國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞494個，互聯網上出現“Apache mod_ssl遠程緩沖區溢出漏洞、YouPHPTube SQL注入漏洞（CNVD-2019-41830）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

你的隱私誰來守護？行業專家呼吁構建金融數據治理法律框架

可以制定一個數據使用和安全的評估標準，如果企業能夠達到優，則可進入的應用場景和業務范圍也會更多更大，相對差的企業就要被限制業務范圍。>>詳細

2019支付安全報告：全球僅36.7%公司達標 亞太區合規能力較高

《支付安全報告》報告亦包括Verizon威脅研究諮詢中心（VTRAC）的數據，顯示超過95%欠缺妥善資料控制措施的合規計劃無法持續，并較大機會成為網絡攻擊的目標。>>詳細

電子數據司法效用難實現 證據保全來化解

隨著無紙化時代的到來， 面對面的線下業務場景轉至線上，如何將電子數據轉化為電子證據，保證業務辦理過程的安全性，降低電子締約可能出現的司法風險也逐漸成為人們關注的焦點。>>詳細

重磅！重慶高院發布金融商事審判白皮書

完善電子合同的簽訂流程和電子數據的認證及保存，選擇具有認證資質的第三方認證機構進行數據的固定和認證，確保認證結論全面、清晰，并包含當事人簽名真實性、合同條款的收悉認可、電子數據形成后未被篡改等必要內容。>>詳細

汽車金融上線無紙化電子簽名 這波操作很穩！

2018年11月，長城汽車金融與中國金融認證中心（CFCA）合作，在車貸E通APP中引入CFCA無紙化電子簽名系統，大幅提升了貸款審批、合同審核及歸檔等環節的效率，是行業內一次成功的實踐探索。>>詳細

開曼國家銀行已證實被黑客入侵：2.21 TB數據慘遭泄露

開曼國家銀行非常重視任何違反數據安全的行為，正在進行專業的信息技術調查，并采取適當行動，以確保開曼國家銀行和信托公司的客戶得到相應保護。>>詳細

Facebook與Twitter再曝漏洞！用戶數據再次被共享？

在這個信息化時代下，這些信息合理使用的邊界在哪里，服務機構是否具備安全保管用戶信息的資質和能力，這些問題應當盡早納入監管范疇，作出制度性的厘清和界定才能最大限度避免個人隱私信息泄露的風險。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年11月18日-24日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞494個，其中高危漏洞147個、中危漏洞285個、低危漏洞62個。漏洞平均分值為5.63。上周收錄的漏洞中，涉及0day漏洞145個（占29%），其中互聯網上出現“Apache mod_ssl遠程緩沖區溢出漏洞、YouPHPTube SQL注入漏洞（CNVD-2019-41830）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Apache產品安全漏洞

Apache Solr是一款基于Lucene（一款全文搜索引擎）的搜索服務器。Apache Guacamole是一款無客戶端的遠程桌面網關。Apache Thrift是一種接口定義語言和二進制通信協議，用于為多種語言定義和創建服務。Apache Traffic Server是一套可擴展的HTTP代理和緩存服務器。Apache Hadoop是一套開源的分布式系統基礎架構。Apache MINA是一款網絡應用程序框架。Apache Atlas是一個可擴展的核心基礎治理服務集，使企業能夠高效地滿足Hadoop中的合規性要求，并允許與整個企業數據生態系統集成。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過安全限制并執行未授權的操作，執行客戶端代碼，導致緩沖區溢出或堆溢出等。

CNVD收錄的相關漏洞包括：Apache Solr認證繞過漏洞、Apache Guacamole信息泄露漏洞、Apache Thrift越界讀取漏洞、Apache Traffic Server sslheader插件信息泄露漏洞、Apache Hadoop緩沖區溢出漏洞、Apache CXF OpenId connecttoken服務信息泄露漏洞、Apache MINA內存破壞漏洞、Apache Atlas存儲型跨站腳本漏洞。其中，“Apache Solr認證繞過漏洞、Apache CXF OpenId connect token服務信息泄露漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Huawei產品安全漏洞

HuaweiP30、Mate 9 Pro、AR1200和P20等都是中國華為（Huawei）公司的一款智能手機。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，執行惡意代碼等。

CNVD收錄的相關漏洞包括：Huawei P30、Huawei P30 Pro和Honor Princeton-AL10B條件競爭漏洞、Huawei Mate 9 Pro信息泄露漏洞（CNVD-2019-41253）、多款Huawei產品FRP繞過漏洞、多款Huawei產品數字簽名校驗繞過漏洞、Huawei Emily-L29C信息泄露漏洞、Huawei P20訪問控制不當漏洞、Huawei P20文件管理不當漏洞、Huawei P30、Mate20和P30 Pro緩沖區溢出漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國谷歌（Google）和開放手持設備聯盟（簡稱OHA）的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行代碼。

CNVD收錄的相關漏洞包括：Google Android System組件提權漏洞、Google Android System組件緩沖區溢出漏洞（CNVD-2019-41732）、Google Android System組件信息泄露漏洞（CNVD-2019-41735）、Google Android Framework組件權限提升漏洞（CNVD-2019-41736、CNVD-2019-41737）、Google Android Library緩沖區溢出漏洞、Google Android緩沖區溢出漏洞（CNVD-2019-41738）、Google Android權限提升漏洞（CNVD-2019-41901）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Linux產品安全漏洞

Linux kernel是美國Linux基金會發布的開源操作系統Linux所使用的內核。上周，上述產品被披露存在內存泄露漏洞，攻擊者可利用漏洞造成拒絕服務（內存消耗）。

CNVD收錄的相關漏洞包括：Linux kernel內存泄露漏洞（CNVD-2019-41709、CNVD-2019-41710、CNVD-2019-41711、CNVD-2019-41712、CNVD-2019-41713、CNVD-2019-41714、CNVD-2019-41716、CNVD-2019-41717）。目前，廠商已經發布了上述漏洞的修補程序。

IBM Maximo Asset Management權限提升漏洞

IBM Maximo Asset Management是一套綜合性資產生命周期和維護管理解決方案。該方案能夠在一個平臺上管理所有類型的資產，如設施、交通運輸等，并對這些資產實現單點控制。上周，IBM Maximo AssetManagement被披露存在權限提升漏洞。攻擊者可利用該漏洞刪除無權限刪除的記錄。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Apache產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過安全限制并執行未授權的操作，執行客戶端代碼，導致緩沖區溢出或堆溢出等。此外，Huawei、Google、Linux等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，提升權限，執行惡意代碼，造成拒絕服務（內存消耗）等。另外，IBM Maximo Asset Management被披露存在權限提升漏洞。攻擊者可利用該漏洞刪除無權限刪除的記錄。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、金融四十人論壇、重慶市高級人民法院、移動支付網、嘶吼網、CSDN報道

責任編輯：韓希宇