2021-8-11 主持人:杨丽锦
与会人: 刘金刚,魏刚,郭晓琪,朱健伟,杨丽锦,麒麟软件-崔雷,zhangshaoning,统信-魏东,李武,KaiLiu,中科微澜-闫志全、侯颖超
会议内容:
1. 漏洞感知工具进展汇报——闫志全
漏洞感知工具整体运行以稳定。
针对漏洞感知及时性改进措施:除特殊情况外,均采用自动推送,去掉原有的1小时审核时间。
2.社区漏洞处理进展汇报—— 杨丽锦
1) 漏洞感知: 7月29日到8月11日新增漏洞28个,其中14个源自感知工具,占比 50%
手动提单:
CVE-2020-15778 | CVE-2021-31810 | CVE-2021-32066 | CVE-2021-3659 | CVE-2021-35477 | CVE-2021-34556 | CVE-2021-3655
CVE-2021-3679 | CVE-2021-3640 | CVE-2021-36386 | CVE-2021-22925 | CVE-2021-22926 | CVE-2021-28966 | CVE-2021-3672
已同步给闫志全
2) 漏洞修复:
期间共推送28个CVE,已完成14个,已发布8个。
当前还有13个漏洞未修复,其中7分以上漏洞5个。
七月的SLO目前的达成率为82.43%。
3.CVE打分规则分享——魏刚哥
针对漏洞攻击场景,从攻击向量(AV)、攻击复杂性(AC)、所需权限(PR)、用户交互(UI)、范围(S)、机密性(C)、完整性(I)、可用性(A)多个维度进行分析,通过cve计算器可以获取得分。
4.gradle CVE的处理讨论
同意报备
遗留问题:
1、普通用户是否可以实现攻击 —— 侯颖超
2、分析gradle是否提供web服务、网络场景,是否涉及网络攻击 —— 侯颖超
3、给出一个时间点,具体什么时候可以完成升级 —— 侯颖超
5.openssh规避方案如何呈现在发布的公告里讨论 —— 郭晓琪
结论:针对openssh规避方案这一特殊情况,会在安全公告里增加定制化描述
下次安全委员会会议时间:8月25日, 主持人:刘金刚
发件人: openEuler conference [mailto:public@openeuler.org] 发送时间: 2021年8月10日 10:26 收件人: dev@openEuler.org; openEuler-security@openEuler.org; tc@openEuler.org 主题: [openeuler-security] 安全委员会例会
您好!
openEuler security-committee SIG 邀请您参加 2021-08-11 16:00 召开的ZOOM会议
会议主题:安全委员会例会
会议内容:1. 漏洞感知工具进展汇报
2.社区漏洞处理进展汇报
3.gradle CVE的处理讨论
4.openssh规避方案如何呈现在发布的公告里讨论
会议链接:https://us06web.zoom.us/j/83456782841?pwd=cnRETC9jY3RMN1NYU1FtZGhRNnJQUT09
温馨提醒:建议接入会议后修改参会人的姓名,也可以使用您在gitee.com的ID
更多资讯尽在:https://openeuler.org/zh/
Hello!
openEuler security-committee SIG invites you to attend the ZOOM conference will be held at 2021-08-11 16:00,
The subject of the conference is 安全委员会例会,
Summary: 1. 漏洞感知工具进展汇报
2.社区漏洞处理进展汇报
3.gradle CVE的处理讨论
4.openssh规避方案如何呈现在发布的公告里讨论
You can join the meeting at https://us06web.zoom.us/j/83456782841?pwd=cnRETC9jY3RMN1NYU1FtZGhRNnJQUT09.
Note: You are advised to change the participant name after joining the conference or use your ID at gitee.com.
More informationhttps://openeuler.org/zh/