國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞200個，互聯網上出現“RedwoodHQ繞過身份驗證漏洞、Open Faculty Evaluation System SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

密碼法草案首次提請審議 提升密碼工作法治化保障水平

草案規定,任何組織或者個人不得竊取或者非法侵入他人的加密信息或者密碼保障系統,不得利用密碼從事違法犯罪活動。>>詳細

成都農商銀行布局電子證據保全 助力線上業務“最后一公里”

成都農商銀行與第三方權威安全認證機構CFCA合作的電子證據保全系統，將采集的電子數據固化為便于司法采信和應用的電子證據，實現電子證據從采集、存證、查詢的全流程管理。>>詳細

工信部總經濟師：強化用戶信息和平臺數據保護 確保系統信息安全和數據合規使用

三是保障安全，嚴格落實法律規定和政策要求，采取有效的管理和技術措施，強化用戶信息和平臺數據保護，確保系統信息安全和數據合規使用。>>詳細

從具體案例看電子證據在司法實踐中的應用

電子證據是司法實踐中重要的證據形式。學習和應用電子證據規則，對于維護各方的合法權益、提高公民的法律意識、推進依法治國，都有重要的現實意義。>>詳細

區塊鏈司法存證應用白皮書（1.0版）

本白皮書由淺及深地介紹了區塊鏈電子數據存證的特點和系統設計原則。從電子數據存證的發展現狀入手，闡釋了區塊鏈電子數據存證對三性認定的關系。>>詳細

解讀：數據安全之個人信息保存期限最小化的判定

從國家標準的角度出發，個人信息保存期限應為實現目的所必需的最短時間，即個人信息的保存期限不能超過實現目的所需的最短時間。>>詳細

【聚焦】行走“江湖”的鑰匙

作為生物信息的所有者，每個自然人都將是未來生活中一把行走的“鑰匙”。如何更好地利用這把鑰匙解決“你是不是你？誰是你？你是誰？”的問題呢？>>詳細

中國互聯網金融協會發布《互聯網金融從業機構反洗錢和反恐怖融資風險管理及內控框架指引手冊》

下一步，協會將按照監管政策要求，結合最新反洗錢實際，根據市場變動、風險變化等對《框架手冊》進行動態調整和逐步完善。>>詳細

工業和信息化部關于同意中國互聯網絡信息中心設立域名根服務器（F、I、K、L根鏡像服務器）及域名根服務器運行機構的批復

你中心應配置必要的網絡資源以及網絡和通信應急設備，制定切實有效的網絡通信保障和網絡與信息安全應急預案，設立、配備專職網絡與信息安全管理機構和人員。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年6月17日-23日）信息安全漏洞威脅整體評價級別為中。

國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞200個，其中高危漏洞50個、中危漏洞99個、低危漏洞51個。漏洞平均分值為5.84。上周收錄的漏洞中，涉及0day漏洞73個（占37%），其中互聯網上出現“RedwoodHQ繞過身份驗證漏洞、Open Faculty Evaluation System SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

IBM產品安全漏洞

IBM API Connect（APIConnect）是一套用于管理API生命周期的集成解決方案。IBM WebSphere ApplicationServer Network Deployment是IBM的集成軟件平臺。IBM Maximo Asset Management是一套綜合性資產生命周期和維護管理解決方案。IBM Marketing Platform是一套營銷平臺。IBM Sterling B2B Integrator是一套集成了重要的B2B流程、交易和關系的軟件。IBM Cognos Controller是一套商業智能與計劃解決方案。IBM Campaign（前稱Unica Campaign）是一套用于幫助營銷人員設計、執行、衡量和優化營銷廣告的管理解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意命令。

CNVD收錄的相關漏洞包括：IBM API Connect信息泄露漏洞（CNVD-2019-18508）、IBM WebSphere ApplicationServer ND遠程代碼執行漏洞、IBM Maximo AssetManagement CSV注入漏洞、IBM Marketing Platform信息泄露漏洞、IBM Sterling B2B Integrator信息泄露漏洞（CNVD-2019-18838）、IBM Cognos Controller信息泄露漏洞（CNVD-2019-18843）、IBM Maximo AssetManagement信息泄露漏洞（CNVD-2019-18848）、IBM Campaign任意下載漏洞。其中，“IBM WebSphere ApplicationServer ND遠程代碼執行漏洞、IBM Maximo AssetManagement CSV注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Video Surveillance Manager是一款視頻監控管理器。Cisco RV110W是一款Wireless-N VPN防火墻路由器。Cisco RV130W是一款Wireless-N多功能VPN路由器Cisco RV215W是一款Wireless-N VPN路由器。Cisco Integrated Management Controller（IMC）是一套用于對UCS（統一計算系統）進行管理的軟件。Cisco Prime Service Catalog（PSC）是一套通過單一的門戶網站提供所有IT服務的服務目錄解決方案。Cisco Meeting Server是視頻會議解決方案Cisco Email Security Appliance（ESA）是一個電子郵件安全設備。Cisco Security Manager（CSM）是一套企業級的管理應用。Cisco StarOS是一套路由器操作系統，可控制整個系統邏輯，可控制進程和CLI。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問敏感信息，以root權限執行任意的命令,造成拒絕服務（消耗可用資源）。

CNVD收錄的相關漏洞包括：Cisco Video SurveillanceManager信息泄露漏洞、Cisco RV110W、RV130W、RV215W管理界面拒絕服務漏洞、Cisco Integrated Management Controller操作系統命令注入漏洞、Cisco Prime Service Catalog跨站請求偽造漏洞（CNVD-2019-18752）、Cisco Meeting Server CLI命令注入漏洞、Cisco Email Security Appliance AsyncOS Software遠程安全繞過漏洞、Cisco Security Manager XML外部實體注入漏洞、Cisco StarOS拒絕服務漏洞。其中，“Cisco RV110W、RV130W、RV215W管理界面拒絕服務漏洞、Cisco Prime ServiceCatalog跨站請求偽造漏洞（CNVD-2019-18752）、Cisco StarOS拒絕服務漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Campaign Classic（ACC）是一套跨渠道客戶體驗營銷平臺。Adobe ColdFusion是一套快速應用程序開發平臺。Adobe Acrobat是一款PDF編輯軟件。Adobe Reader(也被稱為Acrobat Reader)是一款PDF文件閱讀軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Campaign Classic信息泄露漏洞（CNVD-2019-18621、CNVD-2019-18623）、Adobe Campaign Classic命令注入漏洞、Adobe ColdFusion安全繞過漏洞（CNVD-2019-18625）、Adobe ColdFusion命令注入漏洞、Adobe Acrobat/Reader內存錯誤引用漏洞（CNVD-2019-18853、CNVD-2019-18852、CNVD-2019-18854）。其中，除“Adobe Campaign Classic信息泄露漏洞（CNVD-2019-18621、CNVD-2019-18623）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft Edge是一款Windows 10之后版本系統附帶的Web瀏覽器。ChakraCore是使用在Edge瀏覽器中的一個開源的ChakraJavaScript腳本引擎的核心部分，也可作為單獨的JavaScript引擎使用。Microsoft Internet Explorer（IE）是一款Windows操作系統附帶的Web瀏覽器。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，執行任意代碼，造成拒絕服務等。

CNVD收錄的相關漏洞包括：Microsoft Windows IISServer拒絕服務漏洞、Microsoft Edge安全功能繞過漏洞（CNVD-2019-18613）、Microsoft Windows Event Viewer信息泄露漏洞、Microsoft Internet Explorer遠程代碼執行漏洞（CNVD-2019-18615）、Microsoft Windows拒絕服務漏洞（CNVD-2019-18614）、Microsoft Edge和ChakraCore緩沖區溢出漏洞（CNVD-2019-18617）、Microsoft Internet Explorer和Edge信息泄露漏洞（CNVD-2019-18616）、Microsoft InternetExplorer和Edge腳本引擎遠程內存破壞漏洞。其中，“Microsoft InternetExplorer遠程代碼執行漏洞（CNVD-2019-18615）、Microsoft Edge和ChakraCore緩沖區溢出漏洞（CNVD-2019-18617）、Microsoft Internet Explorer和Edge腳本引擎遠程內存破壞漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Teltonika RUT950拒絕服務漏洞

Teltonika RUT950是一款LET路由器產品。Teltonika RUT950被披露存在拒絕服務漏洞。攻擊者可利用該漏洞造成拒接服務（占用內存及可用空間）。

小結

上周，IBM被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意命令。此外，Cisco、Adobe、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞訪問敏感信息，以root權限執行任意的命令，造成拒絕服務等。TeltonikaRUT950被披露存在拒絕服務漏洞。攻擊者可利用該漏洞造成拒接服務（占用內存及可用空間）。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工信部網站、中國互聯網金融協會、中國證券網、法制網、中國信息安全、中國信通院、金卡生活報道

責任編輯：韓希宇