國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞295個，互聯網上出現“OpenCart跨站腳本漏洞（CNVD-2020-75516）、IncomCMS文件上傳漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

量子通信走向民用：國內首款量子安全通話SIM卡面市

“量子密話”傳輸的是“用后廢棄”的量子密鑰，而非信息載體本身。用戶每次發起“量子密話”時，通話會隨機抽取芯片內的一個量子密鑰與后臺建立連接、校驗身份信息，認證通過后，再另外實時生成一個新密鑰作為會話密鑰。>>詳細

零信任：網絡安全的新“邊界”

現有傳統的訪問驗證模型只需知道IP地址或者主機信息等即可，但在“零信任”模型中，需要更加明確的信息才可以，不知道用戶身份或者不清楚授權途徑的請求一律拒絕。>>詳細

央行正式頒發獎狀！CFCA多項目榮獲銀行科技發展獎

中國人民銀行在官網對2019年度銀行科技發展獎獲獎項目進行了公示。中國金融認證中心（CFCA）多個項目憑借在金融科技領域的優異表現，喜提三項大獎。>>詳細

關于發布《網絡安全標準實踐指南—人工智能倫理安全風險防范指引》的通知

為防范人工智能倫理安全風險，秘書處組織編制了《網絡安全標準實踐指南—人工智能倫理安全風險防范指引》，為組織或個人開展人工智能研究開發、設計制造、部署應用等相關活動提供指引。>>詳細

【商教授小課堂】拒絕高利誘惑，遠離非法集資

切莫輕易相信網絡上“高回報、高收益”的虛假宣傳，提高防范意識，避免在非正規的平臺上進行投資理財等網絡交易。>>詳細

【信息安全】信息安全電子月刊

為保護公司及個人的信息安全，即使在出差或者旅游的過程中，我們也應注意以下幾個方面。>>詳細

防范網絡投資詐騙，小知識速速get起來！

認真學習金融知識，遠離網絡投資，提升支付安全意識，保護您和家人的財產安全。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2020年12月28日-2021年1月3日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞295，其中高危漏洞116個、中危漏洞152個、低危漏洞27個。漏洞平均分值為5.92。上周收錄的漏洞中，涉及0day漏洞174個（占59%），其中互聯網上出現“OpenCart跨站腳本漏洞（CNVD-2020-75516）、IncomCMS文件上傳漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）和開放手持設備聯盟（簡稱oha）的一套以Linux為基礎的開源操作系統。Google TensorFlow是一套用于機器學習的端到端開源平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，導致應用崩潰等。

CNVD收錄的相關漏洞包括：Google Android資源管理錯誤漏洞（CNVD-2020-75039、CNVD-2020-75040）、Google Android緩沖區溢出漏洞（CNVD-2020-75048、CNVD-2020-75052）、Google Android信息泄露漏洞（CNVD-2020-75051）、Google Android權限提升漏洞（CNVD-2020-75053）、Google TensorFlow緩沖區溢出漏洞（CNVD-2021-00089、CNVD-2021-00091）。目前，廠商已經發布了上述漏洞的修補程序。

Dell產品安全漏洞

Dell EMC Unisphere for PowerMax是一套針對PowerMax存儲陣列的圖形化管理工具。Dell Dell EMC iDRAC9是一套包含硬件和軟件的系統管理解決方案。Dell BSAFE Micro Edition Suite是一個可為c/c++應用、設備、系統提供加密、證書和傳輸層安全性的開發工具包。Dell EMC NetWorker是一套統一備份和恢復軟件。Dell EMC Isilon OneFS和EMCPowerScale OneFS都是美國戴爾（Dell）公司的一套適用于非結構化數據的橫向擴展存儲系統。Dell PowerProtect DataManager是一套數據保護解決方案。PowerProtect X400是一款數據管理設備。Dell Encryption是一套數據保護解決方案。Dell Endpoint Security Suite是一套網絡安全套件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，訪問未經授權的文件，在網站的上下文中運行JavaScript代碼等。

CNVD收錄的相關漏洞包括：Dell EMC Unisphere forPowerMax跨站腳本漏洞、DELL Dell EMC iDRAC9跨站腳本漏洞、Dell BSAFE Micro Edition Suite緩沖區溢出漏洞、Dell EMC NetWorker不當授權漏洞、Dell EMC Isilon OneFS和EMC PowerScale OneFS權限提升漏洞、Dell EMC Isilon OneFS和EMCPowerScale文件權限漏洞、Dell PowerProtect DataManager和PowerProtect X400授權問題漏洞、Dell Encryption和Dell Endpoint SecuritySuite權限提升漏洞。其中，“Dell Encryption和Dell Endpoint Security Suite權限提升漏洞”的綜合評級為“中?！?。目前，廠商已經發布了上述漏洞的修補程序。

SAP產品安全漏洞

SAPSolution Manager是一套集系統監控、SAP支持桌面、自助服務、ASAP實施等多個功能為一體的系統管理平臺。SAP 3D Visual EnterpriseViewer是一款應用軟件。SAP Business Warehouse（BW）是SAP的數據倉庫解決方案。SAP Disclosure Management是一套自動化財務披露管理系統。SAP Identity Management是一套能夠嵌入到業務流程中的身份管理應用程序。SAP Business Objects Business Intelligence Platform是一套商業智能軟件和企業績效解決方案套件。SAP Netweaver是一套面向服務的集成化應用平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息或劫持用戶會話，在應用程序中執行注入的文件或代碼，導致目標主機應用程序崩潰等。

CNVD收錄的相關漏洞包括：SAP Solution Manager開放重定向漏洞、SAP 3D Visual Enterprise Viewer輸入驗證錯誤漏洞（CNVD-2020-74930、CNVD-2020-74931）、SAP Business Warehouse和SAPBW4HANA操作系統命令注入漏洞、SAP Disclosure Management代碼問題漏洞（CNVD-2020-74927）、SAP Identity Management信息泄露漏洞（CNVD-2020-74932）、SAP Business ObjectsBusiness Intelligence Platform注入漏洞、SAP NetWeaver AS ABAP跨站腳本漏洞。其中，“SAP Business Warehouse和SAPBW4HANA操作系統命令注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

F5產品安全漏洞

F5 BIG-IP是一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。F5 BIG-IP ASM是一款Web應用程序防火墻（WAF），它提供安全的遠程接入、保護電子郵件、簡化Web接入控制，同時增強網絡和應用性能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在網站的上下文中運行JavaScript代碼，觸發拒絕服務等。

CNVD收錄的相關漏洞包括：F5 BIG-IP ASM拒絕服務漏洞（CNVD-2020-74859、CNVD-2020-74866）、F5 BIG-IP拒絕服務漏洞（CNVD-2020-74858、CNVD-2020-74870）、F5 BIG-IP跨站腳本漏洞（CNVD-2020-74864）、F5 BIG-IP信息泄露漏洞（CNVD-2020-74865）、F5 BIG-IP安全繞過漏洞、F5 BIG-IP VE資源管理錯誤漏洞。其中，“F5 BIG-IP拒絕服務漏洞（CNVD-2020-74858）、F5 BIG-IP拒絕服務漏洞（CNVD-2020-74870）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

phpList SQL注入漏洞（CNVD-2020-75154）

phpList是英國phpList公司的一套開源的新聞通訊和電子郵件營銷軟件。上周，phpList被披露存在SQL注入漏洞。攻擊者可通過"Config - ImportAdministrators"頁面的第4行屬性利用該漏洞注入SQL查詢。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，導致應用崩潰等。此外，Dell、SAP、F5等多款產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，訪問未經授權的文件，獲取敏感信息或劫持用戶會話，在網站的上下文中運行JavaScript代碼，觸發拒絕服務等。另外，phpList被披露存在SQL注入漏洞。攻擊者可通過"Config- Import Administrators"頁面的第4行屬性利用該漏洞注入SQL查詢。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、信安標委、21世紀經濟報道、第一財經、中國郵政儲蓄銀行、南京銀行、上海農商銀行報道

責任編輯：韓希宇