国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞298个,互联网上出现“Mitel ShoreTelconferencing component跨站脚本漏洞、CloudBees JenkinsDependency Graph Viewer插件跨站脚本漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
深圳将出台国内首部数据领域综合性立法 收集处理个人隐私数据须得到明示同意
“以保护为基础”是此次立法的重要理念,力图在实现个人数据保护的基础上,最大程度挖掘释放数据经济价值,为深圳数字产业数字经济发展提供良好的法治环境。>>详细
金融科技保护金融消费者权益调查:严防个人敏感数据“外泄”,优化交互体验减少投诉
目前不少持牌金融机构已加强与互联网平台场景方的数据共享规范操作,一方面通过金融科技,将所有涉及个人的信息“脱敏”,另一方面借助一系列智能监测技术严控个人数据流向,防止个人敏感信息“外泄”。>>详细
“刷脸”被滥用,生物信息安全如何捍卫?
哪些场所适合利用刷脸等技术,个人隐私与社区安全如何平衡,收集个人生物信息之后用在哪里,信息是否会被泄露,泄露之后该承担什么责任等问题,很难找到明晰和统一的答案,这也是引发担忧和争议的关键所在。>>详细
禁令之下,二手平台上为何还能买到开房记录、户籍等个人信息?
当前,部分平台的应用程序接口存在安全漏洞,容易被黑客攻击。不法分子通过一些平台的信息接口,非法访问其数据库,继而造成信息泄露。>>详细
年末刷卡小心被诈,安全攻略还得看它
对于各种花样的“迭代升级”,交通银行信用卡的安全专家提醒广大用户,牢记“四要、四不、六个一”口诀,透过现象看本质,就能进行有效防范。>>详细
警惕!电信诈骗进入高发期
临近年关,骗子开始“冲业绩”,各类新型诈骗方式层出不穷,电信诈骗进入高发期,苏州银行提醒您注意提高防诈骗意识。>>详细
安全威胁播报
上周漏洞基本情况
上周(12月21日-27日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞298个,其中高危漏洞117个、中危漏洞128个、低危漏洞53个。漏洞平均分值为5.88。上周收录的漏洞中,涉及0day漏洞165个(占55%),其中互联网上出现“Mitel ShoreTelconferencing component跨站脚本漏洞、CloudBees JenkinsDependency Graph Viewer插件跨站脚本漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
IBM产品安全漏洞
IBM Connect:Directfor UNIX是美国IBM公司的一个点对点的可支持多平台之间传输数据的工具软件。IBM Domino是美国IBM公司的一套企业级应用程序开发平台。IBM AIX是美国IBM公司的一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。IBM VIOS是一款虚拟IO服务器。IBM Loopback是美国IBM公司的一个基于NodeJs的API框架。IBM Security Key LifecycleManager(前称Tivoli Key LifecycleManager)是美国IBM公司的一套密钥生命周期管理软件。IBM Financial Transaction Manager for SWIFT Servicesfor Multiplatforms是美国IBM公司的一款金融事务管理器产品。IBM Financial Transaction Manager for SWIFT Services是美国IBM公司的一款金融事务管理器产品。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞访问经过认证的CLI会话,破坏服务器或向系统注入代码,ksu用户命令可获得root特权等。
CNVD收录的相关漏洞包括:IBM Connect:Direct forUNIX授权问题漏洞、IBM Domino缓冲区溢出漏洞(CNVD-2020-73021)、IBM AIX和VIOS授权问题漏洞、IBM Loopback注入漏洞、IBM Security Key LifecycleManager信息泄露漏洞(CNVD-2020-73012)、IBM Financial Transaction Manager for SWIFT Services forMultiplatforms信息泄露漏洞(CNVD-2020-73014、CNVD-2020-73018)、IBM Financial TransactionManager for SWIFT Services for Multiplatforms跨站请求伪造漏洞。其中,“IBM Connect:Direct for UNIX授权问题漏洞、IBM Domino缓冲区溢出漏洞(CNVD-2020-73021)、IBM AIX和VIOS授权问题漏洞、IBM Loopback注入漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Google产品安全漏洞
Google Android是美国谷歌(Google)和开放手持设备联盟(简称oha)的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,造成拒绝服务等。
CNVD收录的相关漏洞包括:Google Android信息泄露漏洞(CNVD-2020-73454、CNVD-2020-73442、CNVD-2020-73440)、Google Android输入验证错误漏洞、Google Android缓冲区溢出漏洞(CNVD-2020-73452、CNVD-2020-73447、CNVD-2020-73446)、Google Android Pixel拒绝服务漏洞。上述漏洞的综合评级为“中危”。目前,厂商已经发布了上述漏洞的修补程序。
Microsoft产品安全漏洞
MicrosoftWindows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Excel是Microsoft公司的办公软件Microsoft office的组件之一,是一款电子表格程序。Microsoft Azure Sphere是美国微软(Microsoft)公司的一个应用于云环境提供安全防护的设备。SharePoint是一款与Microsoft Office集成的基于Web的协作平台。Microsoft Exchange Server是Microsoft开发的邮件服务器和日历服务器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞实现远程代码执行,执行使用PACKET_MMAP触发漏洞的shellcode等。
CNVD收录的相关漏洞包括:Microsoft Windows/WindowsServer Hyper-V远程代码执行漏洞、Microsoft Excel远程代码执行漏洞(CNVD-2020-73769)、Microsoft Azure Sphere代码执行漏洞、Microsoft SharePoint远程代码执行漏洞(CNVD-2020-73768)、Microsoft SharePoint权限提升漏洞(CNVD-2020-73766)、Microsoft Exchange Server远程代码执行漏洞(CNVD-2020-73749、CNVD-2020-73748、CNVD-2020-73747)。其中,“Microsoft Windows/WindowsServer Hyper-V远程代码执行漏洞、Microsoft Excel远程代码执行漏洞(CNVD-2020-73769)、Microsoft Azure Sphere代码执行漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Trend Micro产品安全漏洞
Trend Micro Security 2020是美国趋势科技(Trend Micro)公司的一套计算机安全防护软件。Trend Micro InterScan Web Security Virtual Appliance(IWSVA)是美国趋势科技(Trend Micro)公司的一款针对基于Web方式的威胁为企业网络提供动态的、集成式的安全保护的Web安全网关。Trend Micro Worry-Free Business Security是美国趋势科技(Trend Micro)公司的一套企业级信息安全防护解决方案。该产品提供反垃圾邮件、防病毒、网络安全和电子邮件保护等功能。Trend Micro Trend MicroServerprotect for Linux是美国Trend Micro公司的一个用于企业环境的防毒软件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过本地目录中放置一个恶意的DLL来利用,该DLL可以导致在安装产品期间获得管理特权,执行某些命令,修改或删除任意文件等。
CNVD收录的相关漏洞包括:Trend Micro Security 2020本地权限提升漏洞(CNVD-2020-73786、CNVD-2020-73785、CNVD-2020-73788)、Trend Micro InterScan WebSecurity Virtual Appliance命令注入漏洞(CNVD-2020-73777、CNVD-2020-73791、CNVD-2020-73776)、Trend Micro Worry-Free Business Security路径遍历任意远程文件删除漏洞、Trend Micro Serverprotect for Linux缓冲区溢出漏洞。除 “Trend Micro Worry-Free Business Security路径遍历任意远程文件删除漏洞、Trend Micro Serverprotect for Linux缓冲区溢出漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
TerraMaster TOS远程代码执行漏洞
TerraMaster TOS是为TerraMaster云存储NAS服务器开发的基于Linux平台的操作系统。TerraMaster TOS 4.2.06及更早版本存在远程代码执行漏洞。攻击者可在CSV创建期间通过include/makecvs.php中的Event参数中的shell元字符利用该漏洞未经认证执行命令。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,IBM产品被披露存在多个漏洞,攻击者可利用漏洞提升本地权限获取敏感信息,造成拒绝服务等。此外,Google、Microsoft、Trend Micro等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,造成拒绝服务,远程代码执行等。另外,TerraMaster TOS被披露存在远程代码执行漏洞。攻击者可利用漏洞在CSV创建期间通过include/makecvs.php中的Event参数中的shell元字符未经认证执行命令。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、新华网、21世纪经济报道、第一财经、交通银行、苏州银行报道
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。