國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞488個，互聯網上出現“Joomla! configuration.php文件RCE漏洞、Zoho ManageEngineOpManager SQL注入漏洞（CNVD-2019-34852） ”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

院士何積豐：構建安全可信的人工智能

數據隱私種類不同，如果在特定領域大量數據被出售，那么可能會牽涉國家安全，而且數據隱私問題的級別處理相差很大，大數據存在被濫用的跡象。>>詳細

世界互聯網大會組委會發布《攜手構建網絡空間命運共同體》概念文件

《攜手構建網絡空間命運共同體》積極回應各方期待，全面闡釋“構建網絡空間命運共同體”理念的時代背景、基本原則、實踐路徑和治理架構，倡議國際社會攜手合作，共謀發展福祉，共迎安全挑戰。>>詳細

公安部：封停部分電詐嚴重區的微信、支付寶、POS機

《通告》指出，針對中緬邊境地區電信網絡詐騙犯罪活動猖獗、嚴重侵害人民群眾財產安全的情況，國務院打擊治理電信網絡新型違法犯罪工作部際聯席會議辦公室正在組織開展專項打擊行動。>>詳細

NatWest首次推出生物識別信用卡 交易金額最高為100英鎊

NatWest銀行此前曾試用過生物識別儲蓄卡而這次將是首次發行信用卡。>>詳細

“誰”在保護你手機里的錢

為打造一把網絡世界的新安全鑰匙，FIDO技術應運而生。>>詳細

要上云，還要實現高安全級別……業務系統：我太難了！

系統“上云”后，將無法使用任何外接硬件設備，如何還能安全高效地實現密碼應用？這一問題正在變得日益凸顯，甚至一定程度上阻礙了國內云計算產業的發展。>>詳細

滴～安心卡，賬戶安全保障計劃來了！

賬戶安全保障計劃是指在一定額度內保障客戶因遭遇手機、銀行卡失竊、盜用、木馬等情形而通過線上或線下交易渠道發生本人名下本行賬戶資金損失的風險補償。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年9月30日-10月13日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞488個，其中高危漏洞116個、中危漏洞322個、低危漏洞50個。漏洞平均分值為5.82。上周收錄的漏洞中，涉及0day漏洞157個（占32%），其中互聯網上出現“Joomla! configuration.php文件RCE漏洞、Zoho ManageEngineOpManager SQL注入漏洞（CNVD-2019-34852） ”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

泛微e-cology OA系統Wo***接口存在SQL注入漏洞

泛微協同管理應用平臺（e-cology）是一套兼具企業信息門戶、知識管理、數據中心、工作流管理、人力資源管理、客戶與合作伙伴管理、項目管理、財務管理、資產管理功能的協同商務平臺。上周，該產品被披露存在SQL注入漏洞。攻擊者可利用漏洞獲取數據庫敏感信息。

CNVD收錄的相關漏洞包括：泛微e-cology OA系統Wo***接口存在SQL注入漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商尚未發布上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。ChakraCore是使用在Edge瀏覽器中的一個開源的ChakraJavaScript腳本引擎的核心部分，也可作為單獨的JavaScript引擎使用。Microsoft Edge是一款Windows 10之后版本系統附帶的Web瀏覽器。Microsoft SharePoint是一套企業業務協作平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼等。

CNVD收錄的相關漏洞包括：Microsoft Windows和Windows Server輸入驗證錯誤漏洞、Microsoft Windows和Windows Server Jet Database Engine遠程代碼執行漏洞、Microsoft Windows和Windows Server提權漏洞（CNVD-2019-34581）、Microsoft Windows和Windows Server遠程執行代碼漏洞、Microsoft Windows Hyper-V遠程執行代碼漏洞（CNVD-2019-34587）、Microsoft Windows Jet Database Engine遠程代碼執行漏洞（CNVD-2019-34741）、Microsoft Edge和ChakraCore內存破壞漏洞（CNVD-2019-34742）、Microsoft SharePoint權限提升漏洞（CNVD-2019-34774）。其中，除“Microsoft SharePoint權限提升漏洞（CNVD-2019-34774）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Firepower Management Center（FMC）是美國思科（Cisco）公司的新一代防火墻管理中心軟件。上周，上述產品被披露存在SQL注入漏洞，攻擊者可通過發送特制的SQL查詢利用該漏洞查看信息并在底層操作系統中執行命令。

CNVD收錄的相關漏洞包括：Cisco Firepower ManagementCenter SQL注入漏洞（CNVD-2019-34714、CNVD-2019-34719、CNVD-2019-34731、CNVD-2019-34732、CNVD-2019-34736、CNVD-2019-34733、CNVD-2019-34737、CNVD-2019-34738）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國Google公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在信息泄露和拒絕服務漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，導致拒絕服務。

CNVD收錄的相關漏洞包括：Google Android拒絕服務漏洞（CNVD-2019-34131、CNVD-2019-34133）、Google Android信息泄露漏洞（CNVD-2019-34132、CNVD-2019-34134、CNVD-2019-34398、CNVD-2019-34399、CNVD-2019-34400）、Google Android VPN信息泄露漏洞。其中，“Google Android拒絕服務漏洞（CNVD-2019-34131）、Google Android VPN信息泄露漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle Fusion Middleware（Oracle融合中間件）是一套面向企業和云環境的業務創新平臺。Oracle GraalVM是一套使用Java語言編寫的即時編譯器。Oracle HospitalityApplications是一套用于酒店管理的業務應用程序、服務器和存儲解決方案。Oracle Hyperion是一套財務建模應用軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞影響數據的保密性、完整性和可用性。

CNVD收錄的相關漏洞包括：Oracle Fusion MiddlewareBI Publisher組件信息泄露漏洞、Oracle Fusion MiddlewareHTTP Server組件訪問控制錯誤漏洞、Oracle Fusion MiddlewareIdentity Manager組件訪問控制錯誤漏洞、Oracle GraalVM訪問控制錯誤漏洞、Oracle Hospitality Applications Hospitality Suite8組件信息泄露漏洞、Oracle Hyperion Hyperion Planning組件訪問控制錯誤漏洞、Oracle Fusion Middleware BI Publisher信息泄露漏洞、Oracle Fusion Middleware SOA Suite 訪問控制錯誤漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Linear eMerge 50P/5000P文件上傳漏洞

Linear eMerge 50P/5000P是Nortek Security＆Control推出的通過瀏覽器管理的門禁安全系統。上周，Linear eMerge 50P/5000P被披露存在文件上傳漏洞。攻擊者可利用該漏洞將具有任意擴展名的文件上傳到應用程序的Web根目錄中的目錄，并以Web服務器的權限執行上傳的文件。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，泛微e-cology OA系統Wo***接口被披露存在SQL注入漏洞，攻擊者可利用漏洞獲取數據庫敏感信息。此外，Microsoft、Cisco、Google、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，提升權限，執行任意代碼，導致拒絕服務等。另外，Linear eMerge 50P/5000P被披露存在文件上傳漏洞。攻擊者可利用該漏洞將具有任意擴展名的文件上傳到應用程序的Web根目錄中的目錄，并以Web服務器的權限執行上傳的文件。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、世界互聯網大會官網、信息安全與通信保密、浦發銀行、移動支付網、太平洋電腦網報道

責任編輯：韓希宇