社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
Py学习  »  chatgpt

美国CISA最新收录三大漏洞,涉及谷歌和ChatGPT!

FreeBuf • 1 年前 • 275 次点击  


上周五,美国网络安全和基础设施安全局(CISA)在其漏洞(KEV)目录中新增三个安全漏洞,具体如下:

CVE-2023-28432 (CVSS评分- 7.5)- MinIO信息泄露漏洞

CVE-2023-27350 (CVSS评分- 9.8)-剪纸MF/NG不当访问控制漏洞

CVE-2023-2136 (CVSS评分-待定)-谷歌Chrome Skia整数溢出漏洞


MinIO的维护人员在2023年3月21日发布的一份资讯报告中表示,在集群部

署中,MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD会还原所有环境变量,导致信息泄露。


据GreyNoise收集的数据显示,在过去的30天里,来自美国、荷兰、法国、日本和芬兰等多达18个恶意IP地址试图利用该漏洞。值得注意的是,这家威胁情报公司在上月底发布的警报文件中指出,OpenAI为开发者提供了一个参考方法,阐述了如何将他们的插件集成到ChatGPT上,主要是依赖于一个旧版本的MinIO,而该版本存在CVE-2023-28432的漏洞。


GreyNoise表示,OpenAI开发的新功能对于那些想在ChatGPT集成中访问不同提供商实时数据的开发人员来说,的确是一个非常有价值的工具,但安全性始终应该是摆在首位的核心设计原则。


此外,KEV目录中还添加了一个会致使PaperCut软件远程代码执行错误的漏洞。攻击者可以通过该漏洞实现免身份验证,并直接远程运行任意代码。


不过截至2023年3月8日,供应商已经修复了该漏洞,并发布了PaperCut MF和PaperCut NG20.1.7,21.2.11和22.0.9版本。Zero Day Initiative已于2023年1月10日正式报告了该问题,并预计将于2023年5月10日发布更多技术细节。


本周早些时候,有一家总部位于墨尔本的公司分享了一则最新消息称:有证据表明,在2023年4月18日左右,有攻击者通过漏洞攻击了未打补丁服务器。网络安全公司北极狼(Arctic Wolf)表示,此前也发现了一些PaperCut服务器被入侵的情况。一经入侵,RMM的工具Synchro MSP会直接在被损害系统上自动加载。


最后一个被添加至目录的是谷歌Chrome漏洞,该漏洞会直接影响到Skia 2D图形库,并可以让威胁者通过精心制作的HTML页面执行沙盒逃逸。


CISA建议美国联邦民事行政部门(FCEB)机构在2023年5月12日之前尽快修复这几个漏洞,以确保其网络安全。


参考链接:

https://thehackernews.com/2023/04/cisa-adds-3-actively-exploited-flaws-to.html

精彩推荐






Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/154362
 
275 次点击