国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞527个，互联网上出现“Spotweb跨站脚本漏洞、Gila CMS SQL注入漏洞（CNVD-2021-84282）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

央行行长易纲：推动数字人民币与现有电子支付工具间的交互，实现安全与便捷的统一

数字人民币在匿名性方面采取“小额匿名，大额依法可溯”的原则，在收集个人信息时遵循“最少、必要”原则，采集的信息量少于现有电子支付工具。>>详细

中国互金协会陆书春： 加强个人信息保护责任意识补短板、强弱项、堵漏洞

在金融科技发展取得积极成效的同时，数据安全、个人信息保护相关制度逐步落地。>>详细

个保法落地后 金融机构将面临怎样的合规挑战？

银行等金融机构的业务与个人信息息息相关，个保法的正式实施将会对金融机构带来怎样的合规挑战？>>详细

银行业隐私计算布局思考 应着眼数据要素流通前景

随着《数据安全法》和《个人信息保护法》步入实施阶段，银行数据安全管理需求日益增强。目前，各银行高度关注隐私计算技术，以期其破解数据利用与安全保护难题。>>详细

从高速增长到优质发展，数字安全企业助力保险行业数字化转型

可信签约及司法平台将有助于在保险行业中形成基础的电子数据可信环境，将来不管是线上投保业务，还是供应商业务和代理商合同等，各个细分领域业务都可以按照这样的实践方式、整体模式去进行适配，帮助保险企业在数字化转型过程中兼顾安全与合规。>>详细

《个人信息保护法》正式实施，CFCA助力企业在合规道路上一骑绝尘！

CFCA根据中国人民银行要求，以《方法》、《JR/T0092-2019 移动金融客户端应用软件安全管理规范》等规范为依据，对金融类移动客户端软件展开合规性检测工作。>>详细

我国SM9密钥交换协议正式成为ISO/IEC国际标准

SM9密钥交换协议用于通信双方基于对方的标识实现会话密钥协商，具有运算效率高、算法安全模式实现灵活等特点。>>详细

中央网信办等部门联合印发《关于开展IPv6技术创新和融合应用试点工作的通知》

IPv6关键技术创新、应用创新、服务创新、管理创新持续突破，IPv6标准体系更加完善，基本形成IPv6技术创新生态体系。>>详细

“双11”诈骗又有新手段 监管层提醒消费者支付安全

“双11”期间，众多商家为了造势，会预售部分商品。同时，通过派发红包的形式为消费者提供优惠，这也给部分违法分子提供了欺诈途径。据悉，今年“双11”期间，虚拟红包骗局的数量增长明显。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年11月1日-7日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞527个，其中高危漏洞127个、中危漏洞340个、低危漏洞60个。漏洞平均分值为5.63。上周收录的漏洞中，涉及0day漏洞253个（占48%），其中互联网上出现“Spotweb跨站脚本漏洞、Gila CMS SQL注入漏洞（CNVD-2021-84282）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Huawei产品安全漏洞

Huawei Emui是一款基于Android开发的移动端操作系统。Magic Ui是一款基于Android开发的移动端操作系统。Huawei Imanager NetEco是一款专业的能源基础设施管理平台。Huawei FusionCompute是一款计算机虚拟化引擎。该产品提供虚拟资源管理器（VRM）和计算节点代理（CNA）等。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞提升权限，导致系统重新启动，执行恶意代码等。

CNVD收录的相关漏洞包括：Huawei Emui和Magic UI代码注入漏洞、Huawei Emui和Magic UI竞争条件漏洞（CNVD-2021-83527）、Huawei Emui和Magic UI篡改内核漏洞（CNVD-2021-83525、CNVD-2021-83528）、Huawei Emui和Magic UI内核崩溃漏洞、Huawei iManager NetEco不正确签名管理漏洞、Huawei Emui和Magic UI内存越界访问漏洞、Huawei FusionCompute产品命令注入漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Premiere Elements是一款视频编辑软件应用程序。Adobe Animate是一款多媒体创作和计算机动画程序。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Premiere Elements内存越界访问漏洞（CNVD-2021-82408、CNVD-2021-82411、CNVD-2021-82407、CNVD-2021-82410、CNVD-2021-82409）、Adobe Animate越界写入漏洞（CNVD-2021-84298、CNVD-2021-84301、CNVD-2021-84300）。上述漏洞的综合评级为“高危” 。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Sterling B2B Integrator是一个交易引擎，是一套根据您的业务需求运行您定义和管理的流程的组件。IBM Sterling File Gateway是一款用于在内部和外部合作伙伴之间传输文件的应用程序，可让您更加安全可靠地与贸易伙伴进行文件传输。IBM Data Risk Manager是一款数据风险管理器。IBM Jazz Team Server是一个应用服务器。提供了基础服务，这些服务使一组工具可以作为单个逻辑服务器一起工作，并且包括提供工具特定功能的任意数量的Jazz Team Server Extensions。IBM InfoSphere Information Server是一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞执行从网站信任的用户传输的恶意和未经授权的操作，解密高度敏感的信息，导致拒绝其他用户的服务等。

CNVD收录的相关漏洞包括：IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2021-82418）、IBM Sterling B2B Integrator跨站请求伪造漏洞（CNVD-2021-82420）、IBM Sterling File Gateway授权问题漏洞、IBM Sterling File Gateway拒绝服务漏洞、IBM Sterling File Gateway代码问题漏洞、IBM Data Risk Manager加密问题漏洞、IBM Jazz Team Server权限提升漏洞、IBM InfoSphere Information Server跨站请求伪造漏洞（CNVD-2021-84239）。其中，“IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2021-82418）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

NETGEAR产品安全漏洞

NETGEAR是美国网件（Netgear）公司的一款路由器。连接两个或多个网络的硬件设备，在网络间起网关的作用。GC108P等都是智能交换机产品。Netgear genie是一个将自己呈现为仪表板的程序。NETGEAR JNR1010等都是一款无线路由器。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞执行系统命令，导致恶意文件创建以及权限提升等。

CNVD收录的相关漏洞包括：NETGEAR代码注入漏洞、多款NETGEAR设备命令注入漏洞（CNVD-2021-83557、CNVD-2021-83563）、NETGEAR多款产品命令注入漏洞、NETGEAR多款智能交换机存在输入验证错误漏洞、多种NETGEAR交换机存在授权问题漏洞、NETGEAR genie代码问题漏洞、多款NETGEAR产品授权问题漏洞（CNVD-2021-83565）。其中，“NETGEAR代码注入漏洞、多种NETGEAR交换机存在授权问题漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Tenda AC-10U缓冲区溢出漏洞

Tenda AC-10U是中国腾达（Tenda）公司的一款无线路由器。上周，Tenda AC-10U AC1200路由器被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞通过goform/SetSysTimeCfg的timeZone参数执行任意代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Huawei产品被披露存在多个漏洞，攻击者可利用该漏洞提升权限，导致系统重新启动，执行恶意代码等。此外，Adobe、IBM、NETGEAR等多款产品被披露存在多个漏洞，攻击者可利用该漏洞执行从网站信任的用户传输的恶意和未经授权的操作，执行系统命令，解密高度敏感的信息，导致恶意文件创建以及权限提升等。另外，AC1200路由器被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞通过goform/SetSysTimeCfg的timeZone参数执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、央行官网、21世纪经济报道、金融时报、证券日报、网信中国、国家密码管理局报道

责任编辑：韩希宇