國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞424個，互聯網上出現“QNAPQ'center Virtual Appliance命令注入漏洞（CNVD-2018-17532）、WordPressGift Vouchers SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　FIDO聯盟推出生物識別組件認證項目 以增加行業互信

　　為了彌補市場空缺以及打消產業鏈及用戶的顧慮，FIDO聯盟近期正式推出FIDO生物識別組件認證項目。該項目在生物識別認證行業領域內處于絕對領先水平。>>詳細

　　2017年度銀行科技發展獎評審領導小組會議在京召開

　　范一飛強調，銀行業要重視對基礎技術和關鍵技術的研發，按照需求導向、問題導向、目標導向，從國家發展需要出發，提升技術創新能力，穩步推進安全可控技術在金融領域的應用。>>詳細

　　北京互聯網法院成立 網上打官司有這些步驟

　　上傳已經寫好的起訴狀或在線填寫起訴信息，一鍵生成起訴狀。并在線提交起訴證據電子版。在確認所有起訴信息無誤后，點擊“獲取二維碼”，用手機微信掃描后，手寫確認簽名。>>詳細

　　日本瑞薩電子擬以67億美元收購美國芯片廠商IDT

　　瑞薩電子為NEC電子以及瑞薩科技合并后所成立的新公司。于2009年9月16日簽定最終協議，以NEC電子為存續公司，與瑞薩科技進行合并。瑞薩電子是僅次于恩智浦的第二大汽車芯片廠商。>>詳細

　　第四范式聯合浪潮商用機器發布AI一體機“Prophet AIO”

　　Prophet AIO是首個針對超大規模數據挖掘與機器學習計算問題所推出的AI一體機產品，能夠在風險反欺詐、競爭營銷、個性化推薦、廣告計算、智能制造、客戶運營及產品定價等多個數據挖掘與決策場景中應用。>>詳細

　　中國智能手機廠商紛紛發力5G的背后 高通扮演了什么樣的角色？

　　隨著時間的腳步進入到2018年8月下旬的最后幾天，當主流智能手機廠商都在5G方面擁有大動作，才讓人意識到5G真的來了。>>詳細

　　技術觀瀾

　　態勢感知攻擊鏈分析-Redis未授權訪問檢測

　　在特定條件下，如果Redis以root權限運行，黑客可以寫入SSH公鑰文件，從而直接通過SSH登錄。導致數據庫泄密或者勒索事件的發送，嚴重威脅我們的業務服務器安全。>>詳細

　　如何脫離Metasploit進行滲透測試

　　準備的時候覺得這樣很糟糕，但是最后會發現自己會的更多了，這也應該是你準備OSCP認證的目的，不是嗎？為了擺脫對Metasploit的依賴，我們需要替代方案并更深入地理解一些關鍵概念。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年09月03日-2018年09月09日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞424個，其中高危漏洞177個、中危漏洞221個、低危漏洞26個。漏洞平均分值為6.21。上周收錄的漏洞中，涉及0day漏洞93個（占22%），其中互聯網上出現“QNAPQ'center Virtual Appliance命令注入漏洞（CNVD-2018-17532）、WordPressGift Vouchers SQL注入漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Red Hat產品安全漏洞

　　Red Hat OpenShift是一款平臺即服務（PaaS）云計算平臺。openshift-ansible是其中的一個用于安裝、升級和管理OpenShift的工具。Red Hat 389-ds-base是包括了Linux目錄服務器和服務器管理命令行程序的軟件包。Red Hat RPM（RPM Package Manager）是一款命令行驅動的軟件包管理器。Red Hat glusterfs server是一套開源的分布式文件系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Red Hat openshift-ansibleSSL客戶端證書身份驗證漏洞、Red Hat 389-ds-base競爭條件漏洞、Red Hat 389-ds-base信息泄露漏洞、Red Hat RPM權限提升漏洞（CNVD-2018-17735）、Red Hat glusterfs服務器RPC請求處理器組件權限提升漏洞、Red Hat glusterfs服務器RPC請求處理器組件任意文件創建漏洞、Red Hat glusterfs服務器遠程代碼執行漏洞、Red Hat glusterfs服務器反序列化漏洞。其中，除“Red Hat 389-ds-base信息泄露漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Microsoft產品安全漏洞

　　Microsoft OfficePowerPoint是微軟公司的演示文稿軟件。Microsoft Edge是一款Web瀏覽器。ChakraCore是使用在其中的一個開源的ChakraJavaScript腳本引擎的核心部分，也可作為單獨的JavaScript引擎使用。MicrosoftWindows 10是一套個人電腦使用的操作系統。Windows Server 2016是一套服務器操作系統。Internet Explorer（IE）是其中的一款Windows操作系統附帶的Web瀏覽器。上周，上述產品被披露存在內存破壞和遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼，破壞內存。

　　CNVD收錄的相關漏洞包括：MicrosoftPowerPoint遠程代碼執行漏洞（CNVD-2018-17618）、Microsoft Edge遠程代碼執行漏洞（CNVD-2018-18003）、MicrosoftInternet Explorer遠程代碼執行漏洞（CNVD-2018-18005）、Microsoft Edge遠程代碼執行漏洞（CNVD-2018-18004）、Microsoft EdgeChakra腳本引擎遠程內存破壞漏洞、Microsoft ChakraCore遠程代碼執行漏洞（CNVD-2018-18047）、MicrosoftChakraCore和Edge內存破壞漏洞、Microsoft Edge和ChakraCore遠程內存破壞漏洞（CNVD-2018-18049）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Dell產品安全漏洞

　　Dell RSA IdentityLifecycle and Governance是一套身份治理和生命周期管理解決方案。Dell EMC iDRAC9是一套包含硬件和軟件的系統管理解決方案。Dell EMCiDRAC6是包含硬件和軟件的系統管理解決方案。Dell RSA Identity Governance and Lifecycle是一套生命周期管理解決方案；RSA ViaLifecycle and Governance是一套企業級身份識別和管理解決方案；RSA IMG是一套生命周期管理和身份識別解決方案。Dell EMC RSABSAFE Micro Edition Suite（MES）和RSA BSAFE Crypto-C MicroEdition都是加密工具包。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞對用戶會話實施暴力破解攻擊，獲取未授權數據的訪問權限，執行惡意HTML或JavaScript代碼，發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：Dell RSAIdentity Governance and Lifecycle跨站腳本漏洞、Dell EMCiDRAC9 SSL/TLS保護剝離漏洞、多款Dell產品暴力破解漏洞、Dell RSAIdentity Governance and Lifecycle、RSA Via Lifecycle andGovernance和RSA IMG本地不可信搜索路徑漏洞、Dell EMC RSA BSAFE MicroEdition Suite整數溢出漏洞、Dell EMC RSA BSAFE Micro Edition Suite內存錯誤引用漏洞、Dell EMC RSABSAFE Micro Edition Suite和RSA BSAFECrypto-C Micro Edition資源耗盡漏洞、Dell EMC RSABSAFE Micro Edition Suite隱蔽定時信道漏洞。其中，“Dell RSA IdentityGovernance and Lifecycle、RSA Via Lifecycle and Governance和RSA IMG本地不可信搜索路徑漏洞、Dell EMC RSABSAFE Micro Edition Suite整數溢出漏洞、Dell EMC RSA BSAFE Micro Edition Suite內存錯誤引用漏洞、Dell EMC RSABSAFE Micro Edition Suite和RSA BSAFE Crypto-C Micro Edition資源耗盡漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Cisco產品安全漏洞

　　Cisco Webex Teams是一款團隊協作應用程序。UmbrellaRoaming是一款防火墻的云端安全服務。Cisco 3000 Series Industrial Security Appliances（ISR）等都是安全防火墻設備。AdaptiveSecurity Appliance（ASA）和Firepower Threat Defense（FTD）Software都是使用在Cisco不同安全設備中的防火墻軟件。Cisco RV110W、RV130W和RV215W均為路由器產品。Cisco WebExMeetings是網絡會議解決方案。Cisco Identity Services Engine（ISE）是一款基于身份的環境感知平臺（ISE身份服務引擎）。Cisco AMP forEndpoints Mac Connector Software for macOS是一套基于macOS平臺的集成了靜態和動態惡意軟件分析以及威脅情報于一體的終端應用程序。Cisco IOS XRfor Cisco ASR 9000 Series Aggregation Services Routers是一套運行于9000系列路由器設備中的操作系統。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞查看和修改敏感信息，提升權限，執行任意代碼或發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：Cisco WebexTeams信息泄露和修改漏洞、Cisco Umbrella Enterprise Roaming Client andEnterprise Roaming Module權限提升漏洞、Cisco多款路由器管理接口緩沖區溢出漏洞、Cisco WebexMeetings Client for Windows權限提升漏洞、多款Cisco產品SSL證書驗證安全繞過漏洞、Cisco IdentityServices Engine (ISE)跨站請求偽造漏洞、Cisco AMP for EndpointsmacOS Connector拒絕服務漏洞、Cisco ASR 9000 Series Aggregation ServicesRouters本地拒絕服務漏洞。其中，“Cisco Webex Teams信息泄露和修改漏洞、Cisco多款路由器管理接口緩沖區溢出漏洞、Cisco WebexMeetings Client for Windows權限提升漏洞”的綜合評級為“高?！?。目前，除“Cisco多款路由器管理接口緩沖區溢出漏洞、Cisco WebexMeetings Client for Windows權限提升漏洞”外，廠商已經發布其余漏洞的修補程序。

　　SAP Business Objects遠程代碼注入漏洞

　　SAP Business Objects是一套商務智能軟件和企業績效解決方案。該方案提供報表、績效管理和數據基礎等功能。上周，SAP Business Objects被披露存在遠程代碼注入漏洞。攻擊者可以利用漏洞注入遠程代碼，在服務器上執行任意命令。

　　小結

　　上周，Red Hat被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼或發起拒絕服務攻擊。此外，Microsoft、Dell、Cisco等多款產品被披露存在多個漏洞，攻擊者可利用漏洞對用戶會話實施暴力破解攻擊，查看和修改敏感信息，提升權限，執行任意代碼，破壞內存或發起拒絕服務攻擊等。另外，SAP Business Objects被披露存在遠程代碼注入漏洞。攻擊者可以利用漏洞注入遠程代碼，在服務器上執行任意命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、央行網站、鳳凰網、鈦媒體、FIDO聯盟、TechWeb、雷鋒網、嘶吼RoarTalk報道

責任編輯：韓希宇