国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞473个，互联网上出现“Joomla! NS Download Shop组件SQL注入漏洞、PHP CityPortal SQL注入漏洞”零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　“一带一路”政策红利下 我国跨境支付行业现状如何？

　　随着科技的发展，越来越多“玩家”参与到第三方支付的行业中来，在场景上发力，凭借技术手段降低了金融服务的成本和门槛，提高了用户使用的频次，进一步扩大了金融服务的受众群体。>>详细

　　货币统计渐失真 央行发文明确支付口径

　　此次调整主要包含银行卡数据和电子支付业务，如对POS业务量统计不再局限于取现和消费，转账业务也将计入POS量统计，此外，银企直联业务也计入网上支付业务量。>>详细

　　全面解读人脸识别技术市场 哪些巨头能够问鼎

　　人脸识别技术加速渗透进入安防、银行、支付等众多领域，并且已经从政府级别应用、商业级别应用开始进入到消费级别的爆发时期，验证了人脸识别技术巨大的市场需求与广阔的应用前景。>>详细

　　技术观澜

　　海莲花（OceanLotus）团伙漏洞利用类攻击样本分析

　　360威胁情报中心自在2015年首次揭露海莲花（OceanLotus）APT团伙的活动以后，一直密切监控其活动，跟踪其攻击手法和目标的变化。本文是对其攻击样本的详细分析。>>详细

　　禁止服务器shift后门提权-sethc.exe后门

　　在很多情况下，在提权比较艰难的时候，替换shift后门提权很方便，为了防止shift后门被利用，得对它设置权限。防止简单替换shift后门提权。>>详细

　　XSS分析及如何预防

　　XSS（Cross Site Scripting），又称跨站脚本，XSS的重点不在于跨站点，而是在于脚本的执行。在WEB前端应用日益发展的今天，XSS漏洞尤其容易被开发人员忽视，最终可能造成对个人信息的泄漏。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2017年11月27日-2017年12月03日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞473个，其中高危漏洞174个、中危漏洞278个、低危漏洞21个。漏洞平均分值为6.20上周收录的漏洞中，涉及0day漏洞95个（占20%），其中互联网上出现“Joomla! NS Download Shop组件SQL注入漏洞、PHP CityPortal SQL注入漏洞”零日代码攻击漏洞。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数698个，与前周（509个）环比增长37%。

　　上周重要漏洞安全告警

　　Apache Struts2存在多个漏洞

　　Struts2是Apache软件基金会负责维护的一个基于MVC设计模式的Web应用框架开源项目。上周，上述产品被披露存在远程代码执行和反序列化漏洞，攻击者可利用漏洞对目标系统进行Dos攻击或反序列化代码执行攻击。

　　CNVD收录的相关漏洞包括：Apache Struts2S2-054远程代码执行漏洞、FasterXML Jackson-databind存在反序列化漏洞。

　　Adobe产品安全漏洞

　　Adobe Reader等都是美国奥多比（Adobe）公司的产品。Adobe Reader是一款免费的PDF文件阅读器；Acrobat是一款PDF文件编辑和转换工具；Acrobat ReaderDC是一套用于查看、打印和批注PDF的工具。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：Adobe Acrobat和Reader存在远程代码执行漏洞（CNVD-2017-35860、CNVD-2017-35861、CNVD-2017-35862、CNVD-2017-35863、CNVD-2017-35864、CNVD-2017-35865、CNVD-2017-35866、CNVD-2017-35867）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Huawei产品安全漏洞

　　Huawei AR3200系列企业路由器是华为公司推出的新一代网络产品。HuaweiTE40/50/60是一款支持1080p60的高清视频会议终端。Huawei IPS Module提供了由管理员、管理员界面组成的管理员机制。HuaweiB2338-168是一款能够接收WiFi信号的无线终端设备。Huawei P9是一款智能手机。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码、提升权限或发起拒绝服务攻击等。

　　CNVD收录的相关漏洞包括：Huawei AR3200缓冲区溢出漏洞、Huawei AR3200整数溢出漏洞、HuaweiB2338-168 CPE设备室外单元存在串口访问无认证漏洞、Huawei B2338-168 CPE设备室外单元存在端口访问无认证漏洞、Huawei P9权限提升漏洞、多款Huawei产品拒绝服务漏洞（CNVD-2017-35588、CNVD-2017-35593）、多款Huawei产品输入验证漏洞。除“Huawei P9权限提升漏洞、多款Huawei产品拒绝服务漏洞（CNVD-2017-35593）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Cisco产品安全漏洞

　　Cisco WebEx Business Suite（WBS30）client等都是美国思科公司的视频会议解决方案的客户端软件。Cisco AMP forEndpoints是高级恶意软件保护解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制、提升权限、执行任意代码或发起拒绝服务攻击等。

　　CNVD收录的相关漏洞包括：Cisco Aironet认证绕过漏洞、Cisco AMP forEndpoints本地权限提升漏洞、多款Cisco产品拒绝服务漏洞（CNVD-2017-35721）、多款Cisco产品远程代码执行漏洞、多款Cisco产品远程代码执行漏洞（CNVD-2017-35723、CNVD-2017-35724、CNVD-2017-35725、CNVD-2017-35726）。除“Cisco Aironet认证绕过漏洞、Cisco AMP forEndpoints本地权限提升漏洞、多款Cisco产品拒绝服务漏洞（CNVD-2017-35721）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　多款ASUS产品networkmap缓冲区溢出漏洞（CNVD-2017-35393）

　　ASUS RT-AC5300等都是华硕（ASUS）公司的无线路由器。上周，ASUS被披露存在缓冲区溢出漏洞，远程攻击者可利用该漏洞在路由器上执行任意代码。目前，厂商尚未发布漏洞修补程序。

　　小结

　　上周，Apache Struts2被披露存在远程代码执行和反序列化漏洞，攻击者可利用漏洞对目标系统进行Dos攻击或反序列化代码执行攻击。此外，Adobe、Huawei、Cisco等多款产品被披露存在多个漏洞，攻击者可利用漏洞提升权限、执行任意代码或发起拒绝服务攻击等。另外，ASUS被披露存在缓冲区溢出漏洞，远程攻击者可利用该漏洞在路由器上执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、亿欧网、北京商报、集微网、安全客、8090安全团队报道　　

责任编辑：韩希宇