國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞180個，互聯網上出現“BigTreeCMS 'parent' SQL注入漏洞、WordPress插件WordPress-Feed-Statistics開放重定向漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

一周行業要聞速覽

央行副行長范一飛：央行正研究制定區塊鏈等標準規范

人民銀行正積極研究制定大數據、區塊鏈、開放銀行等標準規范，進一步引導金融科技健康有序發展。金融標準提升金融網絡安全風險防控水平金融安全是金融發展的基礎，不僅事關金融穩定，更關系到人民群眾切身利益。金融業務高度依賴信息技術，金融網絡安全標準是確保金融信息安全、降低運行風險的有效工具。>>詳細

世界銀行采購專家組蒞臨CFCA考察交流

電子招投標能夠節省大量的時間和費用成本，顯著提高采購效率，招投標過程信息公開透明，保障了招投標過程的公平公正。近年來各級政府部門和大型企業集團建設了大量電子招投標系統平臺，將傳統的現場招投標活動轉向在線平臺。國家制定了一系列政策要求和標準規范，電子招標投標系統平臺需經過專業檢測認證才能投入運營使用。>>詳細

Chrome不想讓HTTPS網站通過HTTP下載文件

谷歌Chrome工程師正計劃在HTTPS網站上默認禁止一些通過HTTP下載的行為，當涉及到下載EXE、DMG（Mac應用二進制文件）、CRX（Chrome擴展包）與諸如ZIP、GZIP、BZIP、TAR、RAR和7Z等主流壓縮/打包文件時，瀏覽器將阻止下載。>>詳細

用谷歌服務更安全了 安卓手機可充當物理安全密匙

與谷歌當前提供的其他幾種兩步驗證方法相比，用戶登錄谷歌應用程序將變得更加安全。而且如果用戶想使用物理設備進行登錄驗證，不再需要購買一個加密鎖，而是可以直接使用手機代替。>>詳細

英特爾芯片新漏洞暴露計算機上所有數據

安全研究人員報告稱，透過流經某些計算機系統主板的信號，黑客可利用英特爾VISA芯片漏洞窺探主機數據。>>詳細

Chamois死灰復燃 近2億安卓設備受襲

Chamois的編碼十分優美，有4個階段的投送載荷，使用多種混淆和反分析技術，其配置文件采用定制加密存儲，且該惡意軟件十分龐大。>>詳細

技術觀瀾

警惕！GandCrab5.2勒索病毒偽裝國家機關發送釣魚郵件進行攻擊

GandCrab勒索病毒是2018年勒索病毒家族中最活躍的家族，該勒索病毒首次出現于2018年1月，在將近一年的時候內，經歷了五個大版本的更新迭代，此勒索病毒的傳播感染多式多種多樣，使用的技術也不斷升級，勒索病毒主要使用RSA密鑰加密算法，導致加密后的文件，無法被解密。>>詳細

識別使用隨機后綴的勒索病毒Golden Axe

國外安全研究員在3月發現了一款名為Golden Axe的勒索病毒，Golden Axe是一款用go語言編寫的勒索病毒，使用基于RSA公匙加密體系的郵件加密軟件PGP開源代碼對文件進行加密。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年04月01日-2019年04月07日）信息安全漏洞威脅整體評價級別為中。

國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞180個，其中高危漏洞71個、中危漏洞78個、低危漏洞31個。漏洞平均分值為5.99。上周收錄的漏洞中，涉及0day漏洞84個（占47%），其中互聯網上出現“BigTreeCMS 'parent' SQL注入漏洞、WordPress插件WordPress-Feed-Statistics開放重定向漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Acrobat是一款PDF編輯軟件。Adobe Reader(也被稱為Acrobat Reader)是一款PDF文件閱讀軟件。上周，上述產品被披露存在內存錯誤引用漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Acrobat和Reader內存錯誤引用漏洞（CNVD-2019-09057、CNVD-2019-09058、CNVD-2019-09060、CNVD-2019-09059、CNVD-2019-09061、CNVD-2019-09063、CNVD-2019-09062、CNVD-2019-09064）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Synology產品安全漏洞

Synology Router Manager（SRM）是一款用于配置和管理Synology路由器的軟件。Synology File Station是一套文件管理工具。Synology DiskStation Manager（DSM）是一套用于網絡儲存服務器（NAS）上的操作系統。Synology ApplicationService是一款Synology NAS（網絡存儲服務器）功能擴展框架。Synology Drive是一套協同辦公套件。上周，上述產品被披露存在信息泄露漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息。

CNVD收錄的相關漏洞包括：Synology Router Manager信息泄露漏洞（CNVD-2019-08958、CNVD-2019-08961、CNVD-2019-08962）、Synology File Station信息泄露漏洞、Synology DiskStation Manager信息泄露漏洞（CNVD-2019-08960）、Synology ApplicationService信息泄露漏洞（CNVD-2019-08965、CNVD-2019-08967）、Synology Drive信息泄露漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache HTTP Server是一款開源網頁服務器。Apache httpd是一款專為現代操作系統開發和維護的開源HTTP服務器。Apache Jmeter是一套使用Java語言編寫的用于壓力測試和性能測試的開源軟件。Apache JSPWiki是一款基于Java、Servlet和JSP構建的開源WikiWiki引擎。Apache ActiveMQ是一套開源的消息中間件，它支持Java消息服務、集群、Spring Framework等。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過身份驗證機制并執行未經授權的操作，發起拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：Apache httpd安全繞過漏洞（CNVD-2019-08942）、Apache HTTP Server訪問繞過漏洞、Apache httpd安全繞過漏洞、Apache HTTP Server本地權限提升漏洞、Apache HTTP Server身份驗證繞過漏洞、Apache Jmeter遠程代碼執行漏洞、Apache JSPWiki信息泄露漏洞、Apache ActiveMQ拒絕服務漏洞（CNVD-2019-09281）。其中，除“Apache httpd安全繞過漏洞、Apache ActiveMQ拒絕服務漏洞（CNVD-2019-09281）” 其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

CloudBees產品安全漏洞

CloudBees Jenkins（HudsonLabs）是一套基于Java開發的持續集成工具。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞繞過沙盒保護，捕獲存儲在Jenkins中的憑證，執行未授權的操作，并在Web頁面中注入任意的JavaScript代碼等。

CNVD收錄的相關漏洞包括：CloudBees Jenkins沙盒繞過漏洞（CNVD-2019-09287、CNVD-2019-09291）、CloudBees Jenkins CSRF漏洞、CloudBees Jenkins跨站請求偽造漏洞（CNVD-2019-09290、CNVD-2019-09294）、CloudBees Jenkins跨站腳本漏洞（CNVD-2019-09292）、CloudBees Jenkins信息泄露漏洞（CNVD-2019-09293）、CloudBees Jenkins SSRF漏洞。其中，“CloudBees Jenkins沙盒繞過漏洞（CNVD-2019-09287、CNVD-2019-09291）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Red Hat OpenShift OAuth server跨站腳本漏洞

Red Hat OpenShift是美國紅帽（Red Hat）公司的一款平臺即服務（PaaS）云計算平臺，它支持構建、測試、部署和運行應用程序。OAuth server是其中的一個OAuth（開放授權）服務器。Red Hat OpenShift OAuthserver被披露存在跨站腳本漏洞。攻擊者可利用該漏洞執行客戶端代碼。

小結

上周，Adobe被披露存在內存錯誤引用漏洞，攻擊者可利用漏洞執行任意代碼。此外，Synology、Apache、CloudBees等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過身份驗證機制并執行未經授權的操作，發起拒絕服務攻擊，并在Web頁面中注入任意的JavaScript代碼等。另外，Red Hat OpenShift OAuth server被披露存在跨站腳本漏洞。攻擊者可利用該漏洞執行客戶端代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、人民日報、網易科技、開源中國、安全牛、FreeBuf、嘶吼網報道

責任編輯：韓希宇