中国电子银行网讯 国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞254个,互联网上出现“OIC ExponentCMS SQL 注入漏洞(CNVD-2017-01280)、NewsBee CMS SQL注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,并特约中国金融认证中心(CFCA)信息安全专家对漏洞风险作出点评和建议。
一周信息安全要闻速览
习近平:提高网络安全保障水平 加大核心技术研发力度
要筑牢网络安全防线,提高网络安全保障水平,强化关键信息基础设施防护,加大核心技术研发力度和市场化引导,加强网络安全预警监测,确保大数据安全,实现全天候全方位感知和有效防护。>>详细
RSA 2017总结: 九大趋势影响安全未来
RSA CTO ZulfikarRamzan在题为“为混乱而规划”主题演讲中表示,随着安全日益成为业务问题,安全产业正从技术角度关注安全转向业务角度。安全专家认为,安全从IT驱动转向BT(Business technology)驱动,从之前关注基础架构等转向关注业务安全,这也从另一个侧面说明安全越来越重要。>>详细
RSA 2017:FBI网络部门正在开发预测性警务工具
预测性警务是一个广泛的术语,用来描述执法机构预测犯罪活动的能力。在网络空间,这类技术可以帮助警官在数据泄露事件和其它非法互联网活动发生之前,查明真相。>>详细
2016年每秒出现6个新病毒 近500万台电脑遭强制加密勒索
值得警惕的是,网页挂马利用广告联盟再次大规模活跃,正规网站甚至使用影音播放器等客户端都频繁发生广告挂马事件,加密文件敲诈钱财的勒索软件成为新兴的“病毒之王”。>>详细
《工业大数据白皮书》在京正式发布
《工业大数据白皮书》由中国电子技术标准化研究院联合全国信标委大数据标准工作组、中国智能制造系统解决方案供应商联盟、中国开放对象标识(OID)应用联盟,以及30家企事业单位共同编制。>>详细
Fortinet全球安全战略官:关于威胁情报共享的五点看法
信息共享仍然是全球网络安全中永恒的重要话题。作为一个行业,我们应该明白遏制网络犯罪的势头需要在网络、边界和供应商之间共享可执行威胁情报信息。>>详细
安全漏洞周报
上周漏洞基本情况
上周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞254 个,其中高危漏洞106 个、中危漏洞127 个、低危漏洞21 个。漏洞平均分值为6.13。上周收录的漏洞中,涉及0day 漏洞57 个(占22%)。其中互联网上出现“OIC ExponentCMS SQL 注入漏洞(CNVD-2017-01280)、NewsBee CMS SQL注入漏洞”等零日代码攻击漏洞,请使用相关产品的用户注意加强防范。
上周重要漏洞安全告警
上周,整理和发布以下重要安全漏洞信息。
1、Google 产品安全漏洞
Android 是美国谷歌公司和开放手持设备联盟共同开发的一套以Linux 为基础的开源操作系统。上周,该产品被披露存在权限提升漏洞,攻击者可利用漏洞以提升的权限执行任意代码。
相关漏洞包括:Google AndroidQualcomm Wi-Fi driver 权限提升漏洞(CNVD-2017-01426、CNVD-2017-01395、CNVD-2017-01396、CNVD-2017-01397)、Google AndroidAudioserver 权限提升漏洞(CNVD-2017-01452、CNVD-2017-01453、CNVD-2017-01454、CNVD-2017-01455)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
2、IBM 存在产品安全漏洞
IBM Security AccessManager 是美国IBM 公司的一款安全访问管理器。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、注入任意代码或发起跨站脚本攻击等。
相关漏洞包括:IBM SecurityAccess Manager 信息泄露漏洞(CNVD-2017-01413、CNVD-2017-01412、CNVD-2017-01305、CNVD-2017-01307)、IBM SecurityAccess Manager 任意代码注入漏洞、IBM Security Access Manager 跨站请求伪造漏洞(CNVD-2017-01308)、IBM SecurityAccess Manager XML 外部注入漏洞、IBM AIX 本地权限提升漏洞(CNVD-2017-01334),其中,“IBM SecurityAccess Manager XML 外部注入漏洞、IBM AIX 本地权限提升漏洞(CNVD-2017-01334)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
3、Joomla 产品多款组件安全漏洞
Joomla 是一款开放源码的内容管理系统(CMS)。上周,上述产品被披露存在SQL 注入漏洞,攻击者可利用漏洞访问或修改数据库数据。
相关漏洞包括:Joomla JE Tour 组件SQL 注入漏洞、Joomla JEauction 组件SQL注入漏洞、Joomla Hbooking 组件SQL 注入漏洞、Joomla JE Quiz 组件SQL 注入漏洞、Joomla JE Auto 组件SQL 注入漏洞、JoomlaSoccer Bet 组件SQL 注入漏洞、Joomla onisQuotes 组件SQL 注入漏洞、JoomlaonisMusic 组件SQL 注入漏洞。上述漏洞的综合评级为“高危”。目前,厂商尚未发布该漏洞的修补程序。在此,提醒广大用户随时关注厂商主页,以获取最新版本。
4、GStreamer 产品安全漏洞
GStreamer 是一个开源的多媒体框架。上周,该产品被披露存在拒绝服务漏洞,攻击者可利用漏洞发起拒绝服务攻击。
相关漏洞包括:GStreamergst_avi_demux_parse_ncdt 函数拒绝服务漏洞、GStreamergst_riff_create_audio_caps 函数拒绝服务漏洞、GStreamergst-plugins-good 拒绝服务漏洞(CNVD-2017-01450、CNVD-2017-01451、CNVD-2017-01486)、GStreamergst-plugins-base 拒绝服务漏洞、GStreamer 拒绝服务漏洞(CNVD-2017-01488)、GStreamergst-plugins-good 拒绝服务漏洞。目前,厂商已经发布了上述漏洞的修补程序。在此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
5、Cisco Adaptive Security Appliance CX Context-Aware Security 拒绝服务漏洞
Cisco Adaptive Security Appliance CX Context-Aware Security 是美国思科(Cisco)公司的一款用于扩展ASA 平台的附加服务模块。上周,Cisco 被披露存在拒绝服务漏洞。攻击者可利用漏洞造成拒绝服务。目前,厂商尚未发布该漏洞的修补程序。在此,提醒广大用户随时关注厂商主页,以获取最新版本。
专家点评和建议
中国电子银行网特约中国金融认证中心(CFCA)信息安全专家,对漏洞风险作出如下小结:上周,Google 被披露存在权限提升漏洞,攻击者可利用漏洞以提升的权限执行任意代码。此外, IBM、Joomla、GStreamer 等多款产品被披露存在多个漏洞,攻击者利用漏洞可泄露敏感信息、注入任意代码或发起拒绝服务攻击等。另外,Cisco 被披露存在拒绝服务漏洞。攻击者可利用漏洞造成拒绝服务。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。