國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞483個，互聯網上出現“Submitty跨站腳本漏洞、Cellebrite UFED輸入驗證錯誤漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

評2020版《個人信息安全規范》：“賬戶注銷”如何落地實施？

關于“賬戶注銷”的規定是2020年3月頒布的新版國家標準《個人信息安全規范》中受到廣泛關注的亮點之一。>>詳細

浙江發布公共數據開放辦法，8月1日正式實施

《浙江省公共數據開放與安全管理暫行辦法》于6月4日上午在省政府第44次常務會議審議通過，并將于2020年8月1日起正式施行。>>詳細

全球法人識別編碼（LEI）及基本數據項釋義

LEI編碼是由20位數字和字母組成的唯一編碼。我國LEI編碼包括前綴部分、預留位部分、機構特定部分和校驗位四部分。>>詳細

中國銀保監會消保局關于防范不法分子冒充監管機關實施詐騙的風險提示

中國銀保監會及其派出機構均無權直接凍結任何單位或個人的銀行賬戶，消費者應提高風險防范意識，謹防上當受騙、資金受損。>>詳細

守住錢袋子！一招教你看破套路

近期，出現了一類針對大學生、90后、職場新人的新型詐騙。>>詳細

遠離跨境賭博，守護好自己的錢袋子

提醒廣大群眾：要自覺抵制赴境外賭博或網上參賭的行為，高度警惕網上賭博的新手法、新特點，不斷提高防范意識和能力。>>詳細

電信詐騙手段“花樣百出”，樂樂教您“一招制敵”

新型電信詐騙手段“花樣百出”，樂樂教您防范電信網絡詐騙小技巧“6不、3問、7習慣”。>>詳細

廣東農信全新推出悅農天翼SIM盾：一盾在手，安全無憂！

廣東農信攜手中國電信，聯合推出悅農天翼SIM盾，一盾多用很便捷，用“芯”守護更安全。>>詳細

安全威脅播報

上周漏洞基本情況

上周（6月15日-21日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞483個，其中高危漏洞126個、中危漏洞294個、低危漏洞63個。漏洞平均分值為5.75。上周收錄的漏洞中，涉及0day漏洞190個（占39%），其中互聯網上出現“Submitty跨站腳本漏洞、Cellebrite UFED輸入驗證錯誤漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Go是的一款靜態強類型、編譯型、并發型，并具有垃圾回收功能的編程語言。Android是美國谷歌（Google）和開放手持設備聯盟（簡稱OHA）的一套以Linux為基礎的開源操作系統。System是其中的一個系統組件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，造成拒絕服務。

CNVD收錄的相關漏洞包括：Google Android System組件權限提升漏洞（CNVD-2020-32918、CNVD-2020-32920、CNVD-2020-32919）、Google Android System組件信息泄露漏洞（CNVD-2020-32923、CNVD-2020-32922）、Google Android System緩沖區溢出漏洞（CNVD-2020-33221）、Google Android System權限提升漏洞（CNVD-2020-33230）、Google Go信任管理問題漏洞（CNVD-2020-33729）。其中，“Google Android System緩沖區溢出漏洞（CNVD-2020-33221）、Google Android System權限提升漏洞（CNVD-2020-33230）、Google Go信任管理問題漏洞（CNVD-2020-33729）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

MicrosoftWindows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Windows Jet Database Engine是其中的一個數據庫引擎。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，導致目標系統停止響應。

CNVD收錄的相關漏洞包括：Microsoft Windows JetDatabase Engine遠程代碼執行漏洞（CNVD-2020-33077、CNVD-2020-33432、CNVD-2020-33431、CNVD-2020-33430）、Microsoft Windows和Windows Server提權漏洞（CNVD-2020-33422、CNVD-2020-33421、CNVD-2020-33433）、Microsoft Windows和Windows Server拒絕服務漏洞（CNVD-2020-33424）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

CiscoNX-OS Software是一套交換機使用的數據中心級操作系統軟件。Cisco IOS是一套為其網絡設備開發的操作系統。IOS XE是一套為其網絡設備開發的操作系統。Cisco 809 Industrial Integrated Services Routers是一款工業集成多業務路由器。Cisco 1000 Series Connected Grid Routers是一款1000系列互聯網格路由器。Cisco ASR 920 SeriesAggregation Services Router ASR920-12SZ-IM是美國思科（Cisco）公司的一款920系列聚合服務路由器。Cisco Content Security Management Appliance是一套內容安全管理設備。該設備主要用于管理電子郵件和Web安全設備的所有策略、報告、審計信息等。AsyncOS Software是運行在其中的一套操作系統。Cisco Application Services Engine是美國思科（Cisco）公司的一套用于部署Cisco數據中心應用的通用平臺。Cisco Wireless LAN Controller（WLC）Software是美國思科（Cisco）公司的一套用于配置和管理WLC（無線局域網控制器）的軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，造成拒絕服務等。

CNVD收錄的相關漏洞包括：多款Cisco產品輸入驗證錯誤漏洞（CNVD-2020-32900）、多款Cisco產品緩沖區溢出漏洞、Cisco ASR 920 SeriesAggregation Services Router ASR920-12SZ-IM代碼問題漏洞、Cisco IOS和IOS XE輸入驗證錯誤漏洞（CNVD-2020-32903）、多款Cisco產品AsyncOS輸入驗證錯誤漏洞、Cisco Application Services Engine訪問控制錯誤漏洞（CNVD-2020-32907）、Cisco Wireless LAN Controller Software緩沖區溢出漏洞、Cisco Wireless LAN Controller Software輸入驗證錯誤漏洞（CNVD-2020-33644）。其中，“多款Cisco產品輸入驗證錯誤漏洞（CNVD-2020-32900）、多款Cisco產品緩沖區溢出漏洞、Cisco IOS和IOS XE輸入驗證錯誤漏洞（CNVD-2020-32903）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

CloudBees產品安全漏洞

CloudBees Jenkins（HudsonLabs）是美國CloudBees公司的一套基于Java開發的持續集成工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意命令等。

CNVD收錄的相關漏洞包括：CloudBees Jenkins SeleniumPlugin跨站請求偽造漏洞、CloudBees Jenkins PlayFramework Plugin操作系統命令注入漏洞、CloudBees Jenkins CopyArtifact Plugin授權問題漏洞、CloudBees Jenkins SCMFilter Jervis Plugin代碼問題漏洞、CloudBees Jenkins AmazonEC2 Plugin授權問題漏洞、CloudBees Jenkins AmazonEC2 Plugin信任管理問題漏洞、CloudBees Jenkins AmazonEC2 Plugin跨站請求偽造漏洞、CloudBees Jenkins CoprPlugin信息泄露漏洞。目前，廠商已經發布了上述漏洞的修補程序。

TRENDnet TEW-827DRU命令注入漏洞（CNVD-2020-33483）

TRENDnet TEW-827DRU是一款無線路由器。上周，TRENDnet TEW-827DRU被披露存在命令注入漏洞。攻擊者可利用該漏洞在設備上運行任意命令。廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，造成拒絕服務。此外，Microsoft、Cisco、CloudBees等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意命令，造成拒絕服務等。另外，TRENDnet TEW-827DRU被披露存在命令注入漏洞。攻擊者可利用該漏洞在設備上運行任意命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國銀保監會、中國人民銀行濟南分行、網信浙江、全國信息安全標準化技術委員會、華夏銀行微刊、長沙銀行、網商銀行、廣東農信報道

責任編輯：韓希宇