金融数据安全强调全域安全 下一代无线通信技术标准5G NR
添加时间:2019-06-07 浏览次数:1778
国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞293个,互联网上出现“Joomla Com_Attachments组件文件上传漏洞、VFront跨站脚本漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。
一周行业要闻速览
CFCA张行:金融业数据安全应强调全域安全
构建在互联网和信息科技上的现代金融服务业,安全是金融行业的基石和命脉,安全从来都是金融行业最为关注的重点。>>详细
工信部公布网络安全试点项目名单,物联网或许是重中之重
工信部披露网络安全技术应用试点示范项目名单,中国电信IPTV网络信息安全“五位一体”防护平台等101个项目上榜。>>详细
银联最新通知:打击一机多户、非法交易、套码、移机等问题
通知显示,为了进一步强化银联卡收单市场的合规管理,银联再次重申相关规范,要求收单机构全面排查梳理自身或合作外包机构的业务情况,彻底杜绝相关违规行为。>>详细
三部门联合发文!保护个人信息安全刻不容缓!
通过启用HTTPS,在客户端与网站服务端之间建立一条安全的加密通道,对传输的数据进行加密,确保数据在传输过程中的完整性和保密性,有效防止数据泄露及篡改。>>详细
近期苹果账号密集被盗 支付宝等成盗刷重灾区 受害者追偿难
近期消费投诉网站聚投诉上出现了大量关于苹果账号(Apple ID)被盗后,支付宝、蚂蚁花呗和微信支付等被盗刷的投诉。>>详细
是时候抛弃谷歌了吗?YouTube、Gmail 等多项谷歌服务突遭全球范围的大规模宕机,苹果部分业务也遭遇影响!
这是因为谷歌在在全球范围内遭遇了大规模宕机,包括Gmail、YouTube和Google Drive在内基于谷歌云架构服务的诸多谷歌服务均受到本次宕机的影响。>>详细
技术观澜
5G NR 标准:下一代无线通信技术
5G在更宽泛的语境中,常常用来意指未来移动通信能够支持的、可预见的应用服务。2017标准化组织3GPP推出第一版5G技术规范NR。>>详细
安全威胁播报
本周漏洞基本情况
本周(2019 年5 月27 日6 月2 日)信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞293个,其中高危漏洞97个、中危漏洞167个、低危漏洞29个。漏洞平均分值为5.81。本周收录的漏洞中,涉及0day漏洞134个(占46%),其中互联网上出现“Joomla Com_Attachments组件文件上传漏洞、VFront跨站脚本漏洞”等零日代码攻击漏洞。
本周重要漏洞安全告警
Microsoft产品安全漏洞
Microsoft Internet Explorer(IE)是一款Windows操作系统附带的Web浏览器。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。Microsoft ChakraCore是使用在Edge浏览器中的一个开源的ChakraJavaScript脚本引擎的核心部分,也可作为单独的JavaScript引擎使用。本周,上述产品被披露存在缓冲区溢出漏洞,攻击者可利用漏洞导致缓冲区溢出或堆溢出等。
CNVD收录的相关漏洞包括:Microsoft Edge和ChakraCore缓冲区溢出漏洞(CNVD-2019-16202、CNVD-2019-16201、CNVD-2019-16203、CNVD-2019-16206、CNVD-2019-16205、CNVD-2019-16207)、Microsoft InternetExplorer缓冲区溢出漏洞(CNVD-2019-16204)、Microsoft Edge缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Schneider Electric产品安全漏洞
Schneider Electric Modicon M580、M340是一款可编程自动化控制器。Schneider ElectricTriconex TriStation Emulator是一款Triconex仿真模拟器。Schneider Electric 1st Gen Pelco Sarix Enhanced Camera是一系列固定式IP摄像机。Schneider Electric SpectraEnhanced PTZ Camera是一系列球型IP摄像机。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提交特殊的请求,可进行拒绝服务攻击,执行任意的操作系统命令等。
CNVD收录的相关漏洞包括:Schneider Electric Modicon越界写拒绝服务漏洞、Schneider Electric Modicon非法内存块写拒绝服务漏洞、Schneider Electric Modicon非法断点参数拒绝服务漏洞、Schneider Electric Triconex TriStation Emulator拒绝服务漏洞、Schneider Electric 1st Gen. Pelco Sarix Enhanced Camera和Spectra Enhanced PTZ Camera跨站请求伪造漏洞、Schneider Electric 1st Gen Pelco Sarix Enhanced Camera命令注入漏洞(CNVD-2019-16261、CNVD-2019-16259)、Schneider Electric 1st Gen. Pelco Sarix Enhanced Camera和Spectra Enhanced PTZ Camera任意OS命令执行漏洞。其中,“Schneider Electric 1st GenPelco Sarix Enhanced Camera命令注入漏洞(CNVD-2019-16259)、Schneider Electric 1st Gen. Pelco Sarix Enhanced Camera和Spectra Enhanced PTZ Camera任意OS命令执行漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Open-Xchange产品安全漏洞
Open-Xchange OX App Suite是一套Web云桌面环境。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取受影响组件敏感信息,执行客户端代码等。
CNVD收录的相关漏洞包括:Open-Xchange OX App Suite访问控制错误漏洞(CNVD-2019-15534、CNVD-2019-15677)、Open-Xchange OX App Suite跨站脚本漏洞(CNVD-2019-15656、CNVD-2019-15675)、Open-Xchange GmbH OX App Suite跨站脚本漏洞、Open-Xchange OX App Suite访问控制错误漏洞、Open-Xchange OX App Suite信息泄露漏洞(CNVD-2019-16163)、Open-Xchange OX App Suite授权问题漏洞。其中,“Open-Xchange OX App Suite访问控制错误漏洞(CNVD-2019-15534、CNVD-2019-16065)、Open-Xchange OX App Suite授权问题漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Oracle产品安全漏洞
Oracle MySQL是一套开源的关系数据库管理系统。Oracle JD Edwards Products是一套全面集成的企业资源计划管理软件套件(ERP)。Oracle Retail Applications是一套零售应用商店解决方案。Oracle Siebel CRM是一套客户关系管理解决方案。Oracle Enterprise Manager Products Suite是一套企业内部部署管理平台。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞未授权读取、更新、插入或删除数据,造成拒绝服务,影响数据的保密性、完整性和可用性。
CNVD收录的相关漏洞包括:Oracle MySQL Server拒绝服务漏洞(CNVD-2019-16231、CNVD-2019-16233、CNVD-2019-16232、CNVD-2019-16234)、Oracle JD Edwards Products JD Edwards EnterpriseOne Tools访问控制错误漏洞、Oracle Retail Applications Retail Point-of-Service访问控制错误漏洞、Oracle Siebel CRM Siebel Core-Server BizLogic Script访问控制错误漏洞、Oracle Enterprise Manager Products Suite ApplicationTesting Suite访问控制错误漏洞。其中,“Oracle Retail ApplicationsRetail Point-of-Service访问控制错误漏洞” 的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Westermo DR-260、DR-250和MR-260跨站请求伪造漏洞
Westermo DR-260是一款DSL路由器。Westermo DR-250是一款DSL路由器。Westermo MR-260是一款3G多媒体路由器。
Westermo DR-260、DR-250和MR-260被披露存在跨站请求伪造漏洞。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。
小结
本周,Microsoft被披露存在缓冲区溢出漏洞,攻击者可利用漏洞导致缓冲区溢出或堆溢出等。此外,Schneider Electric、Open-Xchange、Oracle等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取受影响组件敏感信息,未授权读取、更新、插入或删除数据,造成拒绝服务,执行客户端代码等。Westermo DR-260、DR-250和MR-260被披露存在跨站请求伪造漏洞。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
一周行业要闻速览
CFCA张行:金融业数据安全应强调全域安全
构建在互联网和信息科技上的现代金融服务业,安全是金融行业的基石和命脉,安全从来都是金融行业最为关注的重点。>>详细
工信部公布网络安全试点项目名单,物联网或许是重中之重
工信部披露网络安全技术应用试点示范项目名单,中国电信IPTV网络信息安全“五位一体”防护平台等101个项目上榜。>>详细
银联最新通知:打击一机多户、非法交易、套码、移机等问题
通知显示,为了进一步强化银联卡收单市场的合规管理,银联再次重申相关规范,要求收单机构全面排查梳理自身或合作外包机构的业务情况,彻底杜绝相关违规行为。>>详细
三部门联合发文!保护个人信息安全刻不容缓!
通过启用HTTPS,在客户端与网站服务端之间建立一条安全的加密通道,对传输的数据进行加密,确保数据在传输过程中的完整性和保密性,有效防止数据泄露及篡改。>>详细
近期苹果账号密集被盗 支付宝等成盗刷重灾区 受害者追偿难
近期消费投诉网站聚投诉上出现了大量关于苹果账号(Apple ID)被盗后,支付宝、蚂蚁花呗和微信支付等被盗刷的投诉。>>详细
是时候抛弃谷歌了吗?YouTube、Gmail 等多项谷歌服务突遭全球范围的大规模宕机,苹果部分业务也遭遇影响!
这是因为谷歌在在全球范围内遭遇了大规模宕机,包括Gmail、YouTube和Google Drive在内基于谷歌云架构服务的诸多谷歌服务均受到本次宕机的影响。>>详细
技术观澜
5G NR 标准:下一代无线通信技术
5G在更宽泛的语境中,常常用来意指未来移动通信能够支持的、可预见的应用服务。2017标准化组织3GPP推出第一版5G技术规范NR。>>详细
安全威胁播报
本周漏洞基本情况
本周(2019 年5 月27 日6 月2 日)信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞293个,其中高危漏洞97个、中危漏洞167个、低危漏洞29个。漏洞平均分值为5.81。本周收录的漏洞中,涉及0day漏洞134个(占46%),其中互联网上出现“Joomla Com_Attachments组件文件上传漏洞、VFront跨站脚本漏洞”等零日代码攻击漏洞。
本周重要漏洞安全告警
Microsoft产品安全漏洞
Microsoft Internet Explorer(IE)是一款Windows操作系统附带的Web浏览器。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。Microsoft ChakraCore是使用在Edge浏览器中的一个开源的ChakraJavaScript脚本引擎的核心部分,也可作为单独的JavaScript引擎使用。本周,上述产品被披露存在缓冲区溢出漏洞,攻击者可利用漏洞导致缓冲区溢出或堆溢出等。
CNVD收录的相关漏洞包括:Microsoft Edge和ChakraCore缓冲区溢出漏洞(CNVD-2019-16202、CNVD-2019-16201、CNVD-2019-16203、CNVD-2019-16206、CNVD-2019-16205、CNVD-2019-16207)、Microsoft InternetExplorer缓冲区溢出漏洞(CNVD-2019-16204)、Microsoft Edge缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Schneider Electric产品安全漏洞
Schneider Electric Modicon M580、M340是一款可编程自动化控制器。Schneider ElectricTriconex TriStation Emulator是一款Triconex仿真模拟器。Schneider Electric 1st Gen Pelco Sarix Enhanced Camera是一系列固定式IP摄像机。Schneider Electric SpectraEnhanced PTZ Camera是一系列球型IP摄像机。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提交特殊的请求,可进行拒绝服务攻击,执行任意的操作系统命令等。
CNVD收录的相关漏洞包括:Schneider Electric Modicon越界写拒绝服务漏洞、Schneider Electric Modicon非法内存块写拒绝服务漏洞、Schneider Electric Modicon非法断点参数拒绝服务漏洞、Schneider Electric Triconex TriStation Emulator拒绝服务漏洞、Schneider Electric 1st Gen. Pelco Sarix Enhanced Camera和Spectra Enhanced PTZ Camera跨站请求伪造漏洞、Schneider Electric 1st Gen Pelco Sarix Enhanced Camera命令注入漏洞(CNVD-2019-16261、CNVD-2019-16259)、Schneider Electric 1st Gen. Pelco Sarix Enhanced Camera和Spectra Enhanced PTZ Camera任意OS命令执行漏洞。其中,“Schneider Electric 1st GenPelco Sarix Enhanced Camera命令注入漏洞(CNVD-2019-16259)、Schneider Electric 1st Gen. Pelco Sarix Enhanced Camera和Spectra Enhanced PTZ Camera任意OS命令执行漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Open-Xchange产品安全漏洞
Open-Xchange OX App Suite是一套Web云桌面环境。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取受影响组件敏感信息,执行客户端代码等。
CNVD收录的相关漏洞包括:Open-Xchange OX App Suite访问控制错误漏洞(CNVD-2019-15534、CNVD-2019-15677)、Open-Xchange OX App Suite跨站脚本漏洞(CNVD-2019-15656、CNVD-2019-15675)、Open-Xchange GmbH OX App Suite跨站脚本漏洞、Open-Xchange OX App Suite访问控制错误漏洞、Open-Xchange OX App Suite信息泄露漏洞(CNVD-2019-16163)、Open-Xchange OX App Suite授权问题漏洞。其中,“Open-Xchange OX App Suite访问控制错误漏洞(CNVD-2019-15534、CNVD-2019-16065)、Open-Xchange OX App Suite授权问题漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Oracle产品安全漏洞
Oracle MySQL是一套开源的关系数据库管理系统。Oracle JD Edwards Products是一套全面集成的企业资源计划管理软件套件(ERP)。Oracle Retail Applications是一套零售应用商店解决方案。Oracle Siebel CRM是一套客户关系管理解决方案。Oracle Enterprise Manager Products Suite是一套企业内部部署管理平台。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞未授权读取、更新、插入或删除数据,造成拒绝服务,影响数据的保密性、完整性和可用性。
CNVD收录的相关漏洞包括:Oracle MySQL Server拒绝服务漏洞(CNVD-2019-16231、CNVD-2019-16233、CNVD-2019-16232、CNVD-2019-16234)、Oracle JD Edwards Products JD Edwards EnterpriseOne Tools访问控制错误漏洞、Oracle Retail Applications Retail Point-of-Service访问控制错误漏洞、Oracle Siebel CRM Siebel Core-Server BizLogic Script访问控制错误漏洞、Oracle Enterprise Manager Products Suite ApplicationTesting Suite访问控制错误漏洞。其中,“Oracle Retail ApplicationsRetail Point-of-Service访问控制错误漏洞” 的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Westermo DR-260、DR-250和MR-260跨站请求伪造漏洞
Westermo DR-260是一款DSL路由器。Westermo DR-250是一款DSL路由器。Westermo MR-260是一款3G多媒体路由器。
Westermo DR-260、DR-250和MR-260被披露存在跨站请求伪造漏洞。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。
小结
本周,Microsoft被披露存在缓冲区溢出漏洞,攻击者可利用漏洞导致缓冲区溢出或堆溢出等。此外,Schneider Electric、Open-Xchange、Oracle等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取受影响组件敏感信息,未授权读取、更新、插入或删除数据,造成拒绝服务,执行客户端代码等。Westermo DR-260、DR-250和MR-260被披露存在跨站请求伪造漏洞。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。