國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞201個，互聯網上出現“Creatiwity wityCMS SQL注入漏洞、Quadbase Systems EspressReport ES跨站請求偽造漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

央行科技司開展《金融行業密碼應用基本要求》標準編制工作

2019年6月10日至6月21日，在人民銀行科技司的領導下，由中國金融電子化公司配合組織開展《金融行業密碼應用基本要求》標準的編制工作。>>詳細

北京建網絡安全產業園 將拉動GDP增長超3300億元

根據《規劃》，到2020年，依托產業園帶動北京市網絡安全產業規模超過1000億元，拉動GDP增長超過3300億元，打造不少于3家年收入超過100億元的骨干企業。>>詳細

CFCA張行：物流發展靠智慧，智慧物流要安全

在信息化、智能化的物流世界里，身份的問題、數據泄露與網絡竊聽的問題、業務法律效力等問題仍然突出。在目前的安全技術保障措施中，PKI公鑰密碼技術是最可靠的安全保護手段。>>詳細

云平臺背景下的網絡安全等級保護測評策略

2019年5月13日，網絡安全等級保護2.0正式發布，信息安全等級保護也過渡到了網絡安全等級保護。并對云平臺、云上用戶和云上安全產品提出了相應的管理要求。>>詳細

CFCA攜手蘇寧駛入合作新里程 打造企業智慧印章管理標桿

近日，蘇寧控股集團與中國金融認證中心（CFCA）、南京公證處、江蘇慧世聯網絡科技及江蘇群杰物聯科技四方共同簽署戰略合作協議。>>詳細

《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》| 圖解

工業和信息化部近日印發《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》，在行業內部署開展為期一年的提升網絡數據安全保護能力專項行動。>>詳細

個人隱私保護時代 銀行數據安全怎么治理

李松濤表示，在大數據時代，數據作為一種新型生產資料，除了直接產生價值外，大數據的聚合等也產生了間接價值，這時的數據安全則傾向于“動態的安全”。>>詳細

天津市互聯網信息辦公室關于印發《天津市數據安全管理辦法（暫行）》的通知

數據運營者應當按照相關法律法規的規定，參照數據安全標準，履行數據安全保護義務，建立數據安全管理責任、考核評價制度和數據安全投訴舉報制度。>>詳細

CFCA SSL證書：構建等保2.0安全通信網絡

近期由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作，等級保護正式進入2.0時代。>>詳細

行業組織稱蘋果 ID 登陸第三方有漏洞，必須加以修復

蘋果最新的登錄功能Sign in with Apple允許用戶使用Apple ID登錄網站和應用程序，這一功能存在嚴重的隱私和安全漏洞，必須加以修復。>>詳細

安全威脅播報

上周漏洞基本情況 

上周（2019年6月24日-30日）信息安全漏洞威脅整體評價級別為中。

國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞201個，其中高危漏洞72個、中危漏洞86個、低危漏洞43個。漏洞平均分值為6.23。上周收錄的漏洞中，涉及0day漏洞69個（占34%），其中互聯網上出現“Creatiwity wityCMS SQL注入漏洞、Quadbase Systems EspressReport ES跨站請求偽造漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

WebSphere存在遠程代碼執行漏洞

WebSphere Application Server是一種功能完善、開放的Web應用程序服務器，基于Java和Servlets的Web應用程序運行，是IBM電子商務計劃的核心部分，由于其可靠、靈活和健壯的特點，被廣泛應用于企業的Web服務中。上周，該產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞導致任意代碼執行。

CNVD收錄的相關漏洞包括：IBM WebSphere ApplicationServer ND遠程代碼執行漏洞。該漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

致遠OA-A8系統存在遠程命令執行漏洞

致遠OA-A8是由北京致遠互聯軟件股份有限公司（以下簡稱致遠公司）開發的一款協同管理軟件，構建了面向中大型、集團組織的數字化協同運營平臺。上周，該產品被披露存在遠程命令執行漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：致遠A8+協同管理軟件存在遠程命令執行漏洞。該漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Reader(也被稱為Acrobat Reader)是Adobe公司開發的一款PDF文件閱讀軟件。Adobe Acrobat是由Adobe公司開發的一款PDF編輯軟件。上周，上述產品被披露存在內存錯誤引用漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Acrobat/Reader內存錯誤引用漏洞（CNVD-2019-19836、CNVD-2019-19837、CNVD-2019-19838、CNVD-2019-19839、CNVD-2019-19840、CNVD-2019-19841、CNVD-2019-19842、CNVD-2019-19843）。上述漏洞的綜合評級為”“ 高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Integrated Management Controller（IMC）是一套用于對UCS（統一計算系統）進行管理的軟件。Cisco SD-WAN Solution是一套網絡擴展解決方案。CLI是其中的一個命令行界面。Cisco Data Center NetworkManager (DCNM)是一套數據中心網絡管理器，可對網絡進行多協議管理，并對交換機的運行狀況和性能提供故障排除功能。Cisco Elastic ServicesController Software（ESC Software）是一套開源的用于管理虛擬資源的模塊化系統。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意命令等。

CNVD收錄的相關漏洞包括：Cisco Integrated ManagementController緩沖區溢出漏洞、Cisco IntegratedManagement Controller操作系統命令注入漏洞（CNVD-2019-18899）、Cisco SD-WAN Solution命令注入漏洞（CNVD-2019-19047）、Cisco Data Center NetworkManager任意文件上傳漏洞、Cisco Data Center NetworkManager任意文件下載漏洞、Cisco Elastic ServicesController Software授權問題漏洞、Cisco Data Center NetworkManager認證繞過漏洞、Cisco Data Center NetworkManager信息泄露漏洞。其中，除“Cisco IntegratedManagement Controller緩沖區溢出漏洞、Cisco Data Center NetworkManager信息泄露漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Security Access Manager Appliance（ISAM Appliance）是一款基于網絡設備的安全解決方案。IBM License Metric Tool是一套可幫助IBM Passport Advantage（軟件升級與支持服務）客戶決定其處理器價值單元（PVU）許可需求的免費工具。IBM BigFix Inventory是一套用于軟件控制和安全風險緩解的解決方案。IBM Security Information Queue是美國IBM公司的一款數據集成產品。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，注入任意的JavaScript代碼等。

CNVD收錄的相關漏洞包括：IBM Security AccessManager Appliance弱加密算法漏洞（CNVD-2019-19294、CNVD-2019-19296）、IBM Security AccessManager Appliance跨站腳本漏洞、IBM Security AccessManager Appliance開放重定向漏洞、IBM Security AccessManager Appliance用戶身份驗證漏洞、IBM License Metric Tool和IBM BigFix Inventory信息泄露漏洞、IBM Security Information Queue信息泄露漏洞（CNVD-2019-19829）、IBM Security InformationQueue輸入驗證錯誤漏洞。其中，“IBM Security AccessManager Appliance開放重定向漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

ABB產品安全漏洞

ABB PB610是一款為CP600控制面板平臺設計圖形用戶界面的軟件。ABB CP635 HMI是一款人機界面控制面板。ABB CP400PB是一套人機界面編程軟件。CMS-770是一款用于監測電氣系統分支回路的多回路監測系統。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞繞過身份驗證，獲取敏感信息，執行任意代碼并造成拒絕服務等。

CNVD收錄的相關漏洞包括：ABB PB610 IDAL HTTP server緩沖區溢出漏洞、ABB HMI Missing認證繞過漏洞、ABB PB610 IDAL FTP server路徑遍歷漏洞、ABB PB610 IDAL FTP server格式字符串漏洞、ABB PB610 IDAL HTTP server身份驗證漏洞、ABB HMI Hardcoded Credentials文件讀取漏洞、ABB CMS-770身份驗證繞過漏洞、ABB CP400PB TextEditor輸入驗證漏洞。其中，“ABB PB610 IDAL HTTP server緩沖區溢出漏洞、ABB HMI Missing認證繞過漏洞、ABB PB610 IDAL FTP server格式字符串漏洞、ABB HMI Hardcoded Credentials文件讀取漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Thompson Reuters UltraTax CS 2017 for Windows信息泄露漏洞

Thompson Reuters UltraTax CS 2017 for Windows是一套基于Windows平臺的自動化稅務管理軟件。Thompson Reuters UltraTaxCS 2017 for Windows被披露存在信息泄露漏洞。攻擊者可利用該漏洞繞過訪問控制，獲取敏感信息。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

小結

上周，WebSphere被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞導致任意代碼執行。致遠OA-A8系統存在遠程命令執行漏洞，攻擊者可利用漏洞執行任意代碼。此外，Adobe、Cisco、IBM、ABB等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼并造成拒絕服務等。Thompson Reuters UltraTax CS 2017 for Windows被披露存在信息泄露漏洞。攻擊者可利用該漏洞繞過訪問控制，獲取敏感信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、證券日報、金融電子化、中國信息通信研究院CAICT、天津政務網、網易科技、移動支付網報道

責任編輯：韓希宇