國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞600個，互聯網上出現“Sourcecodesterk Doctor Appointment System跨站腳本漏洞、pczupil X2CRM跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

北京師范大學教授賈濟東：反洗錢合規性和有效性將大幅度提高

將“洗錢犯罪及相關犯罪”修改為“相關違法犯罪活動”，強化了對洗錢違法活動的預防和遏制，也就是說，國務院反洗錢行政主管部門——中國人民銀行的作用更加凸顯。>>詳細

訴訟周期長、舉證難！如何提升線上供應鏈金融糾紛處理效率？

電子證據運用中有三大關鍵點：一是確定實際操作人，通過業務流程設計及數字證書使用，核實用戶的真實身份，盡可能的固化這一認證結果。二是確保證據真實性質量，通過存證、區塊鏈、公證等方式，提升電子數據固化能力。>>詳細

解構假“以房養老”、“投資養老”騙術：小恩小惠博好感 降低老年人警覺

6月7日，銀保監會消保局發布關于警惕“投資養老”“以房養老”金融詐騙的風險提示。>>詳細

工信部部署推進5G安全工作

當前我國5G網絡建設步伐加快，已建成5G基站近85萬個，形成全球最大5G獨立組網網絡，5G行業應用創新案例已超過1萬個。會議要求，借助5G賽道促進網絡安全產業發展，提升5G安全產業供給能力和水平。>>詳細

遏制網絡詐騙 恒豐銀行北京分行開展“斷卡”行動宣傳

恒豐銀行北京分行深入推進“斷卡”行動工作落實，組織各營業機構積極開展“斷卡”行動宣傳，從源頭上遏制網絡詐騙案件多發、高發態勢。>>詳細

聯防聯治新探索 美團金服反詐專線一年勸阻20000余潛在被騙者

在這場全民反詐的持久戰中，越來越多的互聯網平臺積極遵循“事前防范勝于事后打擊”、“破一案不如止一案”的聯防聯治新理念。>>詳細

銀行卡遭遇盜刷，如何維權？

遭遇盜刷后，持卡人可以要求銀行歸還本息并賠償損失；信用卡被盜刷的，持卡人不必償還透支款本息。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年5月31日-6月6日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞600個，其中高危漏洞158個、中危漏洞383個、低危漏洞59個。漏洞平均分值為5.70。上周收錄的漏洞中，涉及0day漏洞308個（占51%），其中互聯網上出現“Sourcecodesterk Doctor Appointment System跨站腳本漏洞、pczupil X2CRM跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Apache產品安全漏洞

Apache Superset up是美國 （Apache）公司的一個提供大型分布式環境中橫向擴展設計應用軟件。Apache Ozone是一個面向Hadoop和云原生環境的可伸縮，冗余和分布式對象存儲。Apache Tapestry是一款使用Java語言編寫的Web應用程序框架。Apache OFBiz是一套企業資源計劃（ERP）系統。該系統提供了一整套基于Java的Web應用程序組件和工具。Apache Dubbo是一款基于Java的高性能開源RPC框架。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞進行未授權訪問，創建一個可能是惡意的外部URL，使用特殊構造的URL下載WEB-INF中的文件等。

CNVD收錄的相關漏洞包括：Apache Ozone授權問題漏洞、Apache Superset輸入驗證錯誤漏洞、Apache Tapestry信息泄露漏洞、Apache Tapestry反序列化漏洞、Apache OFBiz代碼問題漏洞、Apache OFBiz遠程代碼執行漏洞、Apache Dubbo任意代碼執行漏洞、Apache Dubbo反序列化漏洞（CNVD-2021-39669）。其中，除“Apache Ozone授權問題漏洞、Apache Superset輸入驗證錯誤漏洞、Apache Tapestry信息泄露漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Cognos Analytics是美國IBM公司的一套商業智能軟件。IBM Spectrum Scale是一套基于IBM GPFS（專為PB級存儲管理而優化的企業文件管理系統）的可擴展的數據及文件管理解決方案。IBM Security Verify Access是一款提高用戶訪問安全的服務。IBM WebSphere Exteme Scale是一個彈性的，高度可擴展的內存數據網格。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼等。

CNVD收錄的相關漏洞包括：IBM Cognos Analytics XML外部實體注入漏洞（CNVD-2021-38673）、IBM Cognos Analytics信息泄露漏洞（CNVD-2021-38672）、IBM Cognos Analytics命令執行漏洞、IBM Cognos Analytics跨站腳本漏洞（CNVD-2021-38670）、IBM Spectrum Scale權限提升漏洞（CNVD-2021-38676）、IBM Security Verify Access緩沖區溢出漏洞、IBM WebSphere eXtreme Scale信息泄露漏洞（CNVD-2021-39041）、IBM Engineering Systems Design Rhapsody訪問控制錯誤漏洞。其中，除“IBM Cognos Analytics信息泄露漏洞（CNVD-2021-38672）、IBM Cognos Analytics跨站腳本漏洞（CNVD-2021-38670）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Excel是Microsoft公司的辦公軟件Microsoft office的組件之一，是一款電子表格程序。上周，上述產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞實現遠程代碼執行。

CNVD收錄的相關漏洞包括：Microsoft Excel遠程代碼執行漏洞（CNVD-2021-39509、CNVD-2021-39508、CNVD-2021-39512、CNVD-2021-39511、CNVD-2021-39510、CNVD-2021-39516、CNVD-2021-39515、CNVD-2021-39517）。其中，除“Microsoft Excel遠程代碼執行漏洞（CNVD-2021-39515）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

ASUS產品安全漏洞

ASUS BMC Firmware是中國華碩（ASUS）公司的一個固件。上周，上述產品被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞終止Web服務。

CNVD收錄的相關漏洞包括：ASUS BMC Firmware緩沖區溢出漏洞（CNVD-2021-39576、CNVD-2021-39575、CNVD-2021-39578、CNVD-2021-39577、CNVD-2021-39580、CNVD-2021-39579、CNVD-2021-39582、CNVD-2021-39581）。目前，廠商已經發布了上述漏洞的修補程序。

Red Hat Ansible信息泄露漏洞（CNVD-2021-39044）

Red Hat Ansible是美國紅帽（Red Hat）公司的一款計算機系統配置管理器。該產品可用于發布、管理和編排計算機系統。Ansible Tower是其中的一個提供了用戶界面（UI）、儀表板和REST API的任務控制應用程序。上周，Red Hat Ansible Tower被披露存在信息泄露漏洞。攻擊者可利用該漏洞獲取受影響組件敏感信息。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Apache產品被披露存在多個漏洞，攻擊者可利用漏洞進行未授權訪問，創建一個可能是惡意的外部URL，使用特殊構造的URL下載WEB-INF中的文件等。此外，IBM、Microsoft、ASUS等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼、終止Web服務等。另外，Red Hat Ansible Tower被披露存在信息泄露漏洞。攻擊者可利用漏洞獲取受影響組件敏感信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、中國金融新聞網、中國證券報·中證網、恒豐銀行報道

責任編輯：韓希宇