國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞240個，互聯網上出現“FiberHomeFiberhome AN5506-04-F跨站腳本漏洞、OFCMS后臺ueditor uploadScrawl文件上傳漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　全國人大代表、貴陽市長陳晏： 數據庫和數據安全是探索重點

　　從當前的實踐看，大數據產業若要迎來產業規模的突破，關鍵在于數據的處理和個人隱私保護。背后的關鍵則在于數據庫。這是現代信息技術領域的三大核心基礎之一，是大數據產業的核心技術，決定了大數據存儲、管理和應用的高效性，對于各行各業的大數據應用都具有不可替代的作用。>>詳細

　　生物識別：傳統信息安全在新技術環境的創新應用

　　生物識別既是重要的模式識別和計算機視覺學科前沿方向，也是人工智能落地最快和商業市場規模最大的主要方向之一，然而，生物識別涉及各攸關方利益、隱私、道德、法律等問題，也必然引發廣泛關注。>>詳細

　　315特輯│電子證據保全司法效用：讓海量數據“進得來、出得去、改不了”

　　當面對面的線下業務場景轉至線上，如何保證業務辦理過程的安全性，降低電子締約可能出現的司法風險？電子數據因易破壞、易篡改、易偽造等特點，不能作為證據直接使用，如何將電子數據有效地轉化為電子證據，并將分散的電子數據進行司法證據關聯？>>詳細

　　自帶指紋驗證銀行卡問世 再也不用輸密碼了

　　蘇格蘭皇家銀行即將測試一種全新的生物驗證銀行卡，該銀行卡自己具有指紋識別功能，能夠在購物時對用戶的身份進行認證。這將極大提升安全性。>>詳細

　　廣發信用卡：增強信息安全意識 科技護航金融消費安全

　　大數據時代，個人信息泄漏尤其是金融消費信息泄露常給大眾生活帶來諸多安全隱患，甚至直接導致財產損失。那么，個人信息到底是如何泄露的？怎樣保護個人信息確保金融消費安全呢？>>詳細

　　趨勢科技發現針對巴西和臺灣銀行的無文件銀行特洛伊木馬

　　無文件惡意軟件是黑客用來訪問用戶設備而不必在設備上寫入或留下活動痕跡的惡意軟件。使用此方法，可執行文件不會出現在磁盤上。它使用mshta.exe等程序中已存在的可執行文件。此外，惡意軟件通常使用Powershell。>>詳細

　　加密貨幣挖礦類惡意軟件仍是互聯網的一大威脅 但已有下滑的趨勢

　　Check Point最新發布的全球惡意軟件報告顯示，加密貨幣挖礦類惡意軟件，仍然是互聯網上最為活躍的一大威脅，前十里面有五個都是它。>>詳細

　　美國會議員提出了改善物聯網設備安全性的新法案

　　在默認的密碼和無法修復的漏洞等問題面前，形勢顯得非常嚴峻。去年的參議院聽證會上，國防情報局長羅伯特·阿什利中將（Lt. General Robert Ashley）向議員們表示：“對美國國家安全來說，不安全的物聯網設備，是需要被重點考量的新興網絡威脅之一”。>>詳細

　　劇透：英特爾CPU 再曝漏洞

　　該安全漏洞利用方式多樣，瀏覽器頁面中的惡意JavaScript、系統上運行的惡意軟件，或者惡意登入用戶，都可以利用該漏洞從內存中抽取口令、密鑰和其他數據。>>詳細

　　技術觀瀾

　　從DoS 到APDoS：DDoS 攻擊進化史

　　另一個趨勢是在攻擊中使用多個攻擊向量，也稱為高級持久拒絕服務(APDoS)。例如，APDoS攻擊可能涉及應用層，例如對數據庫和應用程序的攻擊以及直接在服務器上的攻擊。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2019 年03 月04 日-2019 年03 月10 日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞240個，其中高危漏洞105個、中危漏洞122個、低危漏洞13個。漏洞平均分值為6.38。上周收錄的漏洞中，涉及0day漏洞115個（占48%），其中互聯網上出現“FiberHomeFiberhome AN5506-04-F跨站腳本漏洞、OFCMS后臺ueditor uploadScrawl文件上傳漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Cisco產品安全漏洞

　　Cisco HyperFlex Software是一套可擴展的分布式文件系統。Cisco Prime Infrastructure是一種網絡管理工具，支持從一個圖形界面對整個網絡基礎設施進行全生命周期管理。Cisco Nexus 9000系列交換機是專為數據中心設計的模塊化和固定端口網絡交換機。Cisco NX-OS是一套交換機使用的數據中心級操作系統軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞實施中間人攻擊，查看并修改敏感信息，提升權限，執行任意命令，發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：Cisco HyperFlex跨站腳本漏洞、Cisco HyperFlex Software遠程命令注入漏洞、Cisco Prime Infrastructure SSL證書驗證安全繞過漏洞、Cisco Nexus 9000 ACI模式任意文件讀取漏洞、Cisco Nexus 9000 ACI模式權限提升漏洞、Cisco NX-OS拒絕服務漏洞、Cisco NX-OS權限提升漏洞、Cisco Nexus 9000系列交換矩陣交換機本地命令注入漏洞。其中，“Cisco HyperFlex Software遠程命令注入漏洞、Cisco Nexus 9000 ACI模式權限提升漏洞、Cisco NX-OS權限提升漏洞、Cisco Nexus 9000系列交換矩陣交換機本地命令注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Linux產品安全漏洞

　　Linux kernel是美國Linux基金會的發布的開源操作系統Linux所使用的內核。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，造成拒絕服務或執行任務代碼。

　　CNVD收錄的相關漏洞包括：Linux kernel'update_blocked_averages'函數無限循環漏洞、Linux kernel內存錯誤引用漏洞（CNVD-2019-06182）、Linux kernel本地權限提升漏洞（CNVD-2019-06183）、Linux kernel drivers/char/ipmi/ipmi_msghandler.c文件內存錯誤引用漏洞、Linux Kernel 'xfs_attr.c'本地拒絕服務漏洞、Linux kernel 'usb_audio_probe'函數內存錯誤引用漏洞、Linux kernel子系統拒絕服務漏洞、Linux kernel NFS41+子系統內存錯誤引用漏洞。其中，“Linux kernel 'update_blocked_averages'函數無限循環漏洞、Linux kernel內存錯誤引用漏洞（CNVD-2019-06182）、Linux kerneldrivers/char/ipmi/ipmi_msghandler.c文件內存錯誤引用漏洞、Linux kernel子系統拒絕服務漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　IBM產品安全漏洞

　　IBM Sterling B2B Integrator是一套集成了重要的B2B流程、交易和關系的軟件。IBM Cloud Private是一套企業私有云解決方案。IBM Rational DOORS Next Generation（DNG/RRC）是一套用于捕獲、跟蹤、分析和管理需求的軟件。IBM WebSphere ApplicationServer（WAS）是一款應用服務器產品。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞偽造URL，實施釣魚攻擊，獲取敏感信息，向Web UI中注入任意的JavaScript代碼。

　　CNVD收錄的相關漏洞包括：IBM Sterling B2BIntegrator跨站腳本漏洞（CNVD-2019-06044、CNVD-2019-06047、CNVD-2019-06160）、IBM Sterling B2B Integrator信息泄露漏洞（CNVD-2019-06050）、IBM Cloud Private信息泄露漏洞（CNVD-2019-06159）、IBM Cloud Private重定向漏洞、IBM Rational DOORS Next Generation跨站腳本漏洞（CNVD-2019-06352）、IBM WebSphere ApplicationServer跨站腳本漏洞（CNVD-2019-06354）。其中，“IBM Cloud Private重定向漏洞” 的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Moxa產品安全漏洞

　　Moxa IKS和EDS是Moxa推出的工業交換機系列。Moxa NPort W2x50A是一款用于將工業串口設備連上網絡的串口通訊服務器。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼，發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：Moxa IKS和EDS越界讀取漏洞、Moxa IKS和EDS明文密碼存儲漏洞、Moxa IKS和EDS不受控資源消耗漏洞、Moxa NPort W2x50A操作系統命令注入漏洞、Moxa IKS和EDS緩沖區溢出漏洞、Moxa IKS和EDS跨站請求偽造漏洞、Moxa IKS和EDS跨站腳本漏洞、Moxa IKS和EDS訪問控制不當漏洞。上述漏洞的綜合評級為“高?！?。廠商已經發布了上述漏洞的修補程序。

　　Dell EMC RSA Archer信息泄露漏洞（CNVD-2019-06042）

　　Dell EMC RSA Archer是一款企業IT治理和合規治理產品。上周，Dell EMC RSA Archer被披露存在信息泄露漏洞。攻擊者可利用該漏洞泄露信息。

　　小結

　　上周，Cisco被披露存在多個漏洞，攻擊者可利用漏洞攻擊者可利用漏洞實施中間人攻擊，查看并修改敏感信息，提升權限，執行任意命令，發起拒絕服務攻擊等。此外，Linux、IBM、Moxa等多款產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，偽造URL，實施釣魚攻擊，獲取敏感信息，向WebUI中注入任意的JavaScript代碼，發起拒絕服務攻擊等另外，Dell EMC RSA Archer被披露存在信息泄露漏洞。攻擊者可利用該漏洞泄露信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案?！　?/p>

責任編輯：韓希宇