國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞271個，互聯網上出現“UCMS SQL注入漏洞（CNVD-2019-15108）、MacDown遠程代碼執行漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

國家互聯網信息辦公室關于《數據安全管理辦法（征求意見稿）》公開征求意見的通知

根據《中華人民共和國網絡安全法》等法律法規，國家互聯網信息辦公室會同相關部門研究起草了《數據安全管理辦法（征求意見稿）》，現向社會公開征求意見。>>詳細

CFCA王超：大數據助力地方金融風險防控

近年來部分區域地方金融發展混亂，風險加速暴露，由于非法集資、網絡洗錢、金融欺詐、網絡賭博等非法行為主要發生在網絡空間，隱蔽性強，難以取證，利用傳統的偵察方式需要耗費大量的人力來完成線索收集排查、證據收集固定的工作。>>詳細

國家信息中心王笑強：民事糾紛中電子數據保全的司法實踐探討

如何保證電子數據的證據能力、證明力，如何證明電子數據的真實性、完整性及關聯性，成為解決糾紛成敗的關鍵，電子數據保全應運而生。>>詳細

科技有溫度，歲月才“輕”爽

效率，是人們在日常工作生活中提及的高頻詞。高效便捷安全合法（省時省力放心安心），是人們追求的共同目標。插上科技的翅膀，夢想終于變成現實：辦業務，少跑腿，甚至一趟都不用跑；手機支付、轉賬，動動手、眨眨眼輕松搞定，密碼不用記了，外設也可以不用帶了……>>詳細

《歐盟GDPR合規指引》正式發布（附PPT解讀）

我們希望能為有合規需求的企業指明方向，更希望能為關心個人信息保護的同仁提供一份針對GDPR準確、客觀、扎實的介紹，進而為我國開展個人信息保護工作貢獻綿薄之力。>>詳細

網信辦通報百款常用App申請收集個人信息權限情況

針對App過度索要各種權限、搜集用戶隱私信息的亂象，國家曾重拳出擊，發布通告，就《App違法違規收集使用個人信息行為認定方法（征求意見稿）》，明確了七種相關違規行為。>>詳細

GDRP一年內開出5600萬歐元罰單 谷歌就占了5000萬

這些罰款中有5000萬歐元來自對谷歌的處罰。法國的國家數據保護委員會（CNIL）發現，谷歌未能履行其義務，沒有將其收集和使用數據用來從事個性化廣告服務事宜透明化。>>詳細

突發！易到用車服務器遭到連續攻擊：攻擊者索要巨額比特幣

據易到用車官微消息，2019年5月26日凌晨，易到用車服務器遭到連續攻擊，因此給用戶使用帶來嚴重的影響。>>詳細

重慶網安部門偵破系列涉外網絡黑客案，涉案金額高達2千余萬元

在“凈網2019”專項行動中，榮昌區公安局在重慶市公安局網安總隊的指導下，成功破獲系列網絡黑客案件。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年5月20日-26日）信息安全漏洞威脅整體評價級別為中。

國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞271個，其中高危漏洞74個、中危漏洞179個、低危漏洞18個。漏洞平均分值為5.80。上周收錄的漏洞中，涉及0day漏洞130個（占48%），其中互聯網上出現“UCMS SQL注入漏洞（CNVD-2019-15108）、MacDown遠程代碼執行漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

CloudBees產品安全漏洞

CloudBees Jenkins（Hudson Labs）是一套基于Java開發的持續集成工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過沙盒保護，執行任意代碼等。

CNVD收錄的相關漏洞包括：CloudBees JenkinsAppDynamics Dashboard Plugin信任管理問題漏洞、CloudBees Jenkins Azure VMAgents插件信息泄露漏洞（CNVD-2019-15065）、CloudBees Jenkins Azure VM Agents插件信息泄露漏洞、CloudBees Jenkins Azure VM Agents插件權限許可和訪問控制漏洞、CloudBees Jenkins Matrix Project Plugin安全特征問題漏洞、CloudBees Jenkins Job DSL Plugin安全特征問題漏洞、CloudBees Jenkins Credentials Plugin信息泄露漏洞、CloudBees Jenkins PAM Authentication Plugin信息泄露漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle PeopleSoft Products是一套企業人力資本管理解決方案。Oracle Supply Chain Products Suite是一套供應鏈解決方案。Oracle Java SE是一款用于開發和部署桌面、服務器以及嵌入設備和實時環境中的Java應用程序。Oracle Commerce是一套電子商務解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞影響數據的保密性和完整性。

CNVD收錄的相關漏洞包括：Oracle PeopleSoft ProductsPeopleSoft Enterprise ELM訪問控制錯誤漏洞、Oracle Supply ChainProducts Suite Configurator訪問控制錯誤漏洞、Oracle PeopleSoft ProductsPeopleSoft Enterprise HCM Talent Acquisition Manager訪問控制錯誤漏洞、Oracle PeopleSoft Products PeopleSoft Enterprise PTPeopleTools信息泄露漏洞、Oracle PeopleSoft ProductsPeopleSoft Enterprise PT PeopleTools訪問控制錯誤漏洞、Oracle PeopleSoft Products PeopleSoft Enterprise HRMS訪問控制錯誤漏洞、Oracle Java SE訪問控制錯誤漏洞、Oracle Commerce Merchandising組件訪問控制錯誤漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國谷歌（Google）和開放手持設備聯盟（簡稱OHA）的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼等。

CNVD收錄的相關漏洞包括：Google Android Binder驅動程序權限許可和訪問控制漏洞、Google Android System權限提升漏洞（CNVD-2019-15175、CNVD-2019-15188、CNVD-2019-15189、CNVD-2019-15194、CNVD-2019-15195、CNVD-2019-15196）、Google Android Media framework權限提升漏洞（CNVD-2019-15201）。上述漏洞的綜合評級為“高?！?。

GitLab產品安全漏洞

GitLab是一款使用Ruby on Rails開發的、自托管的、Git（版本控制系統）項目倉庫應用程序。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信，打開重定向，導致資源消耗等。

CNVD收錄的相關漏洞包括：GitLab資源管理錯誤漏洞、GitLab輸入驗證錯誤漏洞、GitLab訪問控制錯誤漏洞（CNVD-2019-14882、CNVD-2019-14949、CNVD-2019-14951、CNVD-2019-14950）、GitLab信息泄露漏洞（CNVD-2019-14812、CNVD-2019-14952）。目前，廠商已經發布了上述漏洞的修補程序。

ALE Alcatel OmniAccess Wireless Access Point命令注入漏洞

ALE Alcatel OmniAccess Wireless Access Point是一款無線接入點設備。

ALE Alcatel OmniAccess Wireless Access Point被披露存在命令注入漏洞。攻擊者可利用該漏洞執行非法命令。

小結

上周，CloudBees被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過沙盒保護，執行任意代碼等。此外，Oracle、Google、GitLab等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信，打開重定向，提升權限，執行任意代碼，導致資源消耗等。ALE Alcatel OmniAccess Wireless Access Point被披露存在命令注入漏洞。攻擊者可利用該漏洞執行非法命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國網信網、央廣網、網易科技、中國信通院、中國信息安全、嘶吼網報道

責任編輯：韓希宇