國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞267個，互聯網上出現“LGSuperSign CMS 遠程代碼執行漏洞、Joomla!組件Penny Auction Factory SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　應用“良好實踐”探討銀行業數據安全保護實踐

　　隨著大數據的廣泛應用，數據作為銀行業重要的資產之一，所面臨的安全形勢越來越嚴峻，銀行業如何保護其數據的安全是一個亟待解決的問題，應用“良好實踐（Good Practice，GP）”的思想是目前較為可行的思路之一。>>詳細

　　量子計算機也無法破解？黑莓公布了一項新加密技術

　　所謂量子抗性就是一種加密工具技術，數字簽名是指確保除原始作者之外的任何人都未曾更改軟件內容的方法。>>詳細

　　支付寶提示蘋果用戶ID被盜 科技巨頭隱私安全響警鐘

　　網絡罪犯一旦進入了企業網絡，就會通過持續的橫向活動而鎖定并接管服務器，以獲取里面的重要數據，如個人身份識別信息（PII）、銀行、稅務、工資及其他財務記錄，甚至專利知識產權和共享應用程序等。>>詳細

　　【金融知識微課堂】揭秘48種常見電信詐騙！

　　生活中，電信詐騙防不勝防，在電信詐騙的諸多案例中，犯罪分子作案手段多樣，導致廣大百姓頻頻中招。>>詳細

　　法律禁止默認密碼“admin” “無意入侵”沒那么容易了

　　加州通過了一項法律，2020年之后禁止在所有新的消費電子產品中使用“admin”、“123456”和經典的“password”這樣的默認密碼。>>詳細

　　微軟、IBM、英特爾等爭相試水企業級區塊鏈新機會？

　　區塊鏈正在企業級領域大展拳腳。這項長期與比特幣、ICO聯系在一起的技術現在已經應用于銀行清算、票據、征信體系等多個領域，用來提升這些業務的效率及安全性。>>詳細

　　為解決數據泄露的困境——Google為第三方應用設置了訪問Gmail數據的新規則

　　谷歌將對希望訪問用戶Gmail收件箱的第三方應用程序推出更嚴格的規則。新規定將于2019年1月9日生效。>>詳細

　　技術觀瀾

　　新型XBash惡意軟件融合了勒索病毒、挖礦、僵尸網絡和蠕蟲的功能

　　近期，Palo Alto Network的研究人員發現了一款名叫XBash的新型惡意軟件，而這款惡意軟件不僅是一個勒索軟件，而且它還融合了挖礦、僵尸網絡和蠕蟲等功能。>>詳細

　　滲透技巧——PPTP口令的獲取與爆破

　　本文介紹了命令行下導出PPTP配置信息和口令的方法，通過命令行能夠實現開啟和關閉VPN連接。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年09月24日-2018年10月07日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞267個，其中高危漏洞93個、中危漏洞168個、低危漏洞6個。漏洞平均分值為6.10。上周收錄的漏洞中，涉及0day漏洞100個（占37%），其中互聯網上出現“LGSuperSign CMS 遠程代碼執行漏洞、Joomla!組件Penny Auction Factory SQL注入漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Samsung產品安全漏洞

　　Samsung SmartThings Hub STH-ETH-250是一款智能家居管理設備。上周，上述產品被披露存在緩沖區溢出和任意代碼執行漏洞，攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Samsung SmartThings HubSTH-ETH-250 video-core HTTP服務器緩沖區溢出漏洞（CNVD-2018-19739、CNVD-2018-19870、CNVD-2018-20124、CNVD-2018-20129、CNVD-2018-20131、CNVD-2018-20132）、Samsung Galaxy S8 任意代碼執行漏洞、Samsung SmartThings Hub video-core HTTP服務器緩沖區溢出漏洞（CNVD-2018-20130）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　IBM產品安全漏洞

　　IBM Business Process Manager（BPM）是一套綜合的業務流程管理平臺。IBM SterlingB2B Integrator是一套集成了重要的B2B流程、交易和關系的軟件。IBM DB2是一套關系型數據庫管理系統。IBM WebSphereApplication Server（WAS）是一款應用服務器產品，它是Java EE和Web服務應用程序的平臺，也是IBM WebSphere軟件平臺的基礎。IBM DataPowerGateways是的一套專門為移動、云、應用編程接口（API）、網絡、面向服務架構（SOA）、B2B和云工作負載而設計的安全和集成平臺，它可利用專用網 關平臺跨渠道保護、集成和優化訪問。IBM RationalEngineering Lifecycle Manager是一套工程生命周期管理軟件。IBM Jazz Foundation是其中的一套可擴展的團隊協作平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼等。

　　CNVD收錄的相關漏洞包括：IBM BusinessProcess Manager SQL注入漏洞、IBM Sterling B2B Integrator信息泄露漏洞（CNVD-2018-19738）、IBM DB2緩沖區溢出漏洞（CNVD-2018-20058）、IBM DB2權限提升漏洞（CNVD-2018-20056）、IBM WebSphereApplication Server Liberty信息泄露漏洞（CNVD-2018-20082）、IBM DataPowerGateway XML外部實體注入漏洞、IBM DataPower Gateway 信息泄露漏洞、IBM JazzFoundation XML外部實體注入漏洞。其中，除“IBM Sterling B2B Integrator信息 泄露漏洞（CNVD-2018-19738）、IBM WebSphereApplication Server Liberty信息泄露漏洞（CNVD-2018-20082）、IBM DataPowerGateway信息泄露漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Cisco產品安全漏洞

　　Cisco IOS Software 和IOS XESoftware都是一套為其網絡設備開發的操作系統。Cisco ASA 5500-X Series Adaptive SecurityAppliance IPsec 是Cisco公司安全設備。Cisco Catalyst3650和3850 Series Switches都是交換機產品。Cisco SecondGeneration Integrated Services Routers （ISR G2）和4451-XIntegrated Services Router（ISR4451-X）都是路由器產品。Cisco 2500Series Connected Grid Switches是交換機產品。上周，上述產品被披露存在拒絕服務和命令注入漏洞，攻擊者可利用漏洞以root權限在底層Linux shell上執行命令，造成拒絕服務。

　　CNVD收錄的相關漏洞包括：Cisco IOS XESoftware和Cisco ASA 5500-X Series Adaptive Security Appliance IPsec拒絕服務漏洞、Cisco IOS XESoftware拒絕服務漏洞（CNVD-2018-20256）、Cisco Catalyst 3650 和 3850 SeriesSwitches IOS XESoftware拒絕服務漏洞、Cisco Second Generation IntegratedServices Routers和4451-X Integrated Services Router拒絕服務漏洞、Cisco IOS XESoftware NAT SIP ALG拒絕服務漏洞、Cisco IOS Software Precision Time Protocol拒絕服務漏洞、Cisco IOS 和 IOS XESoftware IPv6 Hop-by-Hop Options拒絕服務漏洞、Cisco IOS XESoftware CLI解析器命令注入漏洞（CNVD-2018-20300）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple產品安全漏洞

　　Apple iOS是為移動設備所開發的一套操作系統。tvOS是一套智能電視操作系統。Apple macOS Mojave是一套專為Mac計算機所開發的專用操作系統。上周，該產品被披露存在信息泄露和內存破壞漏洞，攻擊者可利用漏洞獲取敏感信息，以系統權限執行任意代碼（內存破壞）。

　　CNVD收錄的相關漏洞包括：Apple macOS Mojave信息泄露漏洞、Apple iOS Status Bar組件信息泄露漏洞、Apple iOS Core Bluetooth組件內存破壞漏洞、Apple iOS CoreMedia組件信息泄露漏洞、Apple iOS IOMobileFrameBuffer組件信息泄露漏洞、Apple iOS Accounts組件信息泄露漏洞、Apple iOS 和 tvOS Kernel信息泄露漏洞、Apple iOS和tvOSMessages和Safari信息泄露漏洞。其中，“Apple iOS Core Bluetooth組件內存破壞漏洞”的綜合評級為“高?！?。

　　MODX Revolution跨站腳本漏洞（CNVD-2018-20075）

　　MODX Revolution是美國MODX公司的一套基于PHP的開源內容管理系統（CMS）。該系統支持在線協作、搜索引擎優化（SEO）、附加組件等。上周，MODX Revolution被披露存在跨站腳本漏洞。遠程攻擊者可通過選擇Create New Media Source利用該漏洞將HTML標簽或腳本存儲在數據庫中。

　　小結

　　上周，Samsung被披露存在緩沖區溢出和任意代碼執行漏洞，攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。此外，IBM、Cisco、Apple等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，以系統權限執行任意代碼（內存破壞），造成拒絕服務等。另外，MODX Revolution被披露存在跨站腳本漏洞。遠程攻擊者可通過選擇 Create New Media Source利用該漏洞將HTML標簽或腳本存儲在數據庫中。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、清華金融評論、21世紀經濟報道、TechWeb、界面、哈爾濱銀行直銷銀行、嘶吼RoarTalk、FreebuF.COM、開源中國報道

責任編輯：韓希宇