2月11日,国家信息安全漏洞共享平台(CNVD)收录了两个微软Windows操作系统TCP/IP高危漏洞(CNVD-2021-10528,对 应CVE-2021-24074,CNVD-2021-10529,对 应CVE-2021-24086)。目前,漏洞细节尚未公开,微软已发布升级版本修复上述两个漏洞。
根据CNVD发布的消息,2021年2月10日,微软Microsoft在2月例行补丁日发布了2个TCP/IP高危漏洞(CVE-2021-24074/CVE-2021-24086)的补丁,这些漏洞影响绝大部分支持的Windows版本中的TCP/IP协议栈。其中,CVE-2021-24074被标记为远程代码执行漏洞,出现此漏洞的原因由于两个数据包分片之间的IPv4选项字段错误,导致操作系统IP分片重新组装期间出现超出范围的读取和写入。攻击者可以通过构造特殊的IP源路由数据包触发漏洞,成功利用此漏洞的攻击者可能获得在目标服务器上执行任意代码的能力;CVE-2021-24086被标记为拒绝服务类型,攻击者可以通过发送多个精心制作的IPv6数据包(多个IP包头、无效包头、多个分片头等)触发漏洞,该漏洞利用成功可能导致目标主机发生蓝屏。
经综合技术研判,上述两个漏洞的威胁程度高,范围广,攻击者如果成功利用,可能导致受害组织内部信息系统瘫痪或失守。目前,微软公司已发布了修复上述两个漏洞的安全补丁,CNVD建议用户开启Windows自动更新程序进行自动修复,或者从微软官方下载补丁进行手动修复。
2月20日 ,据 中国通信标准化协会消息, 国家市场监督管理总局(国家标准化管理委员会)发布2021年第1号公告,批准了7项强制性国家标准和1项强制性国家标准修改单,其中包含1项通信领域的强制性国家标准:GB 40050-2021《网络关键设备安全通用要求》。
GB 40050-2021《网络关键设备安全通用要求》是工业和信息化部网络安全管理局为落实《中华人民共和国网络安全法》中有关网络关键设备安全的要求,组织相关研究机构编制的一项重要标准。标准主要内容包括安全功能要求和安全保障要求。安全功能要求聚焦于保障和提升设备的安全技术能力,主要包括设备标识安全、冗余备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全、数据安全以及密码要求10个部分。安全保障要求聚焦于规范网络关键设备提供者在设备全生命周期的安全保障能力,主要包括设计和开发、生产和交付、运行和维护三个环节的要求。
强制性国家标准GB 40050-2021《网络关键设备安全通用要求》将于2021年8月1日正式实施。为配合本标准的正式实施,后续中国通信标准化协会将在工业和信息化部网络安全管理局的指导下,加强标准宣贯,帮助相关主体提升网络关键设备安全能力以符合标准的要求。