國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞289個，互聯網上出現“Konica Minolta FTP Utility 'NLST'拒絕服務漏洞、Wordpress插件Ajax Load More '#1' SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

APP違法違規收集使用個人信息專項治理報告（2019）

一年來，專項治理工作成效顯著，《APP違法違規收集使用個人信息行為認定方法》《個人信息安全規范》等標準規范相繼出臺完善。>>詳細

全國人大代表張智富：建議加快信用信息立法進程

張智富建議，建議國家層面盡快出臺信用信息共享開放和信息主體權益保護法律法規，加快信用信息立法進程。>>詳細

專訪中國政法大學副校長時建中：加快數據治理法治化 賦能科技創新和實體經濟發展

數字化經濟在許多領域甚至加大了企業與消費者之間數據信息能力的差距，企業一端呈現數據井噴，而消費者卻處于數據裸奔的狀態。>>詳細

專家支招丨關于個人信息保護，三點建議從源頭“加把鎖”

交通銀行信用卡安全專家建議，消費者可以從“信息收集”“信息使用”以及“信息銷毀”三個階段加強防護，從而有效地減少個人信息被盜用的情況。>>詳細

App違法違規收集使用個人信息專項治理成效顯著！一起來看！

自全國范圍內組織開展專項治理工作以來，千余款App經深度評估后進行了有效整改，無隱私政策、強制索權、無注銷渠道等問題明顯改善。>>詳細

漫談電子招投標交易平臺檢測認證“試運行”

為實現電子招投標交易平臺檢測認證制度的有效落地，同時結合電子招標采購業務屬性，富有創造性的提出“應于檢測合規后認證審查前開展試運行”。>>詳細

國家網信辦啟動2020“清朗”專項行動

“清朗”專項行動全面覆蓋各類網絡傳播渠道和平臺，集中清理網上各類違法和不良信息。專項行動將出重拳、用真招，對有令不行、頂風作案的網站平臺依法從嚴處理，并公開曝光典型案例，有效震懾違法違規行為。>>詳細

曝泰國最大移動運營商泄露83億條用戶數據記錄

此次數據泄露事件波及數百萬名用戶，數據記錄達83億條，容量約為4.7TB，每24小時增加2億記錄。>>詳細

安全威脅播報

上周漏洞基本情況

上周（5月18日-24日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞289個，其中高危漏洞132個、中危漏洞136個、低危漏洞21個。漏洞平均分值為6.64。上周收錄的漏洞中，涉及0day漏洞122個（占42%），其中互聯網上出現“Konica Minolta FTP Utility 'NLST'拒絕服務漏洞、Wordpress插件Ajax Load More '#1' SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Chrome是一款Web瀏覽器。上周，上述產品被披露存在安全繞過漏洞，攻擊者可利用漏洞繞過安全限制。

CNVD收錄的相關漏洞包括：Google Chrome安全繞過漏洞（CNVD-2020-29226、CNVD-2020-29229、CNVD-2020-29228、CNVD-2020-29227、CNVD-2020-29232、CNVD-2020-29231、CNVD-2020-29230、CNVD-2020-29235）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBMi2 Analysts Notebook是一款數據可視化分析工具。該產品支持數據存儲和數據分析等功能。IBM i2 Analysts NotebookPremium是IBM i2 Analysts Notebook的高級版本。上周，上述產品被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞在系統上執行任意代碼，或導致應用程序崩潰（內存損壞）。

CNVD收錄的相關漏洞包括：IBM i2 Analysts Notebook和IBM i2 Analysts Notebook Premium緩沖區溢出漏洞（CNVD-2020-28955、CNVD-2020-28958、CNVD-2020-28960、CNVD-2020-28964、CNVD-2020-28962、CNVD-2020-28965、CNVD-2020-29556、CNVD-2020-29555）。其中，除“IBM i2 Analysts Notebook和IBMi2 Analysts Notebook Premium緩沖區溢出漏洞（CNVD-2020-29555）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

TYPO3產品安全漏洞

TYPO3是一套免費開源的內容管理系統(框架)(CMS/CMF)。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感數據信息，進行開放重定向，以用戶權限執行腳本，導致拒絕服務等。

CNVD收錄的相關漏洞包括：TYPO3 Direct Mail組件信息泄露漏洞（CNVD-2020-28942）、TYPO3 Backend User Interface和InstallTool組件跨站腳本漏洞、TYPO3 Backend UserInterface組件代碼問題漏洞、TYPO3 Core組件代碼問題漏洞、TYPO3 Direct Mail組件輸入驗證錯誤漏洞、TYPO3 Direct Mail組件拒絕服務漏洞、TYPO3 Password Reset組件信息泄露漏洞、TYPO3 Direct Mail組件信息泄露漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Unified Contact Center Express（Unified CCX）是一款統一通信解決方案中的客戶關系管理組件。Cisco Firepower Threat Defense是一套提供下一代防火墻服務的統一軟件。Cisco Adaptive Security Appliances Software是一套防火墻和網絡安全平臺。Cisco Umbrella是一套云安全平臺。Cisco Prime Collaboration Provisioning（PCP）是一套基于Web的下一代通信服務軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取數據庫敏感信息，執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Cisco Unified Contact CenterExpress輸入驗證錯誤漏洞（CNVD-2020-29593）、Cisco Firepower Threat Defense和AdaptiveSecurity Appliances Software輸入驗證錯誤漏洞、Cisco Umbrella注入漏洞、Cisco Prime Collaboration Provisioning SQL注入漏洞（CNVD-2020-29595）、Cisco Prime NetworkRegistrar輸入驗證錯誤漏洞、Cisco Adaptive SecurityAppliances Software和Cisco Firepower ThreatDefense資源管理錯誤漏洞、Cisco Firepower ThreatDefense和Adaptive Security Appliances Software緩沖區溢出漏洞、Cisco Firepower Threat Defense和Adaptive Security Appliances Software路徑遍歷漏洞。其中，除“Cisco Firepower Threat Defense和Adaptive Security Appliances Software輸入驗證錯誤漏洞、Cisco Umbrella注入漏洞、Cisco Prime Collaboration Provisioning SQL注入漏洞（CNVD-2020-29595）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Draytek Vigor3900、Vigor2960和Vigor300B緩沖區溢出漏洞

DrayTek Vigor3900是一款寬帶路由器/VPN網關設備。Vigor2960是一款負載平衡路由器和VPN網關設備。Vigor300B是一款負載均衡路由器。上周，Draytek Vigor3900、Vigor2960和Vigor300B被披露存在緩沖區溢出漏洞。遠程攻擊者可借助特制HTTP請求利用該漏洞在系統上執行任意代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在安全繞過漏洞，攻擊者可利用漏洞繞過安全限制。此外IBM、TYPO3、Cisco等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感數據信息，進行開放重定向，執行任意代碼，導致拒絕服務等。另外，Draytek Vigor3900、Vigor2960和Vigor300B被披露存在緩沖區溢出漏洞。遠程攻擊者可借助特制HTTP請求利用該漏洞在系統上執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國網信網、第一財經、21世紀經濟報道、APP治理工作組、交通銀行、網安前哨報道

責任編輯：韓希宇