#安全简讯# CNVD发布关于Spring框架远程命令执行漏洞的安全公告
https://t.cn/A66OLYpw
2022年3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。由于Spring框架存在处理流程缺陷,攻击者可在远程条件下,实现对目标主机的后门文件写入和配置修改,继而通过后门文件访问获得目标主机权限。使用Spring框架或衍生框架构建网站等应用,且同时使用JDK版本在9及以上版本的,易受此漏洞攻击影响。目前,漏洞利用细节已大范围公开,Spring官方已发布补丁修复该漏洞。
https://t.cn/A66OLYpw
2022年3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。由于Spring框架存在处理流程缺陷,攻击者可在远程条件下,实现对目标主机的后门文件写入和配置修改,继而通过后门文件访问获得目标主机权限。使用Spring框架或衍生框架构建网站等应用,且同时使用JDK版本在9及以上版本的,易受此漏洞攻击影响。目前,漏洞利用细节已大范围公开,Spring官方已发布补丁修复该漏洞。
#上海法学研究#集刊2021年第18卷(智慧法治学术精华文集)
邢会强:《大数据时代个人金融信息的保护与利用》选读 载#东方法学#2021年第1期
从我国的立法实践来看,民法总则、网络安全法等相关法律均未规定不经本人同意即可收集个人信息的情形。《信息安全技术个人信息安全规范》弥补了上述法律的不足,它规定在若干情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意。我国应在法律中规定,个人金融信息中的违约信息和借贷敞口信息,可以不经个人同意,而由经金融监管部门依法批准的征信机构或与个人发生交易的金融机构强制收集、使用和披露,或由金融、税务、工商、海关、法院等部门直接将行政处罚信息、裁判及执行信息与金融机构、征信系统共享。
#法学研究# @中国法学会 @微博法律
邢会强:《大数据时代个人金融信息的保护与利用》选读 载#东方法学#2021年第1期
从我国的立法实践来看,民法总则、网络安全法等相关法律均未规定不经本人同意即可收集个人信息的情形。《信息安全技术个人信息安全规范》弥补了上述法律的不足,它规定在若干情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意。我国应在法律中规定,个人金融信息中的违约信息和借贷敞口信息,可以不经个人同意,而由经金融监管部门依法批准的征信机构或与个人发生交易的金融机构强制收集、使用和披露,或由金融、税务、工商、海关、法院等部门直接将行政处罚信息、裁判及执行信息与金融机构、征信系统共享。
#法学研究# @中国法学会 @微博法律
卡巴斯基是全球知名的安全杀毒软件,总部设在俄罗斯首都莫斯科。近日德国、意大利相继发出警告:公共部门不要使用卡巴斯基!
理由是担心俄乌战争下卡巴斯基会被强迫入侵连接系统。
从图表中看到,在全球信息安全产品及服务市场中,卡巴斯基并未进入前七,趋势科技第一,CrowdStrike是专门做云安全的,博通旗下的赛门铁克品牌分别位列第三和第四。
卡巴斯基,金山毒霸,小红伞,瑞星……那些年用过的杀毒软件。
之前卡巴斯基就被多次发现有后门,国内使用也有严格限制。
理由是担心俄乌战争下卡巴斯基会被强迫入侵连接系统。
从图表中看到,在全球信息安全产品及服务市场中,卡巴斯基并未进入前七,趋势科技第一,CrowdStrike是专门做云安全的,博通旗下的赛门铁克品牌分别位列第三和第四。
卡巴斯基,金山毒霸,小红伞,瑞星……那些年用过的杀毒软件。
之前卡巴斯基就被多次发现有后门,国内使用也有严格限制。
✋热门推荐