國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞363個，互聯網上出現“WordPress插件Form Maker SQL注入漏洞、PHP-Fusion 'Edit Profile'遠程代碼執行漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

一周行業要聞速覽

在線交易身份核驗難、合法電子簽約難：普惠金融如何更普惠？

陽光村鎮銀行與CFCA合作推出的無紙化系統解決方案，從“智慧柜臺”的發展理念出發，利用柜臺外設，從數據采集、錄入、審核、簽章，到歸檔、稽核，實現了業務的全流程無紙化、柜面業務智能化的全面改造。>>詳細

一起來看看，新發布的等保2.0有哪些變化

為了配合《網絡安全法》，同時為了滿足云計算、大數據、物聯網、移動互聯、工業控制等新技術新應用的安全要求，相關部門在等保1.0基礎上起草并制定了等保2.0相關標準。>>詳細

銀保監會李丹：金融科技導致金融風險“四性”更為突出

對銀行機構來說，網絡與信息安全是第一要務，也是高管的首要責任，要把網絡安全納入機構戰略，樹立積極防御的理念，建立安全運行體系，早做網絡安全風險監控。>>詳細

光大銀行信息科技部邵理煜：光大銀行數據安全實踐

為提升光大銀行數據安全管理能力，信息科技部正致力于研究推進“以數據為中心”的全維度、全覆蓋、全生命周期的數據安全管理體系，并在數據安全和數據合規領域開展了全面細致的落地工作，包括加強組織建設、豐富管理辦法、打造安全名品、營造安全文化。>>詳細

閃付雙免5重保障，守護持卡人用卡安全

金融芯片具有高安全性，疊加支付標記化Token等先進技術，使風險能夠得到很好的控制，在安全性和便捷性上能夠做到更好地平衡。>>詳細

路透社：谷歌已暫停與華為部分業務往來，稱在“遵從指令”

除了通過“開放源碼許可”公開獲取的服務外，谷歌Alphabet已經暫停與華為的商業往來，這些商業往來包括硬件和軟件轉讓與提供技術的服務。華為可以繼續使用對所有人免費開放的安卓開放源代碼項目(AOSP)。>>詳細

超過一百個漏洞將三萬門禁數據暴露給黑客

這些漏洞（其中許多被歸類為高危）可能導致未經身份驗證的攻擊者完全控制被攻擊系統——無論是單獨利用漏洞還是與其他漏洞并用。>>詳細

超12,000個MongoDB數據庫被Unrisllar黑客組織刪除

MongoDB提供了有關如何通過實施適當的身份驗證、訪問控制和加密來保護MongoDB數據庫的詳細方法，還提供了一個安全檢查表供管理員遵循。防止攻擊的兩個最重要的措施是啟用身份驗證且不允許遠程訪問數據庫。>>詳細

技術觀瀾

繞過殺軟：通過網絡接收ShellCode的無文件攻擊方式與檢測方法

反病毒方案通常用于檢測惡意軟件，并且通常要依靠靜態分析來區分文件的好壞。如果文件自身就包含惡意內容，那么這種方法會有效。>>詳細

內網公網全覆蓋、Win/Linux兩開花：深入分析Satan勒索軟件的傳播技術

針對私有網絡，該惡意軟件會檢索受害者網絡中所有可能的IP地址。無論是哪種類型的網絡，Windows版本的傳播工具都會嘗試傳播到私有網絡中的主機。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年5月13日-19日）信息安全漏洞威脅整體評價級別為中。

國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞363個，其中高危漏洞111個、中危漏洞203個、低危漏洞49個。漏洞平均分值為5.77。上周收錄的漏洞中，涉及0day漏洞141個（占39%），其中互聯網上出現“WordPress插件Form Maker SQL注入漏洞、PHP-Fusion 'Edit Profile'遠程代碼執行漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Jet Database Engine是一個底層數據庫引擎。上周，上述產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft Jet DatabaseEngine遠程代碼執行漏洞（CNVD-2019-14454、CNVD-2019-14455、CNVD-2019-14457、CNVD-2019-14456、CNVD-2019-14459、CNVD-2019-14458、CNVD-2019-14460、CNVD-2019-14462）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco IOS是一套為其網絡設備開發的操作系統。Cisco NX-OS是適用于思科Nexus系列以太網交換機和MDS系列光纖通道存儲區域網絡交換機的網絡操作系統。上周，上述產品被披露存在拒絕服務和命令注入漏洞，攻擊者可利用漏洞執行任意命令，發起拒絕服務攻擊。

CNVD收錄的相關漏洞包括：Cisco IOS NAT64拒絕服務漏洞、Cisco NX-OS命令注入漏洞（CNVD-2019-14614、CNVD-2019-14613、CNVD-2019-14615、CNVD-2019-14619、CNVD-2019-14620、CNVD-2019-14621、CNVD-2019-14623）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Foxit產品安全漏洞

Foxit Reader和Foxit PhantomPDF都是一款PDF文檔閱讀器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意命令等。

CNVD收錄的相關漏洞包括：Foxit Reader和Foxit PhantomPDF for Windows緩沖區溢出漏洞（CNVD-2019-13808）、Foxit Reade和Foxit PhantomPDF for Windows路徑遍歷漏洞、Foxit Reader和Foxit PhantomPDF forWindows資源管理錯誤漏洞（CNVD-2019-13810）、Foxit Reader和Foxit PhantomPDF forWindows越界寫入漏洞（CNVD-2019-13812、CNVD-2019-13813、CNVD-2019-13817）、Foxit Reader和Foxit PhantomPDF forWindows信息泄露漏洞（CNVD-2019-13811）、Foxit Reader和Foxit PhantomPDF forWindows越界讀取漏洞（CNVD-2019-13818）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

doorGets產品安全漏洞

doorGets是一款免費開源內容管理系統。上周，該產品被披露存在SQL注入和敏感信息泄露漏洞，攻擊者可利用漏洞獲取數據庫敏感信息。

CNVD收錄的相關漏洞包括：doorGets敏感信息泄露漏洞（CNVD-2019-13789、CNVD-2019-13788、CNVD-2019-13791、CNVD-2019-13790、CNVD-2019-13793、CNVD-2019-13792）、doorGets SQL注入漏洞（CNVD-2019-13795、CNVD-2019-13796）。目前，廠商已經發布了上述漏洞的修補程序。

ZyXEL NSA325 V2跨站請求偽造漏洞

ZyXEL NSA325 V2是一款網絡存儲設備。ZyXEL NSA325 V2被披露存在跨站請求偽造漏洞。攻擊者可借助特制的HTTP表單利用該漏洞執行狀態更改操作。

小結

上周，Microsoft被披露存在堆溢出和越界讀取漏洞，攻擊者可利用漏洞執行任意代碼。此外，Cisco、Foxit、doorGets等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意命令，發起拒絕服務攻擊等。ZyXEL NSA325 V2被披露存在跨站請求偽造漏洞。攻擊者可借助特制的HTTP表單利用該漏洞執行狀態更改操作。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國銀聯、中證網、環球網、金融電子化、FreeBuf、HackerNews.cc、嘶吼網報道

責任編輯：韓希宇