國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞415個，互聯網上出現“Apache Solr Velocity Template遠程代碼執行漏洞、WordPress Randy Peterman Murph StatTraq SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

總體國家安全觀與金融安全

2020年4月15日是我國第五個全民國家安全教育日。今年的主題是：堅持總體國家安全觀，統籌傳統安全和非傳統安全，為決勝全面建成小康社會提供堅強保障。>>詳細

金融網絡安全關乎你我

合理使用電子銀行安全認證方式相當于給賬戶或資金上了鎖，能夠大大降低網絡支付風險，使支付更加安全，更有保障。>>詳細

學習密碼法 筑牢安全防線

開展密碼法制宣傳教育活動，是堅持總體國家安全觀的需要，對保障人民銀行依法履行好服務實體經濟、維護金融安全等職責具有重要意義。>>詳細

全新交互體驗，降本還安全！招投標移動化轉型「四步走」

在投標階段中，移動端認證用戶，需要保證投標文件的不可篡改，可以使用數字證書、電子簽章等方式進行。>>詳細

一圖讀懂《中華人民共和國密碼法》

密碼是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。>>詳細

評論丨重視數據的要素屬性，打造國內高效一體化供應鏈

保障數字安全，建立合理的隱私保護制度。數據需要從資源變為可用于營利和非營利性使用的數據資本，需要建立在合法保障隱私的基礎上。>>詳細

賬戶被盜：同花順事件波及十多家券商 你的賬戶安全嗎？

盤點過去一周的行業熱點，股民“賬號被盜高位接盤”的奇葩劇情仍處于C位。>>詳細

密碼服務支撐新基建：5G V2X中的密碼

由于具有低時延、高可靠、高速率的優點，5G將成為V2X信息交互的最佳通訊網絡，但要構建安全可信的5G-V2X系統，密碼將發揮不可或缺的作用。>>詳細

蘋果谷歌新冠病毒追蹤項目詳解：基于藍牙 匿名追蹤

這種應用不會收集個人身份信息或用戶定位數據，“檢測呈陽性者的用戶信息也不會被歌或蘋果公司的其他用戶看到”。>>詳細

安全威脅播報

上周漏洞基本情況

上周（4月6日-12日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞415個，其中高危漏洞147個、中危漏洞232個、低危漏洞36個。漏洞平均分值為6.05。上周收錄的漏洞中，涉及0day漏洞168個（占41%），其中互聯網上出現“Apache Solr Velocity Template遠程代碼執行漏洞、WordPress Randy Peterman Murph StatTraq SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Apple產品安全漏洞

Apple iOS是一套為移動設備所開發的操作系統。Apple watchOS是一套智能手表操作系統。Apple iPadOS是一套用于iPad平板電腦的操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，或導致應用程序崩潰。

CNVD收錄的相關漏洞包括：多款Apple產品Kernel組件內存破壞漏洞（CNVD-2020-22118、CNVD-2020-22133、CNVD-2020-22132）、多款Apple產品Image Processing組件資源管理錯誤漏洞、多款Apple產品IOHIDFamily組件緩沖區溢出漏洞、多款Apple產品WebKit組件類型混淆漏洞（CNVD-2020-22129）、多款Apple產品WebKit組件內存消耗漏洞、多款Apple產品libxml2組件緩沖區溢出漏洞（CNVD-2020-22134）。其中，除“多款Apple產品WebKit組件內存破壞漏洞（CNVD-2020-22132）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Huawei產品安全漏洞

HuaweiUSG9500等都是中國華為（Huawei）公司的產品。USG9500是一款數據中心防火墻產品。NIP6800是一套入侵防御系統。USG6600是一款數據中防火墻產品。Huawei Mate 20、Mate 30和Mate 30 Pro都是中國華為（Huawei）公司的一款智能手機。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行未授權操作，獲取敏感信息，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Huawei Mate 20和Mate 30 Pro授權問題漏洞、Huawei NIP6800、Secospace USG6600和USG9500無效指針訪問漏洞（CNVD-2020-22007）、Huawei NIP6800、Secospace USG6600和USG9500資源管理錯誤漏洞、Huawei NIP6800、Secospace USG6600和USG9500訪問控制繞過漏洞、Huawei NIP6800，SecospaceUSG6600和USG9500越界寫入漏洞、Huawei NIP6800、Secospace USG6600和USG9500越界讀取漏洞、Huawei NIP6800、Secospace USG6600和USG9500拒絕服務漏洞（CNVD-2020-22011）、Huawei Mate 30 Pro和Huawei Mate 30授權問題漏洞。其中，“Huawei NIP6800、Secospace USG6600和USG9500越界讀取漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBMSecurity Information Queue是一款數據集成產品。IBM Aspera是一套基于IBM FASP協議構建的快速文件傳輸和流解決方案。IBM WebSphere ApplicationServer Liberty是一款構建于Open Liberty項目之上的Java應用程序服務器。IBM Rational QualityManager（RQM）是一套協作的、基于Web的質量管理解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行客戶端代碼。

CNVD收錄的相關漏洞包括：IBM Security InformationQueue信息泄露漏洞（CNVD-2020-22186、CNVD-2020-22189、CNVD-2020-22188、CNVD-2020-22187）、多款IBM產品緩沖區溢出漏洞（CNVD-2020-22192）、IBM WebSphere Application Server Liberty跨站腳本漏洞（CNVD-2020-22194、CNVD-2020-22193）、IBM Rational Quality Manager信息泄露漏洞（CNVD-2020-22336）。其中“多款IBM產品緩沖區溢出漏洞（CNVD-2020-22192）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

GitLab產品安全漏洞

GitLab是一款使用Ruby on Rails開發的、自托管的、Git（版本控制系統）項目倉庫應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行未授權訪問，獲取敏感信息等。

CNVD收錄的相關漏洞包括：GitLab信息泄露漏洞（CNVD-2020-22022、CNVD-2020-22024）、GitLab競爭條件漏洞、GitLab資源管理問題漏洞、GitLab EE/CE信息泄露漏洞（CNVD-2020-22238、CNVD-2020-22242、CNVD-2020-22239）、GitLab EE/CE SSRF漏洞。其中，“GitLab EE/CE SSRF漏洞”的綜合評級為“高?！?，目前，廠商已經發布了上述漏洞的修補程序。

D-Link DIR-615授權問題漏洞

D-Link DIR-615是一款無線路由器。上周，D-Link DIR-615被披露存在授權問題漏洞。該漏洞源于網絡系統或產品中缺少身份驗證措施或身份驗證強度不足。攻擊者可利用該漏洞修改頁面的數據字段。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Apple產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，或導致應用程序崩潰。此外Huawei、IBM、GitLab等多款產品被披露存在多個漏洞，攻擊者可利用漏洞執行未授權操作，獲取敏感信息，導致拒絕服務等。另外，D-Link DIR-615被披露存在授權問題漏洞。攻擊者可利用該漏洞修改頁面的數據字段。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行、國家密碼管理局、21世紀經濟報道、券商中國、新浪數碼、密碼頭條報道

責任編輯：韓希宇