国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞146个，互联网上出现“Joomla! Component CW TagsSQL注入漏洞、RISE Ultimate Pr ojectManager SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　发改委：今年至少在5个城市开展5G网络建设

　　5G规模组网建设的开展以直辖市、省会城市及珠三角、长三角、京津冀区域主要城市等为重点。5G网络应至少覆盖复杂城区及室内环境，形成连续覆盖，实现端到端典型应用场景的应用示范。>>详细

　　华为重磅发布首款5G商用芯片 苹果三星要哭了！

　　5G网络和终端是5G商用的两个基础条件。对于终端来说，芯片又是重中之重，是5G产业发展和成熟的关键环节。>>详细

　　为什么量子计算会对我们产生威胁？

　　普遍看好的方法是矩阵乘法，它利用量子计算机的优势进行大量的信息分析。另一个技术是基于编码的抗量子签名方案。与依赖于质因数分解的公钥密码系统不同，这个签名方案依赖于编码理论中极其困难的问题。>>详细

　　技术观澜

　　聚焦解析：视频用AI与图像用AI的区别

　　人脸识别系统由人脸数据库组成，而该人脸数据库则包含一组指向不同人物对象的训练用图像。其还提供一项查询功能，用于从查询图像当中提取面部特征，并将其与人脸数据库相匹配。查询函数的输出结果包含可能的匹配列表以及置信度值。>>详细

　　人才稀缺的区块链 程序员转型入门必看这四项技能

　　比特币的区块分为区块头和区块体两部分。区块头的大小为80字节，包括4字节的版本号、32字节（256位）的上一区块哈希值、32字节的Merkle根节点、4字节的时间戳、4字节的难度值和4字节的随机数。>>详细

　　月末大讲堂

　　新一代大规模僵尸网络Reaper可以通吃一切漏洞

　　Reaper之所以传播如此迅速是有其独特手段的，Mirai只是利用了弱密码和默认密码，而Reaper则不同，该僵尸网络则同时利用了不同的物联网设备的数十个oday和1day漏洞，这些设备包括D-Link，Wi-Fi CAM，JAWS，Netgear，Linksys，AVTECH等。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2018年02月12日-2018年02月25日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞146个，其中高危漏洞31个、中危漏洞95个、低危漏洞20个。漏洞平均分值为5.56。上周收录的漏洞中，涉及0day漏洞102个（占36%），其中互联网上出现“Joomla! Component CW TagsSQL注入漏洞、RISE Ultimate ProjectManager SQL注入漏洞”等零日代码攻击漏洞。

　　上周重要漏洞安全告警

　　Jiangmin产品安全漏洞

　　Jiangmin Antivirus是中国江民（Jiangmin）新科技术公司的一套在线杀毒软件。上周，该产品被披露存在拒绝服务漏洞，攻击者可利用漏洞发起拒绝服务攻击。

　　CNVD收录的相关漏洞包括：JiangminAntivirus拒绝服务漏洞（CNVD-2018-03290、CNVD-2018-03291、CNVD-2018-03292、CNVD-2018-03293、CNVD-2018-03294、CNVD-2018-03295、CNVD-2018-03296、CNVD-2018-03297）。目前，厂商尚未发布上述漏洞的修补程序。

　　Apache产品安全漏洞

　　Apache POI是美国阿帕奇（Apache）软件基金会的一个开源函数库。 Apache Jmeter是一款开源的Java应用程序；Apache Hadoop是一套开源的分布式系统基础架构；Apache NiFi是一套基于数据流的数据处理和分发系统；ApacheGuacamole是一款无客户端远程桌面网关。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息、执行任意代码或发起拒绝服务攻击等。

　　CNVD收录的相关漏洞包括：Apache Geodec luster信息泄露漏洞、Apache Geode代码执行漏洞、Apache Guacamole terminal emulator缓冲区溢出漏洞、Apache HadoopYARN NodeManager密码泄露漏洞、Apache Hadoop信息泄露漏洞（CNVD-2018-03273）、Apache NiFi代码执行漏洞、Apache POI拒绝服 务漏洞（CNVD-2018-03242）、Apache JMeter远程命令执行漏洞。其中，“Apache POI拒绝服务漏洞（CNVD-2018-03242）、 Apache JMeter远程命令执行漏洞”的综合评级为“高危”。目前，厂商已经发布了除“Apache JMeter远程命令执行漏洞”以外漏洞的修补程序。

　　Extreme Networks产品安全漏洞

　　Extreme NetworksExtremeWireless WiNG是美国极进网络（Extreme Networks）公司的一款无线接入解决方案。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞发起拒绝服务攻击、提升权限或执行任意代码等。

　　CNVD收录的相关漏洞包括：ExtremeNetworks ExtremeWireless WiNG堆溢出漏洞（CNVD-2018-03320、CNVD-2018-03321）、ExtremeNetworks ExtremeWireless WiNG拒绝服务漏洞（CNVD-2018-03323、CNVD-2018-03324）、ExtremeNetworks ExtremeWirel ess WiNG权限提升漏洞、Extreme Networks ExtremeWireless WiNG身份验证绕过漏洞、ExtremeNetworks ExtremeWireless WiNG硬编码AES密钥漏洞、ExtremeNetworks Extre meWireless WiNG栈溢出漏洞（CNVD-2018-03317）。其中，“ExtremeNetworks ExtremeWireless WiNG拒绝服务漏洞（CNVD-2018-03323、CNVD-2018-03324）、ExtremeNet works ExtremeWireless WiNG权限提升漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Linux产品安全漏洞

　　Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。上周，该产品被披露存在拒绝服务、信息泄露和内存错误引用漏洞漏洞，攻击者可利用漏洞发起拒绝服务攻击或泄露敏感信息等。

　　CNVD收录的相关漏洞包括：Linux kernel拒绝服务漏洞（CNVD-2018-03215、CNVD-2018-03255、CNVD-2018-03256）、Linux 3kernel内存错误引用漏洞（CNVD-2018-03259、CNVD-2018-03260）、Linux kernel信息泄露漏洞（CNVD-2018-03263）。其中，“Linux kernel内存错误引用漏洞（CNVD-2018-03259）”的综合评级为“高危”。目前，厂商已经发布了除“Linux kernel拒绝服务漏洞（CNVD-2018-03255）”以外漏洞的修补程序。

　　Joomla! Component CW Tags SQL注入漏洞

　　Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS)。上周，Joomla!被披露存在SQL注入漏洞，攻击者可利 用该漏洞危及应用程序，访问或修改数据，或利用底层数据库中潜在的漏洞。目前，厂商尚未发布漏洞修补程序。

　　小结

　　上周，Jiangmin被披露存在拒绝服务漏洞，攻击者可利用漏洞发起拒绝服务攻击。此外，Apache、ExtremeNetworks、Linux等多款产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码、发起拒绝服务攻击或提升权限等。另外，Joomla!被披露存在SQL注入漏洞，攻击者可利用该漏洞危及应用程序，访问或修改数据，或利用底层数据库中潜在的漏洞。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合人民网、51CTO、CSDN、嘶吼RoarTalk报道

责任编辑：韩希宇