國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞528個，互聯網上出現“ZOHO ManageEngine Key Manager Plus跨站腳本漏洞、Joomla! DT Register SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

網絡安全是數字經濟發展的“生命線”

《辦法》將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查，并明確要求掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。>>詳細

加快數字經濟立法：安全與發展并舉，鼓勵地方創新

數字經濟立法，就是要保護有價值的數據生產者的權益，激勵他們愿意將數據拿出來與他人分享或交易，實現數據的社會化利用。>>詳細

工信部擬規定：重要工信數據向境外提供應進行安全評估

工業和信息化領域數據處理者在中華人民共和國境內收集和產生的重要數據和核心數據，法律、行政法規有境內存儲要求的，應當在境內存儲，確需向境外提供的，應當依法依規進行數據出境安全評估。>>詳細

央行新規解讀：金融機構如何運用科技手段加強客戶盡職調查？

CFCA金信反欺詐服務平臺基于眾多官方數據源，利用安全計算與智能分析、機器學習等技術，向持牌金融機構提供基礎認證和反欺詐產品與技術服務。>>詳細

工銀科技打造智能風控產品 助力數字安全生態建設

截至2021年末，“工銀BRAINS反洗錢產品”已服務5個行業27家客戶，對其3.7億個人、法人客戶開展反洗錢監測分析，有效提升反洗錢監管效率。>>詳細

防范支付風險，保障資金安全

在日常生活中切勿向他人透露個人金融信息、財產狀況等基本信息，也不要隨意在網絡上留下個人金融信息。>>詳細

首家！中國銀聯聯邦學習平臺通過CFCA聯邦學習技術應用產品測評

平臺能夠有效支撐機構間基于聯邦學習開展數據合作，后續將進一步聯合業界的隱私計算技術供應商共同推動互聯互通規范對接，促進更多行業機構實現隱私計算數據網絡互聯，賦能金融數據要素的安全合規流通。>>詳細

中國民生銀行信用卡中心積極開展《個人信息保護法》宣教活動

中國民生銀行信用卡中心堅定貫徹落實總行相關工作部署，積極開展《個人信息保護法》宣教活動，全面提升個人信息保護水平和依法經營管理實效。>>詳細

微眾銀行微粒貸加強反詐宣傳 增強消費者防范意識

針對反詐騙宣教工作，微眾銀行也在官方自有宣傳渠道和社會媒體上進行廣泛的用戶教育宣傳，呼吁用戶警惕相關虛假、詐騙信息，保護個人信息和財產安全。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年2月7日-13日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞528個，其中高危漏洞118個、中危漏洞371個、低危漏洞39個。漏洞平均分值為5.60。上周收錄的漏洞中，涉及0day漏洞300個（占57%），其中互聯網上出現“ZOHO ManageEngine Key Manager Plus跨站腳本漏洞、Joomla! DT Register SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Oracle產品安全漏洞

Oracle MySQL Server是美國甲骨文（Oracle）公司的一款關系型數據庫。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞破壞或刪除數據。

CNVD收錄的相關漏洞包括：Oracle MySQL緩沖區溢出漏洞、Oracle MySQL輸入驗證錯誤漏洞（CNVD-2022-09136、CNVD-2022-09135、CNVD-2022-09134、CNVD-2022-09139、CNVD-2022-09143、CNVD-2022-09142、CNVD-2022-09141）。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache OpenOffice是美國阿帕奇（Apache）基金會的一款開源的辦公軟件套件。該套件包含文本文檔、電子表格、演示文稿、繪圖、數據庫等。Apache HTTP Server是美國阿帕奇（Apache）軟件基金會的一款開源網頁服務器。該服務器具有快速、可靠且可通過簡單的API進行擴充的特點。Apache Airflow是美國阿帕奇（Apache）基金會的一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。Apache Dubbo是美國阿帕奇（Apache）基金會的一款基于Java的輕量級RPC（遠程過程調用）框架。該產品提供了基于接口的遠程呼叫、容錯和負載平衡以及自動服務注冊和發現等功能。Apache Jena是美國阿帕奇（Apache）基金會的一個Java語義網框架。用于構建語義Web和鏈接數據應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過發送特制的XML文件讀取文件，在系統上提升權限，通過發送特制的HTTP請求造成拒絕服務（空指針逆向引用和段錯誤）等。

CNVD收錄的相關漏洞包括：Apache OpenOffice訪問控制錯誤漏洞、Apache HTTP Server mod_md拒絕服務漏洞、Apache OpenOffic內存破壞漏洞、Apache OpenOffice XML外部實體注入漏洞、Apache HTTP Server拒絕服務漏洞（CNVD-2022-09237）、Apache Airflow跨站腳本漏洞（CNVD-2022-09242）、Apache Dubbo代碼問題漏洞、Apache Jena XML外部實體注入漏洞。其中“Apache Dubbo代碼問題漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Financial Transaction Manager是美國IBM公司的一款金融事務管理器。該產品主要用于監控、跟蹤和報告金融支付和交易。IBM Security Verify Access（ISAM）是美國IBM公司的一款提高用戶訪問安全的服務。IBM Security Guardium Insights是美國IBM公司的一套數據安全解決方案。該產品支持數據分析、威脅警報、數據安全性審計和本地數據監控等功能。IBM Guardium Data Encryption（GDE）是美國IBM公司的一個應用軟件。提供一個數據安全和合規性解決方案。IBM DB2是美國IBM公司的一套關系型數據庫管理系統。IBM Spectrum Copy Data Management是美國國際商業機器公司（IBM）的實現數據中心副本管理流程的現代化、簡化和自動化。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行惡意和未經授權的行為，以系統上的任何用戶身份進行身份驗證，竊取經過身份驗證的會話，可導致用戶名枚舉等。

CNVD收錄的相關漏洞包括：IBM Financial Transaction Manager跨站請求偽造漏洞（CNVD-2022-08964）、IBM Security Verify Access未授權訪問漏洞、IBM Financial Transaction Manager授權問題漏洞（CNVD-2022-08965）、IBM Security Guardium Insights信息泄露漏洞（CNVD-2022-08968）、IBM Guardium Data Encryption信息泄露漏洞（CNVD-2022-08967）、IBM Security Guardium Insights輸入驗證錯誤漏洞、IBM Db2信息泄露漏洞（CNVD-2022-08971）、IBM Spectrum Copy Data Management未授權訪問漏洞。其中“IBM Spectrum Copy Data Management未授權訪問漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

ZOHO產品安全漏洞

Zoho Corporation ManageEngine OpManager是美國Zoho Corporation公司的一款綜合性網絡監控軟件。用于管理路由器、防火墻、服務器、交換機和打印機。ZOHO ManageEngine Remote Access Plus是美國卓豪（ZOHO）公司的一套遠程訪問解決方案。ZOHO ManageEngine ADManager Plus是美國卓豪（ZOHO）公司的一套為使用Windows域的企業用戶設計的微軟活動目錄管理軟件。該軟件能夠協助AD管理員和幫助臺技術人員進行日常管理工作，例如批量管理用戶帳戶和AD對象、給幫助臺技術員指派基于角色的訪問權限等。ZOHO ManageEngine EventLog Analyzer是美國卓豪（ZOHO）公司的一套系統、事件日志分析軟件。該軟件能夠對全網范圍內的主機、服務器、網絡設備以及各種應用服務系統等產生的日志，進行全面收集和細致分析。ZOHO ManageEngine AssetExplorer是美國卓豪（ZOHO）公司的一套資產管理軟件。該軟件提供資產跟蹤、IT資產的掃描和資產所有權的跟蹤等功能。ZOHO ManageEngine ServiceDesk Plus（SDP）是美國卓豪（ZOHO）公司的一套基于ITIL架構的IT服務管理軟件。該軟件集成了事件管理、問題管理、資產管理IT項目管理、采購與合同管理等功能模塊。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞訪問審計目錄，提交特殊的請求，可未授權訪問系統，導致遠程代碼執行等。

CNVD收錄的相關漏洞包括：Zoho Corporation ManageEngine OpManager授權問題漏洞、Zoho ManageEngine Remote Access Plus信任管理問題漏洞（CNVD-2022-09267、CNVD-2022-09266）、Zoho ManageEngine ADManager Plus代碼問題漏洞、Zoho ManageEngine ADManager Plus路徑遍歷漏洞、Zoho ManageEngine Eventlog Analyzer路徑遍歷漏洞、ZOHO ManageEngine AssetExplorer信任管理問題漏洞、ZOHO ManageEngine ServiceDesk Plus授權問題漏洞。除“Zoho ManageEngine Remote Access Plus信任管理問題漏洞（CNVD-2022-09267、CNVD-2022-09266）、Zoho ManageEngine ADManager Plus路徑遍歷漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

jeecg訪問控制錯誤漏洞

jeecg是一個應用軟件。一款基于代碼生成器的智能開發平臺。上周jeecg被披露存在訪問控制錯誤漏洞。攻擊者可利用該漏洞通過修改lcoalPath來訪問敏感文件。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Oracle產品被披露存在多個漏洞，攻擊者可利用該漏洞導致緩沖區溢出，整數溢出，提升權限等。此外，Apache、IBM、ZOHO等多款產品被披露存在多個漏洞，攻擊者可利用該漏洞破壞或刪除數據，訪問審計目錄，提交特殊的請求，可未授權訪問系統，導致遠程代碼執行。另外，jeecg被披露存在訪問控制錯誤漏洞。攻擊者可利用該漏洞通過修改lcoalPath來訪問敏感文件。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、第一財經日報、證券日報、中國金融新聞網、金融界、邢臺銀行報道

責任編輯：韓希宇