国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞180个，互联网上出现“BigTreeCMS 'parent' SQL注入漏洞、WordPress插件WordPress-Feed-Statistics开放重定向漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

一周行业要闻速览

央行副行长范一飞：央行正研究制定区块链等标准规范

人民银行正积极研究制定大数据、区块链、开放银行等标准规范，进一步引导金融科技健康有序发展。金融标准提升金融网络安全风险防控水平金融安全是金融发展的基础，不仅事关金融稳定，更关系到人民群众切身利益。金融业务高度依赖信息技术，金融网络安全标准是确保金融信息安全、降低运行风险的有效工具。>>详细

世界银行采购专家组莅临CFCA考察交流

电子招投标能够节省大量的时间和费用成本，显著提高采购效率，招投标过程信息公开透明，保障了招投标过程的公平公正。近年来各级政府部门和大型企业集团建设了大量电子招投标系统平台，将传统的现场招投标活动转向在线平台。国家制定了一系列政策要求和标准规范，电子招标投标系统平台需经过专业检测认证才能投入运营使用。>>详细

Chrome不想让HTTPS网站通过HTTP下载文件

谷歌Chrome工程师正计划在HTTPS网站上默认禁止一些通过HTTP下载的行为，当涉及到下载EXE、DMG（Mac应用二进制文件）、CRX（Chrome扩展包）与诸如ZIP、GZIP、BZIP、TAR、RAR和7Z等主流压缩/打包文件时，浏览器将阻止下载。>>详细

用谷歌服务更安全了 安卓手机可充当物理安全密匙

与谷歌当前提供的其他几种两步验证方法相比，用户登录谷歌应用程序将变得更加安全。而且如果用户想使用物理设备进行登录验证，不再需要购买一个加密锁，而是可以直接使用手机代替。>>详细

英特尔芯片新漏洞暴露计算机上所有数据

安全研究人员报告称，透过流经某些计算机系统主板的信号，黑客可利用英特尔VISA芯片漏洞窥探主机数据。>>详细

Chamois死灰复燃 近2亿安卓设备受袭

Chamois的编码十分优美，有4个阶段的投送载荷，使用多种混淆和反分析技术，其配置文件采用定制加密存储，且该恶意软件十分庞大。>>详细

技术观澜

警惕！GandCrab5.2勒索病毒伪装国家机关发送钓鱼邮件进行攻击

GandCrab勒索病毒是2018年勒索病毒家族中最活跃的家族，该勒索病毒首次出现于2018年1月，在将近一年的时候内，经历了五个大版本的更新迭代，此勒索病毒的传播感染多式多种多样，使用的技术也不断升级，勒索病毒主要使用RSA密钥加密算法，导致加密后的文件，无法被解密。>>详细

识别使用随机后缀的勒索病毒Golden Axe

国外安全研究员在3月发现了一款名为Golden Axe的勒索病毒，Golden Axe是一款用go语言编写的勒索病毒，使用基于RSA公匙加密体系的邮件加密软件PGP开源代码对文件进行加密。>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年04月01日-2019年04月07日）信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞180个，其中高危漏洞71个、中危漏洞78个、低危漏洞31个。漏洞平均分值为5.99。上周收录的漏洞中，涉及0day漏洞84个（占47%），其中互联网上出现“BigTreeCMS 'parent' SQL注入漏洞、WordPress插件WordPress-Feed-Statistics开放重定向漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Acrobat是一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是一款PDF文件阅读软件。上周，上述产品被披露存在内存错误引用漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Acrobat和Reader内存错误引用漏洞（CNVD-2019-09057、CNVD-2019-09058、CNVD-2019-09060、CNVD-2019-09059、CNVD-2019-09061、CNVD-2019-09063、CNVD-2019-09062、CNVD-2019-09064）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Synology产品安全漏洞

Synology Router Manager（SRM）是一款用于配置和管理Synology路由器的软件。Synology File Station是一套文件管理工具。Synology DiskStation Manager（DSM）是一套用于网络储存服务器（NAS）上的操作系统。Synology ApplicationService是一款Synology NAS（网络存储服务器）功能扩展框架。Synology Drive是一套协同办公套件。上周，上述产品被披露存在信息泄露漏洞，攻击者可利用漏洞获取受影响组件敏感信息。

CNVD收录的相关漏洞包括：Synology Router Manager信息泄露漏洞（CNVD-2019-08958、CNVD-2019-08961、CNVD-2019-08962）、Synology File Station信息泄露漏洞、Synology DiskStation Manager信息泄露漏洞（CNVD-2019-08960）、Synology ApplicationService信息泄露漏洞（CNVD-2019-08965、CNVD-2019-08967）、Synology Drive信息泄露漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache HTTP Server是一款开源网页服务器。Apache httpd是一款专为现代操作系统开发和维护的开源HTTP服务器。Apache Jmeter是一套使用Java语言编写的用于压力测试和性能测试的开源软件。Apache JSPWiki是一款基于Java、Servlet和JSP构建的开源WikiWiki引擎。Apache ActiveMQ是一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过身份验证机制并执行未经授权的操作，发起拒绝服务攻击等。

CNVD收录的相关漏洞包括：Apache httpd安全绕过漏洞（CNVD-2019-08942）、Apache HTTP Server访问绕过漏洞、Apache httpd安全绕过漏洞、Apache HTTP Server本地权限提升漏洞、Apache HTTP Server身份验证绕过漏洞、Apache Jmeter远程代码执行漏洞、Apache JSPWiki信息泄露漏洞、Apache ActiveMQ拒绝服务漏洞（CNVD-2019-09281）。其中，除“Apache httpd安全绕过漏洞、Apache ActiveMQ拒绝服务漏洞（CNVD-2019-09281）” 其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

CloudBees产品安全漏洞

CloudBees Jenkins（HudsonLabs）是一套基于Java开发的持续集成工具。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞绕过沙盒保护，捕获存储在Jenkins中的凭证，执行未授权的操作，并在Web页面中注入任意的JavaScript代码等。

CNVD收录的相关漏洞包括：CloudBees Jenkins沙盒绕过漏洞（CNVD-2019-09287、CNVD-2019-09291）、CloudBees Jenkins CSRF漏洞、CloudBees Jenkins跨站请求伪造漏洞（CNVD-2019-09290、CNVD-2019-09294）、CloudBees Jenkins跨站脚本漏洞（CNVD-2019-09292）、CloudBees Jenkins信息泄露漏洞（CNVD-2019-09293）、CloudBees Jenkins SSRF漏洞。其中，“CloudBees Jenkins沙盒绕过漏洞（CNVD-2019-09287、CNVD-2019-09291）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Red Hat OpenShift OAuth server跨站脚本漏洞

Red Hat OpenShift是美国红帽（Red Hat）公司的一款平台即服务（PaaS）云计算平台，它支持构建、测试、部署和运行应用程序。OAuth server是其中的一个OAuth（开放授权）服务器。Red Hat OpenShift OAuthserver被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行客户端代码。

小结

上周，Adobe被披露存在内存错误引用漏洞，攻击者可利用漏洞执行任意代码。此外，Synology、Apache、CloudBees等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过身份验证机制并执行未经授权的操作，发起拒绝服务攻击，并在Web页面中注入任意的JavaScript代码等。另外，Red Hat OpenShift OAuth server被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行客户端代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、人民日报、网易科技、开源中国、安全牛、FreeBuf、嘶吼网报道

责任编辑：韩希宇