國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞527個，互聯網上出現“Spotweb跨站腳本漏洞、Gila CMS SQL注入漏洞（CNVD-2021-84282）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

央行行長易綱：推動數字人民幣與現有電子支付工具間的交互，實現安全與便捷的統一

數字人民幣在匿名性方面采取“小額匿名，大額依法可溯”的原則，在收集個人信息時遵循“最少、必要”原則，采集的信息量少于現有電子支付工具。>>詳細

中國互金協會陸書春： 加強個人信息保護責任意識補短板、強弱項、堵漏洞

在金融科技發展取得積極成效的同時，數據安全、個人信息保護相關制度逐步落地。>>詳細

個保法落地后 金融機構將面臨怎樣的合規挑戰？

銀行等金融機構的業務與個人信息息息相關，個保法的正式實施將會對金融機構帶來怎樣的合規挑戰？>>詳細

銀行業隱私計算布局思考 應著眼數據要素流通前景

隨著《數據安全法》和《個人信息保護法》步入實施階段，銀行數據安全管理需求日益增強。目前，各銀行高度關注隱私計算技術，以期其破解數據利用與安全保護難題。>>詳細

從高速增長到優質發展，數字安全企業助力保險行業數字化轉型

可信簽約及司法平臺將有助于在保險行業中形成基礎的電子數據可信環境，將來不管是線上投保業務，還是供應商業務和代理商合同等，各個細分領域業務都可以按照這樣的實踐方式、整體模式去進行適配，幫助保險企業在數字化轉型過程中兼顧安全與合規。>>詳細

《個人信息保護法》正式實施，CFCA助力企業在合規道路上一騎絕塵！

CFCA根據中國人民銀行要求，以《方法》、《JR/T0092-2019 移動金融客戶端應用軟件安全管理規范》等規范為依據，對金融類移動客戶端軟件展開合規性檢測工作。>>詳細

我國SM9密鑰交換協議正式成為ISO/IEC國際標準

SM9密鑰交換協議用于通信雙方基于對方的標識實現會話密鑰協商，具有運算效率高、算法安全模式實現靈活等特點。>>詳細

中央網信辦等部門聯合印發《關于開展IPv6技術創新和融合應用試點工作的通知》

IPv6關鍵技術創新、應用創新、服務創新、管理創新持續突破，IPv6標準體系更加完善，基本形成IPv6技術創新生態體系。>>詳細

“雙11”詐騙又有新手段 監管層提醒消費者支付安全

“雙11”期間，眾多商家為了造勢，會預售部分商品。同時，通過派發紅包的形式為消費者提供優惠，這也給部分違法分子提供了欺詐途徑。據悉，今年“雙11”期間，虛擬紅包騙局的數量增長明顯。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年11月1日-7日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞527個，其中高危漏洞127個、中危漏洞340個、低危漏洞60個。漏洞平均分值為5.63。上周收錄的漏洞中，涉及0day漏洞253個（占48%），其中互聯網上出現“Spotweb跨站腳本漏洞、Gila CMS SQL注入漏洞（CNVD-2021-84282）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Huawei產品安全漏洞

Huawei Emui是一款基于Android開發的移動端操作系統。Magic Ui是一款基于Android開發的移動端操作系統。Huawei Imanager NetEco是一款專業的能源基礎設施管理平臺。Huawei FusionCompute是一款計算機虛擬化引擎。該產品提供虛擬資源管理器（VRM）和計算節點代理（CNA）等。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞提升權限，導致系統重新啟動，執行惡意代碼等。

CNVD收錄的相關漏洞包括：Huawei Emui和Magic UI代碼注入漏洞、Huawei Emui和Magic UI競爭條件漏洞（CNVD-2021-83527）、Huawei Emui和Magic UI篡改內核漏洞（CNVD-2021-83525、CNVD-2021-83528）、Huawei Emui和Magic UI內核崩潰漏洞、Huawei iManager NetEco不正確簽名管理漏洞、Huawei Emui和Magic UI內存越界訪問漏洞、Huawei FusionCompute產品命令注入漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Premiere Elements是一款視頻編輯軟件應用程序。Adobe Animate是一款多媒體創作和計算機動畫程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Premiere Elements內存越界訪問漏洞（CNVD-2021-82408、CNVD-2021-82411、CNVD-2021-82407、CNVD-2021-82410、CNVD-2021-82409）、Adobe Animate越界寫入漏洞（CNVD-2021-84298、CNVD-2021-84301、CNVD-2021-84300）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Sterling B2B Integrator是一個交易引擎，是一套根據您的業務需求運行您定義和管理的流程的組件。IBM Sterling File Gateway是一款用于在內部和外部合作伙伴之間傳輸文件的應用程序，可讓您更加安全可靠地與貿易伙伴進行文件傳輸。IBM Data Risk Manager是一款數據風險管理器。IBM Jazz Team Server是一個應用服務器。提供了基礎服務，這些服務使一組工具可以作為單個邏輯服務器一起工作，并且包括提供工具特定功能的任意數量的Jazz Team Server Extensions。IBM InfoSphere Information Server是一套數據整合平臺。該平臺可用于整合各種渠道獲取的數據信息。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞執行從網站信任的用戶傳輸的惡意和未經授權的操作，解密高度敏感的信息，導致拒絕其他用戶的服務等。

CNVD收錄的相關漏洞包括：IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2021-82418）、IBM Sterling B2B Integrator跨站請求偽造漏洞（CNVD-2021-82420）、IBM Sterling File Gateway授權問題漏洞、IBM Sterling File Gateway拒絕服務漏洞、IBM Sterling File Gateway代碼問題漏洞、IBM Data Risk Manager加密問題漏洞、IBM Jazz Team Server權限提升漏洞、IBM InfoSphere Information Server跨站請求偽造漏洞（CNVD-2021-84239）。其中，“IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2021-82418）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

NETGEAR產品安全漏洞

NETGEAR是美國網件（Netgear）公司的一款路由器。連接兩個或多個網絡的硬件設備，在網絡間起網關的作用。GC108P等都是智能交換機產品。Netgear genie是一個將自己呈現為儀表板的程序。NETGEAR JNR1010等都是一款無線路由器。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞執行系統命令，導致惡意文件創建以及權限提升等。

CNVD收錄的相關漏洞包括：NETGEAR代碼注入漏洞、多款NETGEAR設備命令注入漏洞（CNVD-2021-83557、CNVD-2021-83563）、NETGEAR多款產品命令注入漏洞、NETGEAR多款智能交換機存在輸入驗證錯誤漏洞、多種NETGEAR交換機存在授權問題漏洞、NETGEAR genie代碼問題漏洞、多款NETGEAR產品授權問題漏洞（CNVD-2021-83565）。其中，“NETGEAR代碼注入漏洞、多種NETGEAR交換機存在授權問題漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Tenda AC-10U緩沖區溢出漏洞

Tenda AC-10U是中國騰達（Tenda）公司的一款無線路由器。上周，Tenda AC-10U AC1200路由器被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞通過goform/SetSysTimeCfg的timeZone參數執行任意代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Huawei產品被披露存在多個漏洞，攻擊者可利用該漏洞提升權限，導致系統重新啟動，執行惡意代碼等。此外，Adobe、IBM、NETGEAR等多款產品被披露存在多個漏洞，攻擊者可利用該漏洞執行從網站信任的用戶傳輸的惡意和未經授權的操作，執行系統命令，解密高度敏感的信息，導致惡意文件創建以及權限提升等。另外，AC1200路由器被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞通過goform/SetSysTimeCfg的timeZone參數執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、央行官網、21世紀經濟報道、金融時報、證券日報、網信中國、國家密碼管理局報道

責任編輯：韓希宇