• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    信息安全周报|数据安全管理办法征求意见稿发布 大数据助力地方金融风险防控

    韩希宇 来源:中国电子银行网 2019-05-31 06:13:07 信息安全周报 漏洞 金融安全
    韩希宇     来源:中国电子银行网     2019-05-31 06:13:07

    核心提示网络运营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立数据安全管理责任和评价考核制度。

    国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞271个,互联网上出现“UCMS SQL注入漏洞(CNVD-2019-15108)、MacDown远程代码执行漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞,深入探讨信息安全知识。

    一周行业要闻速览

    国家互联网信息办公室关于《数据安全管理办法(征求意见稿)》公开征求意见的通知

    根据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室会同相关部门研究起草了《数据安全管理办法(征求意见稿)》,现向社会公开征求意见。>>详细

    CFCA王超:大数据助力地方金融风险防控

    近年来部分区域地方金融发展混乱,风险加速暴露,由于非法集资、网络洗钱、金融欺诈、网络赌博等非法行为主要发生在网络空间,隐蔽性强,难以取证,利用传统的侦察方式需要耗费大量的人力来完成线索收集排查、证据收集固定的工作。>>详细

    国家信息中心王笑强:民事纠纷中电子数据保全的司法实践探讨

    如何保证电子数据的证据能力、证明力,如何证明电子数据的真实性、完整性及关联性,成为解决纠纷成败的关键,电子数据保全应运而生。>>详细

    科技有温度,岁月才“轻”爽

    效率,是人们在日常工作生活中提及的高频词。高效便捷安全合法(省时省力放心安心),是人们追求的共同目标。插上科技的翅膀,梦想终于变成现实:办业务,少跑腿,甚至一趟都不用跑;手机支付、转账,动动手、眨眨眼轻松搞定,密码不用记了,外设也可以不用带了……>>详细

    《欧盟GDPR合规指引》正式发布(附PPT解读)

    我们希望能为有合规需求的企业指明方向,更希望能为关心个人信息保护的同仁提供一份针对GDPR准确、客观、扎实的介绍,进而为我国开展个人信息保护工作贡献绵薄之力。>>详细

    网信办通报百款常用App申请收集个人信息权限情况

    针对App过度索要各种权限、搜集用户隐私信息的乱象,国家曾重拳出击,发布通告,就《App违法违规收集使用个人信息行为认定方法(征求意见稿)》,明确了七种相关违规行为。>>详细

    GDRP一年内开出5600万欧元罚单 谷歌就占了5000万

    这些罚款中有5000万欧元来自对谷歌的处罚。法国的国家数据保护委员会(CNIL)发现,谷歌未能履行其义务,没有将其收集和使用数据用来从事个性化广告服务事宜透明化。>>详细

    突发!易到用车服务器遭到连续攻击:攻击者索要巨额比特币

    据易到用车官微消息,2019年5月26日凌晨,易到用车服务器遭到连续攻击,因此给用户使用带来严重的影响。>>详细

    重庆网安部门侦破系列涉外网络黑客案,涉案金额高达2千余万元

    在“净网2019”专项行动中,荣昌区公安局在重庆市公安局网安总队的指导下,成功破获系列网络黑客案件。>>详细

    安全威胁播报

    上周漏洞基本情况

    上周(2019年5月20日-26日)信息安全漏洞威胁整体评价级别为中。

    国家信息安全漏洞共享平台(以下简称CNVD)周共收集、整理信息安全漏洞271个,其中高危漏洞74个、中危漏洞179个、低危漏洞18个。漏洞平均分值为5.80。周收录的漏洞中,涉及0day漏洞130个(占48%),其中互联网上出现“UCMS SQL注入漏洞(CNVD-2019-15108)、MacDown远程代码执行漏洞”等零日代码攻击漏洞。

    周重要漏洞安全告警

    CloudBees产品安全漏洞

    CloudBees Jenkins(Hudson Labs)是一套基于Java开发的持续集成工具。周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,绕过沙盒保护,执行任意代码等。

    CNVD收录的相关漏洞包括:CloudBees JenkinsAppDynamics Dashboard Plugin信任管理问题漏洞、CloudBees Jenkins Azure VMAgents插件信息泄露漏洞(CNVD-2019-15065)、CloudBees Jenkins Azure VM Agents插件信息泄露漏洞、CloudBees Jenkins Azure VM Agents插件权限许可和访问控制漏洞、CloudBees Jenkins Matrix Project Plugin安全特征问题漏洞、CloudBees Jenkins Job DSL Plugin安全特征问题漏洞、CloudBees Jenkins Credentials Plugin信息泄露漏洞、CloudBees Jenkins PAM Authentication Plugin信息泄露漏洞。目前,厂商已经发布了上述漏洞的修补程序。

    Oracle产品安全漏洞

    Oracle PeopleSoft Products是一套企业人力资本管理解决方案。Oracle Supply Chain Products Suite是一套供应链解决方案。Oracle Java SE是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Commerce是一套电子商务解决方案。周,上述产品被披露存在多个漏洞,攻击者可利用漏洞影响数据的保密性和完整性。

    CNVD收录的相关漏洞包括:Oracle PeopleSoft ProductsPeopleSoft Enterprise ELM访问控制错误漏洞、Oracle Supply ChainProducts Suite Configurator访问控制错误漏洞、Oracle PeopleSoft ProductsPeopleSoft Enterprise HCM Talent Acquisition Manager访问控制错误漏洞、Oracle PeopleSoft Products PeopleSoft Enterprise PTPeopleTools信息泄露漏洞、Oracle PeopleSoft ProductsPeopleSoft Enterprise PT PeopleTools访问控制错误漏洞、Oracle PeopleSoft Products PeopleSoft Enterprise HRMS访问控制错误漏洞、Oracle Java SE访问控制错误漏洞、Oracle Commerce Merchandising组件访问控制错误漏洞。目前,厂商已经发布了上述漏洞的修补程序。

    Google产品安全漏洞

    Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码等。

    CNVD收录的相关漏洞包括:Google Android Binder驱动程序权限许可和访问控制漏洞、Google Android System权限提升漏洞(CNVD-2019-15175、CNVD-2019-15188、CNVD-2019-15189、CNVD-2019-15194、CNVD-2019-15195、CNVD-2019-15196)、Google Android Media framework权限提升漏洞(CNVD-2019-15201)。上述漏洞的综合评级为“高危”。

    GitLab产品安全漏洞

    GitLab是一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信,打开重定向,导致资源消耗等。

    CNVD收录的相关漏洞包括:GitLab资源管理错误漏洞、GitLab输入验证错误漏洞、GitLab访问控制错误漏洞(CNVD-2019-14882、CNVD-2019-14949、CNVD-2019-14951、CNVD-2019-14950)、GitLab信息泄露漏洞(CNVD-2019-14812、CNVD-2019-14952)。目前,厂商已经发布了上述漏洞的修补程序。

    ALE Alcatel OmniAccess Wireless Access Point命令注入漏洞

    ALE Alcatel OmniAccess Wireless Access Point是一款无线接入点设备。

    ALE Alcatel OmniAccess Wireless Access Point被披露存在命令注入漏洞。攻击者可利用该漏洞执行非法命令。

    小结

    周,CloudBees被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,绕过沙盒保护,执行任意代码等。此外,Oracle、Google、GitLab等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信,打开重定向,提升权限,执行任意代码,导致资源消耗等。ALE Alcatel OmniAccess Wireless Access Point被披露存在命令注入漏洞。攻击者可利用该漏洞执行非法命令。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

    中国电子银行网综合CNVD、中国网信网、央广网、网易科技、中国信通院、中国信息安全、嘶吼网报道

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定