
類型: 保安軟件及應用設備 - 保安軟件及應用設備
於思科產品發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發遠端執行任意程式碼、繞過保安限制及跨網站指令碼。
在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。
安裝供應商提供的修補程式:
RISK: Medium Risk
TYPE: Security software and application - Security Software & Appliance
Multiple vulnerabilities were identified in Cisco products. A remote attacker could exploit some of these vulnerabilities to trigger remote code execution, security restriction bypass and cross-site scripting on the targeted system.
Before installation of the software, please visit the vendor web-site for more details.
Apply fixes issued by the vendor:
RISK: Medium Risk
TYPE: Servers - Other Servers
A vulnerability was identified in Citrix Hypervisor. A remote user can exploit this vulnerability to trigger denial of service condition on the targeted system.
Before installation of the software, please visit the vendor web-site for more details.
Apply fixes issued by the vendor:
