国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞494个，互联网上出现“bloofoxCMS跨站请求伪造漏洞（CNVD-2021-43375）、OpenText Content Server 'multiple'跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

“两高一部”发文严惩电信网络诈骗 明确手机卡信用卡犯罪等问题

此次出台的意见共十七条，其中将跨境电信网络诈骗犯罪作为“重中之重”严厉惩处。>>详细

CFCA银企云签名服务平台：无忧上云 便捷前行

CFCA银企云签名服务平台致力于解决企业在云端的数据签名、数据传输过程中面临的安全问题。可广泛应用于银行、互联网金融、O2O、物联网、证券、电子商务等场景。>>详细

近12亿条电商用户信息被泄露：数据爬取亟需规范 平台又该承担何责？

尽管企业在其中也是受害者之一，但是从个人信息保护的角度，只要用户因信息泄露遭受损失，平台需肩负一定责任。>>详细

北京市委网信办、北京市公安局、北京市市场监管委、北京市通信管理局关于开展北京市2021年度App网络安全专项治理的通告

对用户量大、与民众生活密切相关或网民举报集中的App等，市App专项治理工作组将按照规定程序，组织专业机构对其进行评估检测。>>详细

一图教您学会安全用卡！

你的银行卡安全吗？为银行卡上道“安全锁”，危险远离你和我。>>详细

消保小课堂｜防疫防诈骗~

疫情防范需谨慎，人人参与齐抗疫，风险防范须重视，防疫防诈两不误。>>详细

揭秘“征信修复”骗局：一条1500-3000元，培训、代理加盟一条龙

央行提示，凡是以征信修复培训、考取征信相关资格证的名义开展宣传或者收取费用的，都是诈骗。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年6月14日-20日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞494个，其中高危漏洞172个、中危漏洞283个、低危漏洞39个。漏洞平均分值为5.94。上周收录的漏洞中，涉及0day漏洞298个（占60%），其中互联网上出现“bloofoxCMS跨站请求伪造漏洞（CNVD-2021-43375）、OpenText Content Server 'multiple'跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Schneider Electric产品安全漏洞

Schneider Electric Interactive Graphical SCADA System (IGSS)是用于监测和控制工业过程的先进的SCADA系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取数据或实现远程代码执行。

CNVD收录的相关漏洞包括：Interactive Graphical SCADA System (IGSS)越界写入漏洞（CNVD-2021-42155、CNVD-2021-42154、CNVD-2021-42158、CNVD-2021-42157、CNVD-2021-42159）、Interactive Graphical SCADA System (IGSS)越界读取漏洞（CNVD-2021-42153、CNVD-2021-42152、CNVD-2021-42156）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

SAP产品安全漏洞

SAP Netweaver是德国思爱普（SAP）公司的一套面向服务的集成化应用平台。该平台主要为SAP应用程序提供开发和运行环境。SAP 3D Visual Enterprise Viewer是一款适用于Windows的免费3D可视化查看器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问受限信息，通过恶意GIF文件利用该漏洞导致应用程序崩溃。

CNVD收录的相关漏洞包括：SAP NetWeaver AS JAVA信息泄露漏洞（CNVD-2021-42411）、SAP 3D Visual Enterprise Viewer输入验证错误漏洞（CNVD-2021-42416、CNVD-2021-42415、CNVD-2021-42414、CNVD-2021-42419、CNVD-2021-42418、CNVD-2021-42417、CNVD-2021-42421）。目前，厂商已经发布了上述漏洞的修补程序。

OpenText产品安全漏洞

OpenText Brava! Desktop是一款基于Windows的查看和协作工具，可让您轻松查看几乎任何文件并进行协作。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前进程的上下文中执行代码。

CNVD收录的相关漏洞包括：OpenText Brava! Desktop堆缓冲区溢出漏洞（CNVD-2021-42315、CNVD-2021-42321、CNVD-2021-42319）、OpenText Brava! Desktop越界写入漏洞（CNVD-2021-42318、CNVD-2021-42322、CNVD-2021-42320）、OpenText Brava! Desktop类型混淆漏洞、OpenText Brava! Desktop远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux产品安全漏洞

Linux kernel是一种计算机操作系统内核，以C语言和汇编语言写成，符合POSIX标准，按GNU通用公共许可证发行。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过Linux内核的perf_mmap_close（）触发内存损坏，以触发拒绝服务并可能运行代码，生成非法的代码段，修改网络系统或组件的预期的执行控制流。

CNVD收录的相关漏洞包括：Linux kernel释放后重用漏洞（CNVD-2021-43363、CNVD-2021-43364）、Linux kernel llcp_sock_connect()内存泄露漏洞、Linux kernel perf_mmap_close内存损坏漏洞、Linux kernel llcp_sock_bind()拒绝服务漏洞、Linux kernel llcp_sock_connect()权限提升漏洞、Linux kernel Zero Length Bvec代码问题漏洞、Linux kernel代码注入漏洞（CNVD-2021-43385）。其中，“Linux kernel llcp_sock_bind()拒绝服务漏洞、Linux kernel释放后重用漏洞（CNVD-2021-43364）、Linux kernel llcp_sock_connect()权限提升漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

D-Link DIR-2640-US缓冲区溢出漏洞

D-Link DIR-2640-US是一款智能AC2600大功率Wi-Fi千兆路由器。上周，D-Link DIR-2640-US被披露存在缓冲区溢出漏洞。攻击者可通过反编译固件利用该漏洞访问固件并提取敏感数据。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Schneider Electric产品被披露存在多个漏洞，攻击者可利用漏洞获取数据或实现远程代码执行。此外，SAP、OpenText、Linux等多款产品被披露存在多个漏洞，攻击者可利用漏洞访问受限信息，通过恶意GIF文件利用该漏洞导致应用程序崩溃，在当前进程的上下文中执行代码，通过Linux内核的perf_mmap_close()触发内存损坏，以触发拒绝服务并可能运行代码，生成非法的代码段，修改网络系统或组件的预期的执行控制流等。另外，D-Link DIR-2640-US被披露存在缓冲区溢出漏洞。攻击者可通过反编译固件利用该漏洞访问固件并提取敏感数据。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、网信北京、金融时报、21世纪经济报道、广州农村商业银行、深圳农村商业银行报道

责任编辑：韩希宇