國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞365個,互聯網上出現“iF.SVNAdmin跨站請求偽造漏洞、Best Soft Inc.(BSI)Advance Hotel Booking System跨站腳本漏洞”等零日代碼攻擊漏洞,上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞,深入探討信息安全知識。
一周行業要聞速覽
中國建設銀行副行長紀志宏:智慧金融要實現健康發展需要處理好六大關系
5G時代信息的滲透性增加,我們在享受技術帶來便捷的同時,也面臨較多的新挑戰,尤其是還沒有完全妥善解決好現實社會與網絡社會兩類角色和差異引起的沖突,金融創新必須遵循安全穩健的發展思路。>>詳細
直擊汽車金融信息安全痛點 CFCA提供“驗”“簽”“存”全流程解決方案
PKI可以解決汽車消費金融和供應鏈金融場景里的身份認證、保密性、完整性保護和法律效力問題。>>詳細
廣發銀行劉遠歡:金融科技時代下銀行網絡安全運營的思考
隨著金融科技時代的到來,網絡安全“四化”趨勢日益明顯,即網絡犯罪組織化、攻擊方式定向化、攻擊目標數據化、信息系統云化,網絡安全運營已經走到變革的交叉路口。>>詳細
北京農商銀行與工銀科技開啟IT信息安全戰略合作
根據協議,工銀科技將在安全風險評估、安全架構設計、信息泄漏防護建設、應用安全能力提升、安全技術工具建設、信息安全態勢感知能力建設、安全人才隊伍建設等方面為北京農商銀行提供全方位服務。>>詳細
中國信通院發布《中國網絡安全產業白皮書(2019年)》和《筑牢下一代互聯網安全防線—IPv6網絡安全白皮書》
在向著下一代互聯網演進升級的發展進程中,我們面臨新機制新場景帶來的安全挑戰,以及攻防雙方大體處于同一起跑線的安全機遇。>>詳細
網絡安全宣傳周來了!這些金融知識你知道么?
網絡安全宣傳周來啦~在第一期內容中,小寧貼心的為大家整理了一些專業金融知識。>>詳細
下一代Wi-Fi 6標準正式啟用 速度提升四成
和上一代的Wi-Fi 6技術標準相比,Wi-Fi 6的數據傳輸速度提高了四成。>>詳細
快速了解電子締約 看這一篇就夠了
電子締約產生的電子合同同樣要求具備要約和承諾兩個要件,在實質上與傳統合同一致,同時依托可靠電子簽名和可信時間戳技術,保證了電子合同的司法有效性。>>詳細
CFCA亮相2019國家網絡安全宣傳周 守護網絡“安全感”
中國金融認證中心(CFCA)作為中國銀聯子公司,攜手四大明星產品,重磅亮相銀聯展位。>>詳細
安全威脅播報
上周漏洞基本情況
上周(2019年9月9日-15日)信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺(以下簡稱CNVD)上周共收集、整理信息安全漏洞365個,其中高危漏洞87個、中危漏洞253個、低危漏洞25個。漏洞平均分值為5.87。上周收錄的漏洞中,涉及0day漏洞79個(占22%),其中互聯網上出現“iF.SVNAdmin跨站請求偽造漏洞、Best Soft Inc.(BSI)Advance Hotel Booking System跨站腳本漏洞”等零日代碼攻擊漏洞。
上周重要漏洞安全告警
Google產品安全漏洞
Android是美國谷歌(Google)和開放手持設備聯盟(簡稱OHA)的一套以Linux為基礎的開源操作系統。System是其中的一個系統組件。上周,該產品被披露存在信息泄露漏洞,攻擊者可利用漏洞獲取受影響組件敏感信息。
CNVD收錄的相關漏洞包括:Google Android System信息泄露漏洞(CNVD-2019-31033、CNVD-2019-31034、CNVD-2019-31035、CNVD-2019-31036、CNVD-2019-31037、CNVD-2019-31038、CNVD-2019-31041、CNVD-2019-31042)。上述漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
Adobe產品安全漏洞
AdobeAcrobat是由Adobe公司開發的一款PDF編輯軟件。Adobe Reader(也被稱為Acrobat Reader)是Adobe公司開發的一款PDF文件閱讀軟件。上周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞獲取信息或執行任意代碼。
CNVD收錄的相關漏洞包括:Adobe Acrobat/Reader緩沖區溢出漏洞(CNVD-2019-31021、CNVD-2019-31022)、Adobe Acrobat/Reader不可信指針解引用漏洞(CNVD-2019-30978、CNVD-2019-30979、CNVD-2019-30980、CNVD-2019-30981)、Adobe Acrobat/Reader整數溢出漏洞(CNVD-2019-31025)、Adobe Acrobat/Reader數據泄露漏洞。其中,“Adobe Acrobat/Reader緩沖區溢出漏洞(CNVD-2019-31021、CNVD-2019-31022)、Adobe Acrobat/Reader不可信指針解引用漏洞(CNVD-2019-30978、CNVD-2019-30979、CNVD-2019-30980、CNVD-2019-30981)”漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
GitLab產品安全漏洞
GitLab是美國GitLab公司的一款使用Ruby on Rails開發的、自托管的、Git(版本控制系統)項目倉庫應用程序。該程序可用于查閱項目的文件內容、提交歷史、Bug列表等。上周,上述產品被披露存在多個漏洞,攻擊者可利用該漏洞繞過項目可視性限制和合并請求的討論限制,耗盡客戶端資源,執行客戶端代碼或造成拒絕服務等。
CNVD收錄的相關漏洞包括:GitLab跨站腳本漏洞(CNVD-2019-31313)、GitLab授權問題漏洞(CNVD-2019-31314)、GitLab拒絕服務漏洞(CNVD-2019-31315、CNVD-2019-31322)、GitLab限制繞過漏洞(CNVD-2019-31323、CNVD-2019-31324)、GitLab HTML注入漏洞(CNVD-2019-31316)、GitLab代碼問題漏洞。其中,“GitLab代碼問題漏洞”漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
WordPress產品安全漏洞
WordPress是WordPress基金會的一套使用PHP語言開發的博客平臺。上周,上述產品被披露存在多個漏洞,攻擊者可利用該漏洞向服務器發送非預期的請求,執行非法SQL命令。
CNVD收錄的相關漏洞包括:WordPress wp-all-import插件SQL注入漏洞、WordPressnewsletter-by-supsystic插件跨站請求偽造漏洞、WordPresswp-business-intelligence-lite插件SQL注入漏洞、WordPress note-press插件SQL注入漏洞、WordPresseasy-digital-downloads插件SQL注入漏洞、WordPress 404-to-301插件SQL注入漏洞、WordPress i-recommend-this插件SQL注入漏洞、WordPress visitors-online插件SQL注入漏洞。上述漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
Xpdf緩沖區溢出漏洞(CNVD-2019-31202)
Xpdf是Foo實驗室的一款開源的PDF閱讀器。上周,Xpdf被披露存在緩沖區溢出漏洞,攻擊者可利用該漏洞導致緩沖區溢出或堆溢出。
小結
上周,Google被披露存在信息泄露漏洞,攻擊者可利用漏洞獲取受影響組件敏感信息。此外,Adobe、GitLab、WordPress等多款產品被披露存在多個漏洞,攻擊者可利用該漏洞繞過項目可視性限制和合并請求的討論限制,耗盡客戶端資源,執行任意代碼或造成拒絕服務等。另外,Xpdf被披露存在緩沖區溢出漏洞,攻擊者可利用該漏洞導致緩沖區溢出或堆溢出。建議相關用戶隨時關注上述廠商主頁,及時獲取修復補丁或解決方案。
中國電子銀行網綜合CNVD、中證網、中國信息安全、騰訊科技、中國信通院、寧夏銀行、北京農商銀行e服務報道
責任編輯:韓希宇
免責聲明:
中國電子銀行網發布的專欄、投稿以及征文相關文章,其文字、圖片、視頻均來源于作者投稿或轉載自相關作品方;如涉及未經許可使用作品的問題,請您優先聯系我們(聯系郵箱:cebnet@cfca.com.cn,電話:400-880-9888),我們會第一時間核實,謝謝配合。