2023-4-12 会议主题:安全委员会&安全技术sig例会 会议链接: https://us06web.zoom.us/j/86574885582?pwd=cHZDRVJSUHhlZVhSU3ZnV01abWpPdz09 主持人:颜小兵 与会人:闫志全、崔雷、许小松、魏刚、马威、颜小兵、谈静国、Zhibo@SUSE 会议议题: 1、社区漏洞感知情况汇报 — 闫志全 近期Vtopia公开漏洞感知时效性维持在较好状态,存在少数漏报错报情况(漏报3个,误报4个)。 2、社区漏洞修复情况汇报 — 颜小兵 一、整体情况 2023年3月社区共发布安全公告67个,修复漏洞86个(其中 Critical 3个,High 46个,其它37个),公告不受影响CVE 57个。 二、重点漏洞 如下漏洞评估影响较大,需重点关注: emacs任意命令执行漏洞(CVE-2023-28617),CVSS评分为9.8分 公告链接: https://www.openeuler.org/zh/security/cve/detail/?cveId=CVE-2023-28617&p... 影响范围:openEuler-20.03-LTS-SP1、openEuler-20.03-LTS-SP3、openEuler-22.03-LTS、openEuler-22.03-LTS-SP1 clamav远程执行任意代码漏洞(CVE-2023-20032),CVSS评分为9.8分 公告链接:https://www.openeuler.org/zh/security/cve/detail/?cveId=CVE-2023-20032&p... 影响范围:openEuler-20.03-LTS-SP1、openEuler-20.03-LTS-SP3、openEuler-22.03-LTS、openEuler-22.03-LTS-SP1 glibc 缓冲区溢出漏洞(CVE-2023-0687),CVSS评分为9.8分 公告链接:https://www.openeuler.org/zh/security/cve/detail/?cveId=CVE-2023-0687&pa... 影响范围:openEuler-20.03-LTS-SP1、openEuler-20.03-LTS-SP3、openEuler-22.03-LTS、openEuler-22.03-LTS-SP1
3、安全要求分层策略初步讨论 --- 颜小兵 安全要求: a)通过病毒扫描 b)已知漏洞修复 c)安全编译选项实施 软件包分层: 1) 标准ISO:a、b、c 2)baseos中的软件包; a、b、c 3)everything 中的软件包(不含baseos中的); a, b 建议对everything做分层,按分层制定策略 c 可不要求 4)epol中的软件包;a (b、c 不做要求)
4. 增强漏洞处理机制若干想法 -- 魏刚 介绍了计划23年进行漏洞处理增加的内容。
5. ODD 2023 SIG组线下开放工作会议 4月21日下午16:00 – 17:30进行的ODD 2023 Security Committee 及Security Facility SIG组线下开放工作会议, 线下开放工作会议提前收集议题,请按“议题名+介绍+需求发起人”的形式提交在etherpad: https://etherpad.openeuler.org/p/SC-23.09-Planning
遗留问题: 1、当前服务器应用场景,有运维安全的需求,往往要求对接某些监控厂商的系统状态监控,遗留问题是: 1)当前市场上这种系统监控或者运维需求有明确的标准或者规范么? 2)针对这种需求或者规范,欧拉社区有什么方案应对呢,以及有没有过相关的规范评测。 2、确认标准ISO和BASEOS 软件包的差异,everything中软件包的分层 颜小兵
下次会议时间4月26日, 主持人:朱健伟