國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞474個，互聯網上出現“H3C Magic R100緩沖區溢出漏洞（CNVD-2022-50705）、TOTOLINK N600R緩沖區溢出漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【防騙】高考之后，考生和家長千萬要小心這幾個套路

與錢相關要三思，個人信息不予人；“內部”捷徑不可信，錄取信息認官方；高考詐騙套路多，提高警惕別上當！>>詳細

【防電詐】擦亮雙眼，警惕電話辦案騙局

廣大消費者務必保持高度警惕，進一步提高電信網絡詐騙防范意識，不輕信陌生來電，不點擊陌生鏈接，不輕易轉賬匯款，學習掌握電信網絡詐騙防范技巧，切實保護個人資金安全。>>詳細

“2022信創‘大比武’金融業務應用支撐技術賽道”正式啟動！

7月17日，由中國金融認證中心（CFCA）主辦的“2022信創‘大比武’金融業務應用支撐技術賽道”正式拉開帷幕，即日起面向金融機構、集成商、軟硬件提供商等召集參與活動的團隊。>>詳細

【提醒】開心過暑假 防詐不放假

機構退費多核實，兼職交費莫大意，打折充值勿輕信，暑期防詐別中計！>>詳細

【防詐】金榜題名正當時，防詐知識要牢記！

隨著高考落下帷幕，各地高考成績陸續公布，志愿填報和錄取工作也即將開展，一些不法分子利用家長和考生的緊張重視心理實施詐騙。>>詳細

CFCA與銀聯云聯合共建金融級云上安全生態

本次“安全測評”合作根植于金融科技、金融創新應用等多個金融業內熱點領域，圍繞業務系統合規、個人隱私保護及客戶端安全等多項關鍵業務開展。>>詳細

【以案說險】提高個人信息保護意識 防范個人信息泄露風險

在日常生活和工作中，出借身份證和銀行卡給他人使用、點擊釣魚網站等不明鏈接、隨意進行個人信息填寫、連接不明WIFL、隨手丟棄銀行業務回單或憑據、隨意丟棄快遞單等行為都有可能造成您的個人信息泄露。>>詳細

以案說險——如何保護個人金融信息安全

廣大金融消費者，要增強防范意識，養成良好的金融消費習慣，保護好個人金融信息，避免遭受人身和財產損失。>>詳細

【消保小劇場】糟糕，他又被騙了

如今詐騙的套路實在是太多了，有資金需求的人也很多，騙子正是利用這些人的需求，以大額度，低利息等名義來詐騙。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年7月11日-7月17日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞474個，其中高危漏洞208個、中危漏洞225個、低危漏洞41個。漏洞平均分值為6.21。上周收錄的漏洞中，涉及0day漏洞317個（占67%），其中互聯網上出現“H3C Magic R100緩沖區溢出漏洞（CNVD-2022-50705）、TOTOLINK N600R緩沖區溢出漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

IBM產品安全漏洞

IBM Jazz Team Server是美國IBM公司的一個應用服務器。提供了基礎服務，這些服務使一組工具可以作為單個邏輯服務器一起工作，并且包括提供工具特定功能的任意數量的Jazz Team Server Extensions。IBM DB2是一套關系型數據庫管理系統。該系統的執行環境主要有UNIX、Linux、IBMi、z/OS以及Windows服務器版本。IBM Spectrum Copy Data Management是美國國際商業機器公司（IBM）的實現數據中心副本管理流程的現代化、簡化和自動化。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞從系統發送未經授權的請求，可能導致網絡枚舉或促進其他攻擊，信息泄露等。

CNVD收錄的相關漏洞包括：IBM Jazz Team Server服務器端請求偽造漏洞（CNVD-2022-51652、CNVD-2022-51654）、IBM DB2信息泄露漏洞（CNVD-2022-51656）、IBM DB2拒絕服務漏洞（CNVD-2022-51655）、IBM Jazz Team Server信息泄露漏洞（CNVD-2022-51653、CNVD-2022-51660）、IBM Jazz Team Server點擊劫持漏洞、IBM Spectrum Copy Data Management信息泄露漏洞（CNVD-2022-51662） 。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache SystemDS是美國阿帕奇（Apache）基金會的用于端到端數據科學生命周期的開源機器學習系統。Apache NiFi是一套數據處理和分發系統。該系統主要用于數據路由、轉換和系統中介邏輯。Apache NiFi Registry是其中的一個用于存儲和管理版本化流程的注冊表。Apache Hadoop是一套開源的分布式系統基礎架構。該產品能夠對大量數據進行分布式處理，并具有高可靠性、高擴展性、高容錯性等特點。Apache Flume是一種分布式、可靠且可用的服務。用于高效收集、聚合和移動大量日志數據。Apache HTTP Server是一款開源網頁服務器。該服務器具有快速、可靠且可通過簡單的API進行擴充的特點。Apache Archiva是一套用于管理一個或多個遠程存儲的軟件。該軟件提供遠程Repository代理、基于角色的安全訪問管理和使用情況報告等功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在Linux和macOS平臺上注入操作系統命令，導致yarn級別的用戶可能以root用戶身份執行任意命令等。

CNVD收錄的相關漏洞包括：Apache SystemDS拒絕服務漏洞、Apache NiFi命令注入漏洞、Apache Hadoop權限提升漏洞（CNVD-2022-51055）、Apache Flume遠程代碼執行漏洞、Apache HTTP Server信息泄露漏洞（CNVD-2022-51060）、Apache HTTP Server HTTP請求走私漏洞、Apache Hadoop緩沖區溢出漏洞（CNVD-2022-51057）、Apache Archiva安全特征問題漏洞。其中，“Apache Hadoop權限提升漏洞（CNVD-2022-51055）、Apache Flume遠程代碼執行漏洞、Apache Hadoop緩沖區溢出漏洞（CNVD-2022-51057）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

SAP產品安全漏洞

SAP 3D Visual Enterprise Viewer是德國思愛普（SAP）公司的一款3D視圖查看器。該軟件支持在所有行業標準的桌面應用中發布2D、3D場景，并支持以獨立可執行程序和ActiveX空間單獨安裝。SAP PowerDesigner是德國思愛普（SAP）公司的一款數據庫設計軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過系統的根磁盤訪問限制，在系統磁盤根路徑上寫入或創建程序文件，并提升應用程序的權限，導致應用程序崩潰并且用戶暫時無法使用，直到重新啟動應用程序等。

CNVD收錄的相關漏洞包括：SAP 3D Visual Enterprise Viewer輸入驗證錯誤漏洞（CNVD-2022-50937、CNVD-2022-50936、CNVD-2022-50940、CNVD-2022-50939、CNVD-2022-50938、CNVD-2022-50942、CNVD-2022-50941）、SAP PowerDesigner代碼問題漏洞。其中，“SAP PowerDesigner代碼問題漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Fortinet產品安全漏洞

Fortinet FortiGate是美國飛塔（Fortinet）公司的一套網絡安全平臺。該平臺提供防火墻、防病毒和入侵防御（IPS）、應用控制、反垃圾郵件、無線控制器和廣域網加速等功能。FortiSOAR是一種安全編排、自動化和響應 (SOAR) 解決方案。Fortinet FortiProxy SSL VPN是一個應用軟件。提供了一個入侵檢測功能。Fortinet FortiOS是一套專用于FortiGate網絡安全平臺上的安全操作系統。該系統為用戶提供防火墻、防病毒、IPSec/SSLVPN、Web內容過濾和反垃圾郵件等多種安全功能。Fortinet FortiWLC是一款無線局域網控制器。Fortinet FortiPortal是FortiGate、FortiWiFi和FortiAP產品線的高級、功能豐富的托管安全分析和管理支持工具，可作為虛擬機供MSP使用。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞竊取潛在的敏感信息，更改網頁的外觀，執行網絡釣魚和偷渡式下載攻擊，繞過已實施的安全限制，獲取對網關API數據的未經授權的訪問等。

CNVD收錄的相關漏洞包括：Fortinet FortiGate跨站腳本漏洞（CNVD-2022-50950）、Fortinet FortiSOAR訪問控制錯誤漏洞、Fortinet FortiProxy SSL VPN跨站腳本漏洞、Fortinet FortiOS信息泄露漏洞（CNVD-2022-50947）、Fortinet FortiWLM SQL注入漏洞（CNVD-2022-50953）、Fortinet FortiWLM路徑遍歷漏洞、Fortinet FortiPortal安全特征問題漏洞、Fortinet FortiGate輸入驗證錯誤漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Huawei HarmonyOS權限管理不當漏洞

Huawei HarmonyOS是中國華為（Huawei）公司的一個操作系統。提供一個基于微內核的全場景分布式操作系統。上周，Huawei HarmonyOS被披露存在權限管理不當漏洞。攻擊者利用該漏洞可導致獲取CPLC信息。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，IBM產品被披露存在多個漏洞，攻擊者可利用漏洞從系統發送未經授權的請求，可能導致網絡枚舉或促進其他攻擊，信息泄露等。此外，Apache、SAP、Fortinet等多款產品被披露存在多個漏洞，攻擊者可利用漏洞竊取潛在的敏感信息，更改網頁的外觀，繞過系統的根磁盤訪問限制，在系統磁盤根路徑上寫入或創建程序文件，并提升應用程序的權限，在Linux和macOS平臺上注入操作系統命令。另外，HarmonyOS被披露存在權限管理不當漏洞。攻擊者可利用漏洞導致獲取CPLC信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國工商銀行客戶服務、中國郵政儲蓄銀行、中信銀行、渤海銀行、錦州銀行、桂林銀行金融服務報道

責任編輯：韓希宇