国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞554个,互联网上出现“Tenda N301拒绝服务漏洞、Comtrend VR-3033命令注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
GB/T35273-2020《个人信息安全规范》正式发布
《规范》要求在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。>>详细
注意了!疫情期间如何保护个人信息?这些实用技巧送给你
疫情期间,如何保护个人信息?这些实用技巧送给你。>>详细
网联加大疫情期间电信诈骗等欺诈活动的监测力度
网联积极开展以数据为基础的建模分析工作,聚焦电信诈骗、网络赌博、非法交易平台等违法违规行为,开展风险监测,协助成员单位加强风险交易识别及提高金融风险防范能力。>>详细
315特刊 | 疫情期间个人信息被频繁收集 隐私保护怎么做
疫情特殊时期,如何保护个人信息安全成为重要且关键的问题。>>详细
数据显示:男人比女人更易受骗,60后交的“学费”最多!
腾讯守护者计划联合招商银行消费者权益保护中心共同发布了《金融消费者电信网络诈骗防范情况报告》。>>详细
“云”审计新探索 零接触电子函证显神通
中国金融认证中心(CFCA)电子函证平台是基于“互联网+”的函证业务办理平台,是全国银行、会计师事务所、被审计单位的线上共享服务平台,是促进多方协作的公共基础服务设施。>>详细
手机银行“手机盾”,满足您的大额转账需求
手机银行转账限额不够用?开通兰州银行“手机盾”,让您的转账业务,不再受限!>>详细
SEC发布金融证券行业网络安全指导建议
网络安全防御体系包含的工具、方法、应用、场景和流程极为复杂,对于金融企业来说,有哪些是需要赋予更高优先级的重点工作呢?>>详细
安全威胁播报
上周漏洞基本情况
上周(3月2日-8日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞554个,其中高危漏洞197个、中危漏洞271个、低危漏洞86个。漏洞平均分值为6.08。上周收录的漏洞中,涉及0day漏洞184个(占33%),其中互联网上出现“Tenda N301拒绝服务漏洞、Comtrend VR-3033命令注入漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Cisco产品安全漏洞
Cisco FXOS Software是美国思科(Cisco)公司的一套运行在思科安全设备中的防火墙软件。Cisco IP Conference Phone 7832和Cisco IP Conference Phone 8832等都是IP电话系列产品。Supervisor是一套适用于类Unix系统的过程控制系统。Cisco NX-OS Software是一套交换机使用的数据中心级操作系统软件。Cisco MDS 9000 Series Multilayer Switches是一款MDS 9000系列多层交换机。Cisco Prime NetworkRegistrar(CPNR)是一款网络注册器产品。Cisco IntelligentProximity是一项创新功能集,可让您通过移动设备实现更丰富的协作体验。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码,导致拒绝服务等。
CNVD收录的相关漏洞包括:Cisco IP Phone远程代码执行漏洞、Cisco FXOS Software和CiscoUCS Manager Software操作系统命令注入漏洞、Cisco Nexus 1000V Switchfor VMware vSphere资源管理错误漏洞、Cisco FXOS Software和Cisco UCS Manager操作系统命令注入漏洞、Cisco NX-OS Software和Cisco FXOS Software输入验证错误漏洞(CNVD-2020-14813)、Cisco MDS 9000 SeriesMultilayer Switches NX-OS Software拒绝服务漏洞、Cisco Prime Network Registrar跨站请求伪造漏洞、Cisco Intelligent Proximity SSL证书验证漏洞。其中,除“Cisco FXOS Software和CiscoUCS Manager Software操作系统命令注入漏洞、Cisco FXOS Software和Cisco UCS Manager操作系统命令注入漏洞”外,其余漏洞的综合评级为“高危”目前,厂商已经发布了上述漏洞的修补程序。
Apple产品安全漏洞
AppleiOS是为移动设备所开发的一套操作系统。Apple iPadOS是一套用于iPad平板电脑的操作系统。Apple tvOS是一套智能电视操作系统。Apple watchOS是一套智能手表操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码,导致堆损坏。
CNVD收录的相关漏洞包括:多款Apple产品Kernel组件内存破坏漏洞(CNVD-2020-15285、CNVD-2020-15286、CNVD-2020-15570)、多款Apple产品Kernel组件竞态条件漏洞、多款Apple产品libxpc组件越界读取漏洞(CNVD-2020-15293)、多款Apple产品Kernel组件类型混淆漏洞(CNVD-2020-15564)、多款Apple产品libxpc组件内存破坏漏洞(CNVD-2020-15565)、多款Apple产品内存破坏漏洞(CNVD-2020-15566)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
GitLab产品安全漏洞
GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,更改或删除其对该问题的评论等。
CNVD收录的相关漏洞包括:GitLab访问控制错误漏洞(CNVD-2020-15299、CNVD-2020-15494)、GitLab信息泄露漏洞(CNVD-2020-15300、CNVD-2020-15485、CNVD-2020-15488、CNVD-2020-15490、CNVD-2020-15492)、GitLab日志信息泄露漏洞。目前,厂商已经发布了上述漏洞的修补程序。
Dell产品安全漏洞
DELL EMC Isilon是美国戴尔(Dell)公司的一套适用于非结构化数据的横向扩展存储系统。OneFS是运行在其中的一套操作系统。Dell EMC iDRAC9是一套包含硬件和软件的系统管理解决方案。Dell EMC iDRAC7是一套包含硬件和软件的系统管理解决方案。Dell EMC iDRAC8是一套包含硬件和软件的系统管理解决方案。Dell KACE部署设备可实现完全集成的系统配置解决方案。Dell EMC OpenManage Server Administrator(OMSA)是一套系统管理解决方案。Dell G3 3579是一款笔记本电脑。ChengMing 3977是一款台式计算机。Embedded Box PC 5000是一款嵌入式箱式电脑。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,获取敏感信息,执行任意代码等。
CNVD收录的相关漏洞包括:Dell EMC Isilon OneFS授权问题漏洞、Dell EMC iDRAC7、iDRAC8和iDRAC9授权问题漏洞 、Dell KACE SystemsManagement Appliance (K1000)代码执行漏洞、Dell EMC OpenManage ServerAdministrator web参数篡改漏洞、Dell EMC OpenManage ServerAdministrator XML外部实体(XXE)注入漏洞、多款Dell产品访问控制错误漏洞、Dell EMC iDRAC7、iDRAC8和iDRAC9权限许可和访问控制漏洞、Dell EMC iDRAC7和iDRAC8错误处理漏洞漏洞。其中,“Dell EMC Isilon OneFS授权问题漏洞、Dell KACE Systems Management Appliance (K1000)代码执行漏洞、多款Dell产品访问控制错误漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Red Hat CloudForms命令执行漏洞
Red Hat CloudForms是美国红帽(Red Hat)公司的一套混合基础架构管理平台。上周,Red Hat CloudForms被披露存在命令执行漏洞。攻击者可利用该漏洞以root用户身份执行任意的shell命令。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Cisco产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码,导致拒绝服务等。此外,Apple、GitLab、Dell等多款产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,获取敏感信息,执行任意代码,导致堆损坏等。另外,Red Hat CloudForms被披露存在命令执行漏洞。攻击者可利用该漏洞以root用户身份执行任意的shell命令。
中国电子银行网综合CNVD、网信中国、法制网、移动支付网、兰州银行、守护者计划、安全牛报道