國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞554個，互聯網上出現“Tenda N301拒絕服務漏洞、Comtrend VR-3033命令注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

GB/T35273-2020《個人信息安全規范》正式發布

《規范》要求在收集個人生物識別信息前，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規則，并征得個人信息主體的明示同意。>>詳細

注意了！疫情期間如何保護個人信息？這些實用技巧送給你

疫情期間，如何保護個人信息？這些實用技巧送給你。>>詳細

網聯加大疫情期間電信詐騙等欺詐活動的監測力度

網聯積極開展以數據為基礎的建模分析工作，聚焦電信詐騙、網絡賭博、非法交易平臺等違法違規行為，開展風險監測，協助成員單位加強風險交易識別及提高金融風險防范能力。>>詳細

315特刊 | 疫情期間個人信息被頻繁收集 隱私保護怎么做

疫情特殊時期，如何保護個人信息安全成為重要且關鍵的問題。>>詳細

數據顯示：男人比女人更易受騙，60后交的“學費”最多！

騰訊守護者計劃聯合招商銀行消費者權益保護中心共同發布了《金融消費者電信網絡詐騙防范情況報告》。>>詳細

“云”審計新探索 零接觸電子函證顯神通

中國金融認證中心（CFCA）電子函證平臺是基于“互聯網+”的函證業務辦理平臺，是全國銀行、會計師事務所、被審計單位的線上共享服務平臺，是促進多方協作的公共基礎服務設施。>>詳細

手機銀行“手機盾”，滿足您的大額轉賬需求

手機銀行轉賬限額不夠用？開通蘭州銀行“手機盾”，讓您的轉賬業務，不再受限！>>詳細

SEC發布金融證券行業網絡安全指導建議

網絡安全防御體系包含的工具、方法、應用、場景和流程極為復雜，對于金融企業來說，有哪些是需要賦予更高優先級的重點工作呢？>>詳細

安全威脅播報

上周漏洞基本情況 

上周（3月2日-8日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞554個，其中高危漏洞197個、中危漏洞271個、低危漏洞86個。漏洞平均分值為6.08。上周收錄的漏洞中，涉及0day漏洞184個（占33%），其中互聯網上出現“Tenda N301拒絕服務漏洞、Comtrend VR-3033命令注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Cisco產品安全漏洞

Cisco FXOS Software是美國思科（Cisco）公司的一套運行在思科安全設備中的防火墻軟件。Cisco IP Conference Phone 7832和Cisco IP Conference Phone 8832等都是IP電話系列產品。Supervisor是一套適用于類Unix系統的過程控制系統。Cisco NX-OS Software是一套交換機使用的數據中心級操作系統軟件。Cisco MDS 9000 Series Multilayer Switches是一款MDS 9000系列多層交換機。Cisco Prime NetworkRegistrar（CPNR）是一款網絡注冊器產品。Cisco IntelligentProximity是一項創新功能集，可讓您通過移動設備實現更豐富的協作體驗。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Cisco IP Phone遠程代碼執行漏洞、Cisco FXOS Software和CiscoUCS Manager Software操作系統命令注入漏洞、Cisco Nexus 1000V Switchfor VMware vSphere資源管理錯誤漏洞、Cisco FXOS Software和Cisco UCS Manager操作系統命令注入漏洞、Cisco NX-OS Software和Cisco FXOS Software輸入驗證錯誤漏洞（CNVD-2020-14813）、Cisco MDS 9000 SeriesMultilayer Switches NX-OS Software拒絕服務漏洞、Cisco Prime Network Registrar跨站請求偽造漏洞、Cisco Intelligent Proximity SSL證書驗證漏洞。其中，除“Cisco FXOS Software和CiscoUCS Manager Software操作系統命令注入漏洞、Cisco FXOS Software和Cisco UCS Manager操作系統命令注入漏洞”外，其余漏洞的綜合評級為“高?！蹦壳?，廠商已經發布了上述漏洞的修補程序。

Apple產品安全漏洞

AppleiOS是為移動設備所開發的一套操作系統。Apple iPadOS是一套用于iPad平板電腦的操作系統。Apple tvOS是一套智能電視操作系統。Apple watchOS是一套智能手表操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，導致堆損壞。

CNVD收錄的相關漏洞包括：多款Apple產品Kernel組件內存破壞漏洞（CNVD-2020-15285、CNVD-2020-15286、CNVD-2020-15570）、多款Apple產品Kernel組件競態條件漏洞、多款Apple產品libxpc組件越界讀取漏洞（CNVD-2020-15293）、多款Apple產品Kernel組件類型混淆漏洞（CNVD-2020-15564）、多款Apple產品libxpc組件內存破壞漏洞（CNVD-2020-15565）、多款Apple產品內存破壞漏洞（CNVD-2020-15566）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

GitLab產品安全漏洞

GitLab是美國GitLab公司的一款使用Ruby on Rails開發的、自托管的、Git（版本控制系統）項目倉庫應用程序。該程序可用于查閱項目的文件內容、提交歷史、Bug列表等。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，更改或刪除其對該問題的評論等。

CNVD收錄的相關漏洞包括：GitLab訪問控制錯誤漏洞（CNVD-2020-15299、CNVD-2020-15494）、GitLab信息泄露漏洞（CNVD-2020-15300、CNVD-2020-15485、CNVD-2020-15488、CNVD-2020-15490、CNVD-2020-15492）、GitLab日志信息泄露漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Dell產品安全漏洞

DELL EMC Isilon是美國戴爾（Dell）公司的一套適用于非結構化數據的橫向擴展存儲系統。OneFS是運行在其中的一套操作系統。Dell EMC iDRAC9是一套包含硬件和軟件的系統管理解決方案。Dell EMC iDRAC7是一套包含硬件和軟件的系統管理解決方案。Dell EMC iDRAC8是一套包含硬件和軟件的系統管理解決方案。Dell KACE部署設備可實現完全集成的系統配置解決方案。Dell EMC OpenManage Server Administrator（OMSA）是一套系統管理解決方案。Dell G3 3579是一款筆記本電腦。ChengMing 3977是一款臺式計算機。Embedded Box PC 5000是一款嵌入式箱式電腦。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，獲取敏感信息，執行任意代碼等。

CNVD收錄的相關漏洞包括：Dell EMC Isilon OneFS授權問題漏洞、Dell EMC iDRAC7、iDRAC8和iDRAC9授權問題漏洞 、Dell KACE SystemsManagement Appliance (K1000)代碼執行漏洞、Dell EMC OpenManage ServerAdministrator web參數篡改漏洞、Dell EMC OpenManage ServerAdministrator XML外部實體（XXE）注入漏洞、多款Dell產品訪問控制錯誤漏洞、Dell EMC iDRAC7、iDRAC8和iDRAC9權限許可和訪問控制漏洞、Dell EMC iDRAC7和iDRAC8錯誤處理漏洞漏洞。其中，“Dell EMC Isilon OneFS授權問題漏洞、Dell KACE Systems Management Appliance (K1000)代碼執行漏洞、多款Dell產品訪問控制錯誤漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Red Hat CloudForms命令執行漏洞

Red Hat CloudForms是美國紅帽（Red Hat）公司的一套混合基礎架構管理平臺。上周，Red Hat CloudForms被披露存在命令執行漏洞。攻擊者可利用該漏洞以root用戶身份執行任意的shell命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Cisco產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，導致拒絕服務等。此外，Apple、GitLab、Dell等多款產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，獲取敏感信息，執行任意代碼，導致堆損壞等。另外，Red Hat CloudForms被披露存在命令執行漏洞。攻擊者可利用該漏洞以root用戶身份執行任意的shell命令。

中國電子銀行網綜合CNVD、網信中國、法制網、移動支付網、蘭州銀行、守護者計劃、安全牛報道

責任編輯：韓希宇