國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞588個，互聯網上出現“News Portal Project SQL注入漏洞（CNVD-2021-102010）、Belloo SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

《國家密碼管理局規章制定程序規定》解讀

制定出臺《規定》，對于進一步貫徹落實《密碼法》等法律法規規定，理順規章制定工作流程，明晰工作職責，確保立法項目高質高效推進十分必要。>>詳細

消保服務 | “方寸卡片中的金融知識”——銀行業向您提示銀行卡爭議正當維權方式

如果您對銀行的某些產品或服務有意見，或自己的合法權益受到侵害，請務必采取正當的方式維權。>>詳細

堅實屏障 | 大家齊努力，共同保護您的個人金融信息

當前個人信息保護的合法合規要求日益明確，為保障客戶信息安全，需要全社會攜手努力，共同推進客戶信息保護工作邁入規范化、法制化軌道。>>詳細

反詐拒賭，安全支付丨防范之弦要緊繃 電信詐騙莫輕信

銀行網點工作人員應在新開戶、加辦電子令牌、升降級、掛失和換卡等需要進行客戶身份識別的業務中加強對客戶的盡職調查。>>詳細

金融行業電子化招標采購，如何保障數字安全？聰明的企業這樣辦

針對CA證書簽發管理環節，CFCA的數字證書在線申請平臺可直接面向供應商提供線上提交申請資料、在線身份自動核驗、在線付款開票、CA證書制作快遞等服務。>>詳細

姣姣課堂 | 個人客戶反洗錢知識點

為避免他人盜用您的名義進行洗錢等犯罪活動，當您開立賬戶、購買金融產品以及其他任何方式與銀行建立業務關系時，需出示有效身份證件，如實填寫身份信息。>>詳細

【手機銀行】數字證書為您的交易保駕

升級后，在您辦理轉賬、貸款等業務過程中，手機銀行將自動識別您的交易環境，并根據您的網絡條件智能化地為您申請數字證書。>>詳細

【以案說險】警惕！投資理財詐騙讓你一夜暴“負”！

騙子在詐騙一開始，會讓你在進行小額投資時會獲取部分收益并成功提現，當你嘗到甜頭后，再引誘你加大資金投入。待你投入大量資金后，騙子會操縱平臺后臺數據，阻止你提現，最終你的錢財卻進入了騙子的“荷包”。電信網絡詐騙就在我們身邊，時刻保護你的錢袋子很重要！>>詳細

反詐宣傳顯成效 興業銀行寧波分行再次堵截一起電信詐騙

興業銀行寧波分行多舉措開展反詐工作，提高群眾的風險防范能力和防范意識，取得了良好的宣傳效果。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年12月20日-26日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞588個，其中高危漏洞203個、中危漏洞303個、低危漏洞82個。漏洞平均分值為5.70。上周收錄的漏洞中，涉及0day漏洞193個（占33%），其中互聯網上出現“News Portal Project SQL注入漏洞（CNVD-2021-102010）、Belloo SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Fortinet產品安全漏洞

Fortinet FortiWeb是美國飛塔（Fortinet）公司的一款Web應用層防火墻。Fortinet FortiOS是美國飛塔（Fortinet）公司的一套專用于FortiGate網絡安全平臺上的安全操作系統。Fortinet FortiClientEms是美國Fortinet公司的一個集中式中央管理系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞通過精心設計的HTTP請求參數執行未經授權的代碼或命令，以明文形式查看敏感信息，將精心構建的OpenSSL庫放入搜索路徑，并以提升的權限在系統上執行任意代碼等。

CNVD收錄的相關漏洞包括：Fortinet FortiWeb命令注入漏洞、Fortinet FortiWeb跨站腳本漏洞（CNVD-2021-101133）、Fortinet FortiWeb緩沖區溢出漏洞（CNVD-2021-101134、CNVD-2021-101138、CNVD-2021-101137）、Fortinet FortiOS整數溢出漏洞、Fortinet FortiClient權限提升漏洞（CNVD-2021-102008）、Fortinet FortiClientEms信息泄露漏洞。其中“Fortinet FortiOS整數溢出漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Premiere Rush是美國奧多比（Adobe）公司的一套跨平臺的視頻編輯軟件。上周，上述產品被披露存在代碼執行漏洞，攻擊者可利用該漏洞在系統上執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Premiere Rush代碼執行漏洞（CNVD-2021-101115、CNVD-2021-101114、CNVD-2021-101117、CNVD-2021-101116、CNVD-2021-101118、CNVD-2021-101120、CNVD-2021-101121、CNVD-2021-101123）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致本地權限提升，實現遠程代碼執行等。

CNVD收錄的相關漏洞包括：Google Android Kernel組件權限提升漏洞（CNVD-2021-101426、CNVD-2021-101423）、Google Android TvInputManager組件權限提升漏洞、Google Android System權限提升漏洞（CNVD-2021-101432）、Google Android System遠程代碼執行漏洞（CNVD-2021-101435、CNVD-2021-101436）、Google Android越界寫入漏洞（CNVD-2021-101951、CNVD-2021-101950）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

SIEMENS產品安全漏洞

JT是由西門子數字工業軟件開發的一種公開發布的數據格式。JT Open Toolkit(又稱JTTK)是面向開發人員的應用程序編程接口(API)JT-enabled軟件。JT Open Toolkit是一個讀寫工具包。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：JT Utilities和JTTK緩沖區溢出漏洞（CNVD-2021-101000、CNVD-2021-101003）、JT Utilities和JTTK文件解析漏洞（CNVD-2021-101002、CNVD-2021-101005、CNVD-2021-101004、CNVD-2021-101006、CNVD-2021-101008、CNVD-2021-101007）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache Hadoop Yarn RPC未授權命令執行漏洞

Apache Hadoop是一款分布式基礎架構。上周，Apache Hadoop Yarn RPC被披露存在未授權命令執行漏洞。攻擊者可利用該漏洞獲取服務器控制權限。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周， Fortinet產品被披露存在多個漏洞，攻擊者可利用該漏洞通過精心設計的HTTP請求參數執行未經授權的代碼或命令，以明文形式查看敏感信息，將精心構建的OpenSSL庫放入搜索路徑，并以提升的權限在系統上執行任意代碼等。此外， Adobe、Google、SIEMENS等多款產品被披露存在多個漏洞，攻擊者可利用該漏洞在系統上執行任意代碼，導致本地權限提升，實現遠程代碼執行等。另外，Apache Hadoop Yarn RPC被披露存在未授權命令執行漏洞。攻擊者可利用該漏洞獲取服務器控制權限。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、國家密碼管理局、中國銀協、中國金融新聞網、交通銀行、中國郵政儲蓄銀行、河北銀行、貴州銀行報道

責任編輯：韓希宇