2023-4-12

会议主题：安全委员会&安全技术sig例会

会议链接： https://us06web.zoom.us/j/86574885582?pwd=cHZDRVJSUHhlZVhSU3ZnV01abWpPdz09

主持人：颜小兵

与会人：闫志全、崔雷、许小松、魏刚、马威、颜小兵、谈静国、Zhibo@SUSE

会议议题：

1、社区漏洞感知情况汇报 — 闫志全

      近期Vtopia公开漏洞感知时效性维持在较好状态，存在少数漏报错报情况（漏报3个，误报4个）。

2、社区漏洞修复情况汇报 — 颜小兵

一、整体情况

2023年3月社区共发布安全公告67个，修复漏洞86个（其中 Critical 3个，High 46个，其它37个），公告不受影响CVE 57个。

二、重点漏洞

如下漏洞评估影响较大，需重点关注：

emacs任意命令执行漏洞（CVE-2023-28617），CVSS评分为9.8分

公告链接： https://www.openeuler.org/zh/security/cve/detail/?cveId=CVE-2023-28617&packageName=emacs

影响范围：openEuler-20.03-LTS-SP1、openEuler-20.03-LTS-SP3、openEuler-22.03-LTS、openEuler-22.03-LTS-SP1

clamav远程执行任意代码漏洞（CVE-2023-20032），CVSS评分为9.8分

公告链接：https://www.openeuler.org/zh/security/cve/detail/?cveId=CVE-2023-20032&packageName=clamav

影响范围：openEuler-20.03-LTS-SP1、openEuler-20.03-LTS-SP3、openEuler-22.03-LTS、openEuler-22.03-LTS-SP1

glibc 缓冲区溢出漏洞（CVE-2023-0687），CVSS评分为9.8分

公告链接：https://www.openeuler.org/zh/security/cve/detail/?cveId=CVE-2023-0687&packageName=glibc

影响范围：openEuler-20.03-LTS-SP1、openEuler-20.03-LTS-SP3、openEuler-22.03-LTS、openEuler-22.03-LTS-SP1

3、安全要求分层策略初步讨论 --- 颜小兵

安全要求：

a）通过病毒扫描

b）已知漏洞修复        

c）安全编译选项实施   

软件包分层:

1) 标准ISO：a、b、c

2）baseos中的软件包； a、b、c

3）everything 中的软件包（不含baseos中的）；  a,  b 建议对everything做分层，按分层制定策略  c 可不要求

4）epol中的软件包；a  (b、c 不做要求)

4. 增强漏洞处理机制若干想法 -- 魏刚

介绍了计划23年进行漏洞处理增加的内容。

5. ODD 2023 SIG组线下开放工作会议

4月21日下午16：00 – 17：30进行的ODD 2023 Security Committee 及Security Facility SIG组线下开放工作会议，

线下开放工作会议提前收集议题，请按“议题名+介绍+需求发起人”的形式提交在etherpad：

https://etherpad.openeuler.org/p/SC-23.09-Planning

遗留问题：

1、当前服务器应用场景，有运维安全的需求，往往要求对接某些监控厂商的系统状态监控，遗留问题是：

1）当前市场上这种系统监控或者运维需求有明确的标准或者规范么？

2）针对这种需求或者规范，欧拉社区有什么方案应对呢，以及有没有过相关的规范评测。

2、确认标准ISO和BASEOS 软件包的差异，everything中软件包的分层   颜小兵

下次会议时间4月26日, 主持人：朱健伟