國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞431個，互聯網上出現“WordPress Nashvilleparent Themes開放重定向漏洞、Joomla! com_fabrik目錄遍歷漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

市場監管總局 國家密碼管理局關于開展商用密碼檢測認證工作的實施意見

商用密碼認證機構應當按照有關規定報送商用密碼認證實施情況及認證證書信息。>>詳細

實戰 | 密鑰管理國際標準進展及采標情況

密鑰在所有的依賴于密碼技術的安全系統中都是最為關鍵的部分之一，這導致密碼機制的安全性和可靠性直接取決于密鑰這一安全參數的管理。>>詳細

大額轉賬、合同簽署、評標簽名……一部手機就能搞定？

云證通是中國金融認證中心（CFCA）移動數字證書產品，采用國密SM2算法，將移動終端作為證書載體，以密鑰分散技術提供協同簽名服務。>>詳細

我國商用密碼管理現狀與發展對策建議

作為實現網絡安全最有效、最經濟的手段，互聯網的安全發展需要充分發揮密碼的核心保障能力。>>詳細

不注意這些情況，你簽的電子合同可能會被判無效！

《數字簽名驗簽報告》的實際意義在于，一旦出現法律糾紛，根據《電子簽名法》《電子認證服務管理辦法》等相關法律規定，CA機構將本著獨立、客觀、公正的原則，提供權威的第三方的電子簽名可靠性證明。>>詳細

譚曉生：新冠疫情對中國網絡安全產業發展的影響

數據安全在疫情過后肯定會引起關注，這對從事數據安全、用戶隱私保護產品或服務的公司都是機會。>>詳細

用戶支付安全訴求提升 英國數字銀行Revolut推出一次性虛擬信用卡

近期英國數字銀行Revolut推出一次性虛擬信用卡，卡號用完自動銷毀。>>詳細

數以萬計的私人Zoom錄像被無意上傳到視頻云 供任何人在線觀看

成千上萬的私人Zoom錄像被視頻會議發起者上傳到了不同的視頻網站和視頻云，任何人都可以在網上觀看。>>詳細

大型打臉現場：“世界最安全云備份“發生超大規模數據泄露

近日，號稱“世界上最安全的在線備份”云備份提供商SOS，發生了超大規模數據泄露。>>詳細

安全威脅播報

上周漏洞基本情況

上周（3月30日-4月5日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞431個，其中高危漏洞207個、中危漏洞184個、低危漏洞40個。漏洞平均分值為6.67。上周收錄的漏洞中，涉及0day漏洞151個（占35%），其中互聯網上出現“WordPress Nashvilleparent Themes開放重定向漏洞、Joomla! com_fabrik目錄遍歷漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft ChakraCore和MicrosoftEdge都是美國微軟（Microsoft）公司的產品。ChakraCore是使用在Edge瀏覽器中的一個開源的ChakraJavaScript腳本引擎的核心部分，也可作為單獨的JavaScript引擎使用。Microsoft Edge是一款Windows 10之后版本系統附帶的Web瀏覽器。上周，上述產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼，破壞內存。

CNVD收錄的相關漏洞包括：Microsoft ChakraCore和Edge遠程代碼執行漏洞（CNVD-2020-19965、CNVD-2020-19967、CNVD-2020-20367、CNVD-2020-20365、CNVD-2020-20368、CNVD-2020-20369、CNVD-2020-20370、CNVD-2020-20376）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Qualcomm產品安全漏洞

QualcommMDM9206等都是美國高通（Qualcomm）公司的產品。MDM9206是一款中央處理器（CPU）產品。SDX24是一款調制解調器。MSM8917是一款中央處理器（CPU）產品。上周，上述產品被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼，導致拒絕服務和緩沖區溢出等。

CNVD收錄的相關漏洞包括：多款Qualcomm產品緩沖區溢出漏洞（CNVD-2020-20195、CNVD-2020-20196、CNVD-2020-20197、CNVD-2020-20202、CNVD-2020-20203）、多款Qualcomm產品Data Modem緩沖區溢出漏洞（CNVD-2020-20198、CNVD-2020-20199、CNVD-2020-20200）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

CloudBees產品安全漏洞

CloudBeesJenkins（Hudson Labs）是美國CloudBees公司的一套基于Java開發的持續集成工具。該產品主要用于監控持續的軟件版本發布/測試項目和一些定時執行的任務。Splunk Plugin是使用在其中的一個用于監控Jenkins主從基礎架構、作業和構建過程的插件。Artifactory Plugin是使用在其中的一個用于發布、解析和發布可跟蹤的構建工件的插件。LTS是CloudBeesJenkins的一個長期支持版本。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼等。

CNVD收錄的相關漏洞包括：CloudBees Jenkins Sandbox認證繞過漏洞、CloudBees Jenkins Artifactory插件信息泄露漏洞、CloudBees Jenkins代碼問題漏洞（CNVD-2020-20404、CNVD-2020-20405）、CloudBees Jenkins信息泄露漏洞、CloudBees Jenkins和LTS授權問題漏洞、CloudBees Jenkins Artifactory插件跨站腳本漏洞、CloudBees Jenkins跨站請求偽造漏洞（CNVD-2020-20705）。其中“CloudBees Jenkins Artifactory插件跨站腳本漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Tivoli Netcool Impact是美國IBM公司的一套網絡管理軟件。該軟件具備自動支持關鍵業務功能，并提供一個可對實時的數據、事件和指示符進行統一訪問的平臺。IBM Spectrum Protect Plus是一套數據保護平臺。該平臺為企業提供單一控制和管理點，并支持對所有規模的虛擬、物理和云環境進行備份和恢復。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意命令，導致拒絕服務等。

CNVD收錄的相關漏洞包括：IBM Tivoli Netcool Impact跨站請求偽造漏洞（CNVD-2020-20673、CNVD-2020-20675）、IBM Tivoli Netcool Impact拒絕服務漏洞、IBM Tivoli Netcool Impact跨站腳本漏洞（CNVD-2020-20671）、IBM Spectrum Protect Plus命令執行漏洞（CNVD-2020-20699、CNVD-2020-20702、CNVD-2020-20698）、IBM Spectrum Protect Plus身份驗證繞過漏洞。其中，除 “IBM Tivoli Netcool Impact拒絕服務漏洞、IBM Tivoli Netcool Impact跨站腳本漏洞（CNVD-2020-20671）、IBM Tivoli Netcool Impact跨站請求偽造漏”外，其余漏洞的綜合評級為“高?！?，目前，廠商已經發布了上述漏洞的修補程序。

Phoenix Contact PC WORX SRT權限提升漏洞

Phoenix Contact PC WORX SRT是德國菲尼克斯電氣（Phoenix Contact）公司的一款可編程邏輯控制器。上周，Phoenix Contact PC WORXSRT被披露存在權限提升漏洞。攻擊者可利用該漏洞提升權限。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼，破壞內存。此外Qualcomm、CloudBees、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼，造成拒絕服務和緩沖區溢出等。另外，Phoenix Contact PC WORX SRT被披露存在權限提升漏洞。攻擊者可利用該漏洞提升權限。

中國電子銀行網綜合CNVD、國家密碼管理局、金融電子化、信息安全與通信保密雜志社、金卡生活、中國信息安全、安全牛、cnBeta.COM報道

責任編輯：韓希宇