这两天引起全球资安圈高度关注的议题,莫过于美国政府委托MITRE维护「常见漏洞披露(CVE)」资料库与「通用缺陷列表(CWE)」的合约到期,由于波及所有采用CVE分析漏洞的企业组织,影响层面将可能相当广泛。
事隔一天,美国政府决定依照合约延长维护CVE的时间,该服务暂时免于中断的灾难。但这起风波也凸显CVE长期倚赖单一国家政府资助的问题,CVE董事会决议转型非营利基金会。
【漏洞与修补】
稽核结果共发现27项问题,其中17项具有安全性风险,包含3项高风险、5项中度风险与9项低风险问题,另有10项属于资讯性弱点。多数问题已在GitHub安全通报揭露,另有两项尚未公开之高风险漏洞仍在修补中,预计于修正完成后正式公布。
已公布的CVE包含CVE-2024-8929,指出MySQL驱动可能透过恶意伺服器触发堆积缓冲区过读(Over-Read),泄露先前请求内容;CVE-2024-9026涉及PHP-FPM日志讯息潜在窜改风险;CVE-2024-8925为表单资料解析错误,可能导致误解资讯;CVE-2024-8928则为记忆体管理异常可能造成记忆体区段错误。
其他攻击与威胁
◆◆
有人取得负责美国国土安全部窗口的MITRE主任Yosry Barsoum发出的信件,内容是向CVE委员会透露,4月15日广泛受到全球资安领域采用的「常见漏洞披露(CVE)」资料库,以及「通用缺陷列表(CWE)」等多项专案的维护合约即将到期,影响层面将会相当广泛,现在出现新的发展。
美国网路安全暨基础设施安全局(CISA)表示,他们决定将延长提供资金的时间,让CVE专案的服务不致间断。CISA指出CVE专案对于资安社群极为宝贵,也是他们的优先项目,他们在15日晚间执行了合约当中的延长选项来因应此事。CISA向资安媒体Bleeping Computer、SecurityAffairs透露,合约将延长11个月。
虽然CVE暂时逃过停止运作的情形,但在CISA承诺持续提供资金之前,CVE的部分成员决定成立独立的CVE基金会来因应。该基金会的成立,代表CVE专案这项弱点管理生态圈开始排除单点故障的情况,并确保该专案能持续受到全球信任、以社群驱动迈出重要的一步。他们也将公布CVE基金会的组织架构、过渡规画,以及社群参与机会等相关细节。
生成式AI带动大语言模型应用,然而企业使用大语言模型(LLM),不论是自行训练或是微调,可能产生资安风险,趋势科技架构师蔡凯翔建议,可从大型语言模型应用程式的发展生命周期,利用方法论去检视开发阶段中的安全边界,降低相关的资安风险。
「大语言模型的开发生命周期,就是一种机器学习和DevOps的综合体」,蔡凯翔说,趋势科技针对大语言模型的资安风险发布报告,建立一套检视LLM安全的方法论,他在今年台湾资安大会上对外分享如何实作大语言模型的资安实务。
他表示,一般而言,资安会发生在信任程度发生变化的时候,例如系统外面的使用者发送的请求,或是使用第三方的套件,这些都是由外到内的过程中,信任程度发生变化,「从LLM应用架构来看,哪些部分会带来信任程度的改变,就是需要留意是否发生风险的地方」。