2023-4-12 会议主题:安全委员会 & 安全技术 sig 例会 会议链接: https://us06web.zoom.us/j/86574885582?pwd=cHZDRVJSUHhlZVhSU3ZnV01abWpPdz09 主持人:颜小兵 与会人:闫志全、崔雷、许小松、魏刚、马威、颜小兵、谈静国、 Zhibo@SUSE 会议议题: 1 、社区漏洞感知情况汇报 — 闫志全 近期 Vtopia 公开漏洞感知时效性维持在较好状态,存在少数漏报错报情况(漏报 3 个,误报 4 个)。 2 、社区漏洞修复情况汇报 — 颜小兵 一、整体情况 2023 年 3 月社区共发布安全公告 67 个,修复漏洞 86 个(其中 Critical 3 个, High 46 个,其它 37 个),公告不受影响 CVE 57 个。 二、重点漏洞 如下漏洞评估影响较大,需重点关注: emacs 任意命令执行漏洞( CVE-2023-28617 ), CVSS 评分为 9.8 分 公告链接: https://www.openeuler.org/zh/security/cve/detail/?cveId=CVE-2023-28617&p... 影响范围: openEuler-20.03-LTS-SP1 、 openEuler-20.03-LTS-SP3 、 openEuler-22.03-LTS 、 openEuler-22.03-LTS-SP1
clamav 远程执行任意代码漏洞( CVE-2023-20032 ), CVSS 评分为 9.8 分 公告链接: https://www.openeuler.org/zh/security/cve/detail/?cveId=CVE-2023-20032&p... 影响范围: openEuler-20.03-LTS-SP1 、 openEuler-20.03-LTS-SP3 、 openEuler-22.03-LTS 、 openEuler-22.03-LTS-SP1
glibc 缓冲区溢出漏洞( CVE-2023-0687 ), CVSS 评分为 9.8 分 公告链接: https://www.openeuler.org/zh/security/cve/detail/?cveId=CVE-2023-0687&pa... 影响范围: openEuler-20.03-LTS-SP1 、 openEuler-20.03-LTS-SP3 、 openEuler-22.03-LTS 、 openEuler-22.03-LTS-SP1
3 、安全要求分层策略初步讨论 --- 颜小兵 安全要求: a )通过病毒扫描 b )已知漏洞修复
c )安全编译选项实施
软件包分层 : 1) 标准 ISO : a 、 b 、 c
2 ) baseos 中的软件包; a 、 b 、 c 3 ) everything 中的软件包(不含 baseos 中的); a, b 建议对 everything 做分层,按分层制定策略 c 可不要求 4 ) epol 中的软件包; a (b 、 c 不做要求 )
4. 增强漏洞处理机制若干想法 -- 魏刚 介绍了计划 23 年进行漏洞处理增加的内容。
5. ODD 2023 SIG 组线下开放工作会议 4 月 21 日下午 16 : 00 – 17 : 30 进行的 ODD 2023 Security Committee 及 Security Facility SIG 组线下开放工作会议, 线下开放工作会议提前收集议题,请按“议题名 + 介绍 + 需求发起人”的形式提交在 etherpad : https://etherpad.openeuler.org/p/SC-23.09-Planning
遗留问题: 1 、当前服务器应用场景,有运维安全的需求,往往要求对接某些监控厂商的系统状态监控,遗留问题是: 1 )当前市场上这种系统监控或者运维需求有明确的标准或者规范么? 2 )针对这种需求或者规范,欧拉社区有什么方案应对呢,以及有没有过相关的规范评测。 2 、确认标准 ISO 和 BASEOS 软件包的差异, everything 中软件包的分层 颜小兵
下次会议时间 4 月 26 日 , 主持人:朱健伟
-
Yanxiaobing