國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞395個，互聯網上出現“wolfSSL緩沖區過讀漏洞、Encode OSS Uvicorn注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

國家互聯網應急中心（CNCERT）發布《2019年中國互聯網網絡安全報告》

《2019年中國互聯網網絡安全報告》內容涵蓋我國互聯網網絡安全態勢分析、網絡安全監測數據分析、網絡安全事件案例詳解、網絡安全政策和技術動態等多個方面。>>詳細

工信部發布《電信和互聯網行業數據安全標準體系建設指南（征求意見稿）》

為進一步聽取社會各界意見，現予以公示，公示截止日期2020年9月10日。>>詳細

圖解｜一份青少年暑期上網安全指南“拍了拍”你 請查看

加強個人信息保護。完善線上賬戶保護設置，切實保護好個人信息，盡可能地避免信息泄露問題。>>詳細

【提高警惕】防范對公電信詐騙，打擊洗錢違法犯罪！

從案發情況來看，這些不法分子在開戶時往往存在一些特征，可利用這些特征進行初步甄別，提高警惕。>>詳細

【安全課堂】工行拍了拍你，遞上網游防騙貼士

不法分子以低價出售或高價收購游戲裝備/賬號等噱頭誘導玩家進行交易，并在過程中，以發送虛假鏈接等方式盜取玩家賬號、個人信息并騙取錢財。>>詳細

解析新版《個人信息安全規范》中的個人信息保護負責人制度

即將于2020年10月1日生效的《信息安全技術個人信息安全規范》針對個人信息保護負責人的規定，較舊版規范而言更為具體且務實。>>詳細

個人信息泄露屢禁不止，43.1萬家信息安全相關企業入局

今年以來，行業發展更為迅猛，1-6月信息安全相關企業總注冊量達到10萬家，同比增長107%。>>詳細

關于國家標準《信息安全技術 關鍵信息基礎設施安全防護能力評價方法》征求意見稿征求意見的通知

經標準編制單位的辛勤努力，現已形成國家標準《信息安全技術 關鍵信息基礎設施安全防護能力評價方法》征求意見稿。>>詳細

安全威脅播報

上周漏洞基本情況

上周（8月3日-9日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞395個，其中高危漏洞120個、中危漏洞214個、低危漏洞61個。漏洞平均分值為5.94。上周收錄的漏洞中，涉及0day漏洞184個（占47%），其中互聯網上出現“wolfSSL緩沖區過讀漏洞、Encode OSS Uvicorn注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Magento是美國Adobe公司的一套開源的PHP電子商務系統。Adobe Download Manager是一款用于管理和下載Adobe產品的應用程序。Adobe Media Encoder是一款音、視頻編碼應用程序。Adobe Creative Cloud Desktop Application是一套用于在Creative云會員管理中心管理應用程序和服務的應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞寫入任意文件系統，提升權限，執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Magento Commerce和Magento Open Source跨站腳本漏洞、Adobe Magento Commerce和MagentoOpen Source路徑遍歷漏洞、Adobe Download Manager注入漏洞、Adobe Media Encoder越界寫入漏洞（CNVD-2020-44850、CNVD-2020-44851）、Adobe Creative Cloud Desktop Application后置鏈接漏洞（CNVD-C-2020-154995、CNVD-2020-44854）、Adobe Creative Cloud Desktop Application不安全文件權限漏洞。其中，除 “Adobe Media Encoder越界寫入漏洞（CNVD-2020-44850、CNVD-2020-44851）” 外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Verify Gateway（IVG）是美國IBM公司的一套基于云的身份驗證解決方案。IBM WebSphere ApplicationServer（WAS）是一款應用服務器產品。IBM Cognos Analytics是一套商業智能軟件。IBM UrbanCode Deploy（UCD）是一套應用自動化部署工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取信息，執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：IBM Verify Gateway (IVG)帳戶鎖定設置不當漏洞、IBM Verify Gateway (IVG)拒絕服務漏洞、IBM Verify Gateway (IVG)敏感信息明文傳輸泄露漏洞、IBM Verify Gateway (IVG)硬編碼憑據漏洞、IBM WebSphere Application Server跨站腳本漏洞（CNVD-2020-44626）、IBM Cognos Analytics權限提升漏洞、IBM UrbanCode Deploy代碼問題漏洞、IBM Cognos Analytics XML外部實體注入漏洞。其中，“IBM Verify Gateway (IVG)硬編碼憑據漏洞、IBM WebSphere Application Server跨站腳本漏洞（CNVD-2020-44626）、IBM UrbanCode Deploy代碼問題漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國Google公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限，執行任意代碼。

CNVD收錄的相關漏洞包括：Google Android MediaTek組件權限提升漏洞（CNVD-2020-44361、CNVD-2020-44360、CNVD-2020-44359）、Google Android System權限提升漏洞（CNVD-2020-44366、CNVD-2020-44367）、Google Android Media Framework權限提升漏洞（CNVD-2020-44368）、Google Android Framework權限提升漏洞（CNVD-2020-44375、CNVD-2020-44376）。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Data Center Network Manager（DCNM）是美國思科（Cisco）公司的一套數據中心管理系統。Cisco SD-WAN vManage Software是一款用于SD-WAN（軟件定義廣域網絡）解決方案的管理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼等。

CNVD收錄的相關漏洞包括：Cisco Data Center NetworkManager信任管理問題漏洞、Cisco SD-WAN vManageSoftware授權問題漏洞（CNVD-2020-44061）、Cisco Data Center Network Manager授權問題漏洞、Cisco Data Center Network Manager輸入驗證錯誤漏洞、Cisco Data Center Network Manager命令注入漏洞、Cisco Data Center Network Manager操作系統命令注入漏洞、Cisco Data Center Network Manager SQL注入漏洞、Cisco Data Center Network Manager訪問控制錯誤漏洞（CNVD-2020-44067）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Red Hat CloudForms操作系統命令注入漏洞

Red Hat CloudForms是美國紅帽（Red Hat）公司的一套混合基礎架構管理平臺。上周，Red Hat CloudForms被披露存在操作系統命令注入漏洞。該漏洞源于外部輸入數據構造操作系統可執行命令過程中，網絡系統或產品未正確過濾其中的特殊字符、命令等。攻擊者可利用該漏洞執行非法操作系統命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞寫入任意文件系統，提升權限，執行任意代碼等。此外，IBM、Google、Cisco等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取信息，提升權限，執行任意代碼，導致拒絕服務等。另外，Red Hat CloudForms被披露存在操作系統命令注入漏洞。攻擊者可利用該漏洞執行非法操作系統命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工信部、信安標委、中國網信網、工銀融e行、上行快線報道

責任編輯：韓希宇