國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞505個，互聯網上出現“YzmCMS跨站請求偽造漏洞（CNVD-2019-33085）、WordPress yawpp插件跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

《個人金融信息保護試行辦法》出爐 已在征求意見中

銀行將根據該辦法的要求，對提供業務數據的第三方機構進行摸排。對于不能保證數據來源合法的數據供應商，要停止合作。>>詳細

App信息安全“大考”在即 金融支付企業如何合規？

在風控體系中，通過讀取用戶通訊錄、通話記錄判斷賬戶真實性一度是金融支付機構的常用手段，特別在網貸App中，用戶通訊錄更是成為催收利器。>>詳細

網絡安全引發社會聚焦：金融大數據行業亟待治理合規

在數據安全成為風口的當下，此次政策紅利的引導，將進一步助力網絡安全行業快速發展。>>詳細

刷臉付叫好不叫座，消費者和商家均擔心風險大不愿用

消費者和商家在感到新鮮、好奇的同時也發現，這一設備利用率較低，體驗也沒有二維碼支付好，還存在個人信息泄露的風險。>>詳細

注意！微信支付寶綁定銀行卡的，趕緊刪了手機里這些“照片”！

自從移動支付出現以后，我們使用銀行卡的頻率越來越低，都習慣了將銀行卡和手機綁定去消費。>>詳細

無卡號+動態碼就安全嗎？Apple Card同樣有克隆盜刷風險

雖然理論上這樣的設計不容易被克隆和盜刷，但事實上它依然和傳統信用卡或者借記卡一樣容易受到克隆的影響。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年9月23日-29日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞505個，其中高危漏洞126個、中危漏洞327個、低危漏洞52個。漏洞平均分值為5.62。上周收錄的漏洞中，涉及0day漏洞171個（占34%），其中互聯網上出現“YzmCMS跨站請求偽造漏洞（CNVD-2019-33085）、WordPress yawpp插件跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Huawei產品安全漏洞

Huawei P30是一款智能手機。Huawei Mate RS是一款智能手機。Huawei PCManager是一套電腦管理軟件。Huawei CloudEngine 6800是一款面對數據中心的6800系列萬兆以太網交換機。Huawei Emily-L29C是一款智能手機。Huawei P20是一款智能手機。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞繞過FRP功能并獲取權限，導致程序崩潰或執行任意代碼等。

CNVD收錄的相關漏洞包括：Huawei P30整形溢出漏洞（CNVD-2019-33477、CNVD-2019-33478）、Huawei Mate RS鎖屏繞過漏洞、Huawei PCManager代碼執行漏洞、Huawei CloudEngine 6800鑒權不當漏洞、Huawei Emily-L29C重釋放漏洞、Huawei P20 FRP安全繞過漏洞、Huawei Emily-L29C FRP繞過漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

MicrosoftWindows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft Internet Explorer（IE）是一款Windows操作系統附帶的Web瀏覽器。上周，上述產品被披露存在提權和遠程代碼執行漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，造成內存破壞。

CNVD收錄的相關漏洞包括：Microsoft Windows和Windows Server遠程代碼執行漏洞、Microsoft Windows kernelimage提權漏洞、Microsoft Windows和Windows Server提權漏洞（CNVD-2019-33312、CNVD-2019-33319、CNVD-2019-33320）、Microsoft Windows Kernel提權漏洞（CNVD-2019-33327）、Microsoft DirectX提權漏洞、Microsoft Internet Explorer遠程代碼執行漏洞（CNVD-2019-33597）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

ApacheTapestry是一款使用Java語言編寫的Web應用程序框架。Apache OFBiz是一套企業資源計劃（ERP）系統。Apache Commons Compress是一個用于處理壓縮文件的庫。Apache VCL是一套開源的云計算平臺。Apache httpd是一款專為現代操作系統開發和維護的開源HTTP服務器。Apache PDFBox是一款基于Java語言的開源工具庫。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，造成拒絕服務（崩潰）等。

CNVD收錄的相關漏洞包括：Apache Tapestry代碼問題漏洞、Apache OFBiz代碼執行漏洞、Apache OFBizjava.io.ObjectInputStream反序列化代碼執行漏洞、Apache httpd mod_http2拒絕服務漏洞、Apache Commons Compress拒絕服務漏洞、Apache VCL輸入驗證錯誤漏洞、Apache httpd緩沖區溢出漏洞（CNVD-2019-33835）、Apache PDFBox代碼問題漏洞。其中，除“Apache Commons Compress拒絕服務漏洞、Apache httpd緩沖區溢出漏洞（CNVD-2019-33835）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Security Key Lifecycle Manager（Tivoli Key Lifecycle Manager）是一套密鑰生命周期管理軟件。IBM DB2是一套關系型數據庫管理系統。IBM Cognos Analytics一套商業智能軟件。IBM API Connect（APIConnect）是一套用于管理API生命周期的集成解決方案。IBM Cognos Analytics是一套商業智能軟件。IBM Spectrum Protect Plus是一套數據保護平臺。IBM MQ（IBMWebSphere MQ）是一款消息傳遞中間件產品。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼，造成拒絕服務等。

CNVD收錄的相關漏洞包括：IBM Security Key LifecycleManager信息泄露漏洞（NVD-C-2019-137712）、IBM DB2緩沖區溢出漏洞（CNVD-2019-33768）、IBM Cognos Analytics拒絕服務漏洞、IBM DB2 High Performance Unload load for LUW權限許可和訪問控制問題漏洞、IBM API Connect訪問控制錯誤漏洞、IBM Cognos Analytics路徑遍歷漏洞、IBM Spectrum Protect Plus權限許可和訪問控制問題漏洞（CNVD-2019-33776）、IBM MQ權限許可和訪問控制問題漏洞。其中，除“IBM Security Key Lifecycle Manager信息泄露漏洞（NVD-C-2019-137712）、IBM Cognos Analytics路徑遍歷漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

LG GAMP-7100、GAPM-7200和GAPM-8000信息泄露漏洞

LG GAMP-7100等都是韓國樂金（LG）公司的一款路由器。上周，LG GAMP-7100、GAPM-7200和GAPM-8000被披露存在信息泄露漏洞。未授權的攻擊者可利用漏洞獲取受影響組件敏感信息。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Huawei產品被披露存在多個漏洞，攻擊者可利用漏洞繞過FRP功能并獲取權限，導致程序崩潰或執行任意代碼等。此外，Microsoft、Apache、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼，造成拒絕服務等。另外，LG GAMP-7100、GAPM-7200和GAPM-8000被披露存在信息泄露漏洞。未授權的攻擊者可利用漏洞獲取受影響組件敏感信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、央視財經、央廣網、億歐網、移動支付網、cnBeta、消金界報道

責任編輯：韓希宇