• 移动端
    访问手机端
    官微
    访问官微
    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    信息安全周报|信创“大比武”金融赛道开启 三部门印发《网络产品安全漏洞管理规定》

    韩希宇 来源:中国电子银行网 2021-07-16 09:18:34 信息安全周报 漏洞 金融安全
    韩希宇     来源:中国电子银行网     2021-07-16 09:18:34

    核心提示参赛团队可通过金融赛道,充分验证信创适配解决方案、安全解决方案的可行性,展示信创产品。

    国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞541个,互联网上出现“Monstra CMS跨站脚本漏洞(CNVD-2021-49037)、phpList身份验证绕过漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。

    一周行业要闻速览

    2021信创“大比武”金融场景适配验证赛道正式开启!等你来战!

    7月14日,由中国金融认证中心(CFCA)主办的“2021信创‘大比武’金融场景适配验证赛道”正式拉开帷幕,即日起面向银行、信创集成商、信创软硬件提供商等召集参赛团队。这也是入选“2021信创‘大比武’活动”五个赛道中唯一的金融赛道。>>详细

    工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》

    到2023年,网络安全产业规模超过2500亿元,新兴技术与网络安全融合创新明显加快,网络安全产品、服务创新能力进一步增强。>>详细

    工信部再出“反诈”新招 正式启用12381涉诈预警劝阻短信系统

    该系统可根据公安机关提供的涉案号码,利用大数据、人工智能等技术自动分析发现潜在受害用户,并通过12381短信端口第一时间向用户发送预警短信。>>详细

    三部门印发《网络产品安全漏洞管理规定》,9月1日起实施

    工信部、国家网信办、公安部印发网络产品安全漏洞管理规定,要求任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动。>>详细

    一图+六问,读懂三部门《网络产品安全漏洞管理规定》

    《规定》的出台将推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平,引导建设规范有序、充满活力的漏洞收集和发布渠道,防范网络安全重大风险,保障国家网络安全。>>详细

    全球数字安全博弈升级,产业区块链的机遇来了?

    以区块链和隐私计算为底座,可以实现数据价值的“可用而不可见”。而该技术的商用和产业化发展,也离不开各行业数据安全需求的升级。>>详细

    【转账需谨慎】金融消费者财产安全权

    遇到转账要求需谨慎,多联系确定是否本人需求,若遇无法辨别的情况时,应及时询求专业人士的帮助。>>详细

    关于印发《多方安全计算金融应用评估规范》和《移动金融基于声纹识别的安全应用评估规范》的通知

    为落实人民银行和国家认监委关于加强金融科技产品认证工作的相关要求,加强金融科技产品认证工作的自律管理,中国支付清算协会起草了《多方安全计算金融应用评估规范》和《移动金融基于声纹识别的安全应用评估规范》。>>详细

    安全威胁播报

    上周漏洞基本情况

    上周(2021年7月5日-11日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞541个,其中高危漏洞129个、中危漏洞352个、低危漏洞60个。漏洞平均分值为5.59。上周收录的漏洞中,涉及0day漏洞234个(占43%),其中互联网上出现“Monstra CMS跨站脚本漏洞(CNVD-2021-49037)、phpList身份验证绕过漏洞”等零日代码攻击漏洞。

    上周重要漏洞安全告警

    SAP产品安全漏洞

    SAP Netweaver是德国思爱普(SAP)公司的一套面向服务的集成化应用平台。该平台主要为SAP应用程序提供开发和运行环境。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞发送特制数据包导致系统崩溃,将明文命令插入网络上的加密SMTP会话等。

    CNVD收录的相关漏洞包括:SAP NetWeaver AS for ABAP内存破坏漏洞(CNVD-2021-47708、CNVD-2021-47707、CNVD-2021-47706、CNVD-2021-47710、CNVD-2021-47709)、SAP NetWeaver AS ABAP命令注入漏洞、SAP NetWeaver ABAP Server and ABAP Platform内存破坏漏洞(CNVD-2021-47715、CNVD-2021-47716)。目前,厂商已经发布了上述漏洞的修补程序。

    Microsoft产品安全漏洞

    Windows Print Spooler是Windows的打印机后台处理程序。Microsoft SharePoint是美国微软(Microsoft)公司的一套企业业务协作平台。该平台用于对业务信息进行整合,并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提交特殊的请求,导致应用程序崩溃或以应用程序上下文执行任意代码,对特定的api发送精心构造的数据远程执行命令,提升权限等。

    CNVD收录的相关漏洞包括:Microsoft Windows Print Spooler代码执行漏洞、Microsoft Windows Print Spooler权限提升漏洞、Microsoft SharePoint远程代码执行漏洞(CNVD-2021-48898、CNVD-2021-48891、CNVD-2021-48896、CNVD-2021-48893、CNVD-2021-48888)、Microsoft SharePoint权限提升漏洞(CNVD-2021-48897)。其中,“Microsoft Windows Print Spooler代码执行漏洞、Microsoft Windows Print Spooler权限提升漏洞、Microsoft SharePoint远程代码执行漏洞(CNVD-2021-48898)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    NETGEAR产品安全漏洞

    NETGEAR D3600等都是美国网件(NETGEAR)公司的产品。NETGEAR D3600是一款无线调制解调器。NETGEAR D6000是一款无线调制解调器。NETGEAR D6100是一款无线调制解调器。NETGEAR R6100是一款无线路由器。NETGEAR R6900是一款无线路由器。NETGEAR D7000是一款无线调制解调器。NETGEAR R7500是一款无线路由器。NETGEAR D7800是一款无线调制解调器。NETGEAR R7800是一款无线路由器。NETGEAR R9000是一款无线路由器。NETGEAR M4300-28G等都是美国网件(NETGEAR)公司的一款网管型交换机。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞缓冲区溢出或堆溢出,执行非法操作系统命令等。

    CNVD收录的相关漏洞包括:多款NETGEAR产品缓冲区溢出漏洞(CNVD-2021-48928、CNVD-2021-48927、CNVD-2021-48925、CNVD-2021-48930、CNVD-2021-48929、CNVD-2021-48934)、多款NETGEAR产品操作系统命令注入漏洞(CNVD-2021-48926、CNVD-2021-48931)。其中,“多款NETGEAR产品操作系统命令注入漏洞(CNVD-2021-48926)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    Mozilla产品安全漏洞

    Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞窃取受害者基于Cookie的身份验证凭据,授予web内容的其他特权,执行任意代码等。

    CNVD收录的相关漏洞包括:Mozilla Thunderbird代码问题漏洞(CNVD-2021-49128)、Mozilla Firefox跨站脚本漏洞(CNVD-2021-49131)、多款Mozilla产品输入验证错误漏洞、多款Mozilla产品权限提升漏洞(CNVD-2021-49135)、Mozilla Firefox权限许可和访问控制问题漏洞(CNVD-2021-49133)、多款Mozilla产品资源管理错误漏洞(CNVD-2021-49138)、多款Mozilla产品数据伪造问题漏洞(CNVD-2021-49136)、多款Mozilla产品缓冲区溢出漏洞(CNVD-2021-49139)。其中,“多款Mozilla产品资源管理错误漏洞(CNVD-2021-49138)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    QSAN Storage Manager操作系统命令注入漏洞

    QSAN Storage Manager是广盛科技股份有限公司(QSAN)的一个NAS操作系统。上周,QSAN Storage Manager被披露存在命令注入漏洞。攻击者可利用该漏洞执行任意命令。目前,厂商尚未发布上述漏洞的修补程序。

    小结

    上周,SAP产品被披露存在多个漏洞,攻击者可利用漏洞发送特制数据包导致系统崩溃,将明文命令插入网络上的加密SMTP会话等。此外,Microsoft、NETGEAR、Mozilla等多款产品被披露存在多个漏洞,攻击者可利用漏洞提交特殊的请求,导致应用程序崩溃或以应用程序上下文执行任意代码,缓冲区溢出或堆溢出,执行非法操作系统命令。另外,QSAN Storage Manager被披露存在命令注入漏洞。攻击者可利用漏洞执行任意命令。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

    中国电子银行网综合CNVD、工信部、中国支付清算协会、第一财经、泉州银行报道

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    收藏

    收藏成功

    确定