管理培训搜索
18318889481 13681114876

转创
| 信息安全周报|《个人信息安全规范》发布 网联加大电信诈骗监测力度当前您所在的位置:首页 > 转创 > 转型升级 > 信息安全实验室 > 信息安全

核心提示中国国家市场监督管理总局、国家标准化管理委员会正式发布国家标准《信息安全技术 个人信息安全规范》,对个人信息收集、储存、使用做出了明确规定。

国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞554个,互联网上出现“Tenda N301拒绝服务漏洞、Comtrend VR-3033命令注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。

一周行业要闻速览

GB/T35273-2020《个人信息安全规范》正式发布

《规范》要求在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。>>详细

注意了!疫情期间如何保护个人信息?这些实用技巧送给你

疫情期间,如何保护个人信息?这些实用技巧送给你。>>详细

网联加大疫情期间电信诈骗等欺诈活动的监测力度

网联积极开展以数据为基础的建模分析工作,聚焦电信诈骗、网络赌博、非法交易平台等违法违规行为,开展风险监测,协助成员单位加强风险交易识别及提高金融风险防范能力。>>详细

315特刊 | 疫情期间个人信息被频繁收集 隐私保护怎么做

疫情特殊时期,如何保护个人信息安全成为重要且关键的问题。>>详细

数据显示:男人比女人更易受骗,60后交的“学费”最多!

腾讯守护者计划联合招商银行消费者权益保护中心共同发布了《金融消费者电信网络诈骗防范情况报告》。>>详细

“云”审计新探索 零接触电子函证显神通

中国金融认证中心(CFCA)电子函证平台是基于“互联网+”的函证业务办理平台,是全国银行、会计师事务所、被审计单位的线上共享服务平台,是促进多方协作的公共基础服务设施。>>详细

手机银行“手机盾”,满足您的大额转账需求

手机银行转账限额不够用?开通兰州银行“手机盾”,让您的转账业务,不再受限!>>详细

SEC发布金融证券行业网络安全指导建议

网络安全防御体系包含的工具、方法、应用、场景和流程极为复杂,对于金融企业来说,有哪些是需要赋予更高优先级的重点工作呢?>>详细

安全威胁播报

上周漏洞基本情况 

上周(3月2日-8日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞554个,其中高危漏洞197个、中危漏洞271个、低危漏洞86个。漏洞平均分值为6.08。上周收录的漏洞中,涉及0day漏洞184个(占33%),其中互联网上出现“Tenda N301拒绝服务漏洞、Comtrend VR-3033命令注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Cisco产品安全漏洞

Cisco FXOS Software是美国思科(Cisco)公司的一套运行在思科安全设备中的防火墙软件。Cisco IP Conference Phone 7832和Cisco IP Conference Phone 8832等都是IP电话系列产品。Supervisor是一套适用于类Unix系统的过程控制系统。Cisco NX-OS Software是一套交换机使用的数据中心级操作系统软件。Cisco MDS 9000 Series Multilayer Switches是一款MDS 9000系列多层交换机。Cisco Prime NetworkRegistrar(CPNR)是一款网络注册器产品。Cisco IntelligentProximity是一项创新功能集,可让您通过移动设备实现更丰富的协作体验。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码,导致拒绝服务等。

CNVD收录的相关漏洞包括:Cisco IP Phone远程代码执行漏洞、Cisco FXOS Software和CiscoUCS Manager Software操作系统命令注入漏洞、Cisco Nexus 1000V Switchfor VMware vSphere资源管理错误漏洞、Cisco FXOS Software和Cisco UCS Manager操作系统命令注入漏洞、Cisco NX-OS Software和Cisco FXOS Software输入验证错误漏洞(CNVD-2020-14813)、Cisco MDS 9000 SeriesMultilayer Switches NX-OS Software拒绝服务漏洞、Cisco Prime Network Registrar跨站请求伪造漏洞、Cisco Intelligent Proximity SSL证书验证漏洞。其中,除“Cisco FXOS Software和CiscoUCS Manager Software操作系统命令注入漏洞、Cisco FXOS Software和Cisco UCS Manager操作系统命令注入漏洞”外,其余漏洞的综合评级为“高危”目前,厂商已经发布了上述漏洞的修补程序。

Apple产品安全漏洞

AppleiOS是为移动设备所开发的一套操作系统。Apple iPadOS是一套用于iPad平板电脑的操作系统。Apple tvOS是一套智能电视操作系统。Apple watchOS是一套智能手表操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码,导致堆损坏。

CNVD收录的相关漏洞包括:多款Apple产品Kernel组件内存破坏漏洞(CNVD-2020-15285、CNVD-2020-15286、CNVD-2020-15570)、多款Apple产品Kernel组件竞态条件漏洞、多款Apple产品libxpc组件越界读取漏洞(CNVD-2020-15293)、多款Apple产品Kernel组件类型混淆漏洞(CNVD-2020-15564)、多款Apple产品libxpc组件内存破坏漏洞(CNVD-2020-15565)、多款Apple产品内存破坏漏洞(CNVD-2020-15566)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

GitLab产品安全漏洞

GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,更改或删除其对该问题的评论等。

CNVD收录的相关漏洞包括:GitLab访问控制错误漏洞(CNVD-2020-15299、CNVD-2020-15494)、GitLab信息泄露漏洞(CNVD-2020-15300、CNVD-2020-15485、CNVD-2020-15488、CNVD-2020-15490、CNVD-2020-15492)、GitLab日志信息泄露漏洞。目前,厂商已经发布了上述漏洞的修补程序。

Dell产品安全漏洞

DELL EMC Isilon是美国戴尔(Dell)公司的一套适用于非结构化数据的横向扩展存储系统。OneFS是运行在其中的一套操作系统。Dell EMC iDRAC9是一套包含硬件和软件的系统管理解决方案。Dell EMC iDRAC7是一套包含硬件和软件的系统管理解决方案。Dell EMC iDRAC8是一套包含硬件和软件的系统管理解决方案。Dell KACE部署设备可实现完全集成的系统配置解决方案。Dell EMC OpenManage Server Administrator(OMSA)是一套系统管理解决方案。Dell G3 3579是一款笔记本电脑。ChengMing 3977是一款台式计算机。Embedded Box PC 5000是一款嵌入式箱式电脑。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,获取敏感信息,执行任意代码等。

CNVD收录的相关漏洞包括:Dell EMC Isilon OneFS授权问题漏洞、Dell EMC iDRAC7、iDRAC8和iDRAC9授权问题漏洞 、Dell KACE SystemsManagement Appliance (K1000)代码执行漏洞、Dell EMC OpenManage ServerAdministrator web参数篡改漏洞、Dell EMC OpenManage ServerAdministrator XML外部实体(XXE)注入漏洞、多款Dell产品访问控制错误漏洞、Dell EMC iDRAC7、iDRAC8和iDRAC9权限许可和访问控制漏洞、Dell EMC iDRAC7和iDRAC8错误处理漏洞漏洞。其中,“Dell EMC Isilon OneFS授权问题漏洞、Dell KACE Systems Management Appliance (K1000)代码执行漏洞、多款Dell产品访问控制错误漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

Red Hat CloudForms命令执行漏洞

Red Hat CloudForms是美国红帽(Red Hat)公司的一套混合基础架构管理平台。上周,Red Hat CloudForms被披露存在命令执行漏洞。攻击者可利用该漏洞以root用户身份执行任意的shell命令。目前,厂商尚未发布上述漏洞的修补程序。

小结

上周,Cisco产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码,导致拒绝服务等。此外,Apple、GitLab、Dell等多款产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,获取敏感信息,执行任意代码,导致堆损坏等。另外,Red Hat CloudForms被披露存在命令执行漏洞。攻击者可利用该漏洞以root用户身份执行任意的shell命令。

中国电子银行网综合CNVD、网信中国、法制网、移动支付网、兰州银行、守护者计划、安全牛报道


TESG
企业概况
联系我们
专家顾问
企业文化
党风建设
核心团队
资质荣誉
合规监管
部门职责
转创中国
加入转创
经济合作
智库专家
质量保证
咨询流程
联系我们
咨询
IPO咨询
投融资咨询
会计服务
绩效管理
审计和风险控制
竞争战略
审计与鉴证、估价
企业管理咨询
人力资源战略与规划
融资与并购财务顾问服务
投资银行
企业文化建设
财务交易咨询
资本市场及会计咨询服务
创业与私营企业服务
公司治理、合规与反舞弊
国企改革
价值办公室
集团管控
家族企业管理
服务
数据分析
资信评估
投资咨询
风险及控制服务
管理咨询
转型升级服务
可行性研究咨询服务
民企与私人客户服务
解决方案
内控
税收内部控制
税收风险管理
内控管理师
内部控制咨询
信用研究
信用法制中心
风险与内控咨询
无形资产内控
企业内控审计
内部控制服务
内部控制评价
内部控制体系建设
内部控制智库
上市公司内控
上市公司独立董事
投行
M&A
资本市场
SPAC
科创板
金融信息库
IPO咨询
北交所
ASX
SGX
HKEX
金融服务咨询
信用评级
上海证券交易所
NYSE
深圳证券交易所
审计
审计资料下载
法证会计
审计事务
审计及鉴证服务
审计咨询
反舞弊中心
内部控制审计
内部审计咨询
国际审计
合规
银行合规专题
合规管理建设年
海关与全球贸易合规
数据合规专题
反腐败中心
反垄断合规
反舞弊中心
国际制裁
企业合规中心
信用合规专题
证券合规专题
合规中心
金融合规服务
反洗钱中心
全球金融犯罪评论
行业
新基建
文化、体育和娱乐业
电信、媒体和技术(TMT)
投城交通事业部
房地产建筑工程
医疗卫生和社会服务
可持续发展与环保
全球基础材料
大消费事业部
金融服务业
化学工程与工业
一带一路
智慧生活与消费物联
数字经济发展与检测
食品开发与营养
先进制造事业部
能源资源与电力
消费与工业产品
运输与物流
酒店旅游餐饮
科学研究与技术服务
政府及公共事务
化妆品与个人护理
一二三产融合
生物医药与大健康
新能源汽车与安全产业
法律
法律信息库
税法与涉税服务
数字法治与网络安全
劳动与人力资源法律
金融与资本市场法律
司法研究所
公司法专题
私募股权与投资基金
债务重组与清算/破产
转创国际法律事务所
转创法信事务所
财税
法务会计
管理会计案例
决策的财务支持
家族资产和财富传承
财税法案例库
资产评估
财税信息库
会计准则
财务研究所
财政税收
会计研究所
财税实务
投资咨询
财务管理咨询
审计事务
管理
转创智库
金融研究所
企业管理研究所
中国企业国际化发展
经济与产业研究
公司治理
气候变化与可持续
ESG中心
管理咨询
转创
咨询业数据库
转创网校
生物医药信息库
建筑工程库
转创首都
转创教育
转创国际广东 官网
科研创服
中国转创杂志社
创新创业
转型升级
技术转移中心
转创中国
中外
粤港澳大湾区
中国-东盟
一带一路
澳大利亚
俄罗斯
新加坡
英国
加拿大
新西兰
香港
美国
中非平台
开曼群岛
法国
欧洲联盟
印度
北美洲
18318889481 13681114876
在线QQ
在线留言
返回首页
返回顶部
留言板
发送