國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞298個,互聯(lián)網(wǎng)上出現(xiàn)“ZKTecoZKBioSecurity
3.0硬編碼證書遠程系統(tǒng)命令執(zhí)行漏洞”零日代碼攻擊漏洞,上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網(wǎng)為您梳理過去一周的信息安全行業(yè)要聞,并特約中國金融認證中心(CFCA)信息安全專家對漏洞風險作出點評和建議。
一周信息安全要聞速覽
OneLogin遭入侵 黑客獲取明文密碼
近日,有消息稱企業(yè)級認證和接入應(yīng)用OneLogin的一臺服務(wù)器被入侵,用戶數(shù)據(jù)被竊齲但更糟糕的是,泄露數(shù)據(jù)的服務(wù)器是用于保存用戶的存儲憑證的,如:admin密碼及軟件密碼。>>詳細
2015年二維碼支付令中國銀行業(yè)損失了200億美元
過去,商業(yè)銀行把主要精力放在服務(wù)大企業(yè)上,不太關(guān)注消費者。然而,隨著宏觀經(jīng)濟遭遇麻煩,企業(yè)業(yè)務(wù)的增長空間面臨壓力。銀行無疑希望抓住零售銀行業(yè)務(wù)的機遇,但如果它們沒有支付和消費數(shù)據(jù),將很難引起消費者的更多關(guān)注。>>詳細
手機還是手雷?移動安全問題有多嚴重
在阿聯(lián)酋,部分銷售出的iPhone手機被私自安裝了一款惡意軟件,而這些軟件由于一些政治原因而被私自安裝的監(jiān)控軟件。這款軟件可以獲知用戶所有的聯(lián)系人、聊天記錄、短信、電子郵件、日歷以及所有的語言對話均可獲得。這種軟件本身的存在是為了監(jiān)管的方便,但是一旦這款軟件被攻破,那么所有用戶都將變成任人宰割的存在。>>詳細
大額刷信用卡將變困難!拒刷浮現(xiàn)
如果4S店自行消化刷卡費用、保持車主的消費習慣,額外需要承擔的成本不是一筆小數(shù)目。以年銷2000輛車、銷售刷卡覆蓋率為70%、平均每輛車的信用卡付款金額為5萬元,售后服務(wù)年營業(yè)額為2000萬、售后服務(wù)刷卡覆蓋率為80%的一家4S店為例測算,每年刷卡手續(xù)費超過50萬元。>>詳細
李東榮:互聯(lián)網(wǎng)金融最大的問題是不夠規(guī)范 管理需有三道防線
中國的經(jīng)濟發(fā)展、社會發(fā)展都需要互聯(lián)網(wǎng)金融,由于傳統(tǒng)金融服務(wù)的覆蓋面、效率不夠,覆蓋不到的地方對互聯(lián)網(wǎng)金融有很大需求。但作為一種新生事物,互聯(lián)網(wǎng)金融在發(fā)展過程中確實存在一些問題,最大的問題是不夠規(guī)范。>>詳細
安全漏洞周報
上周漏洞基本情況
上周信息安全漏洞威脅整體評價級別為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)上周共收集、整理信息安全漏洞298個,其中高危漏洞132個、中危漏洞150個、低危漏洞16個。漏洞平均分值為6.41。上周收錄的漏洞中,涉及0day漏洞162個(占54%)。其中互聯(lián)網(wǎng)上出現(xiàn)“ZKTecoZKBioSecurity
3.0硬編碼證書遠程系統(tǒng)命令執(zhí)行漏洞”零日代碼攻擊漏洞,請使用相關(guān)產(chǎn)品的用戶注意加強防范。此外,上周CNVD接到的涉及黨政機關(guān)和企事業(yè)單位的事件型漏洞總數(shù)1107個,與之前一周(1624個)環(huán)比下降32%。
上周重要漏洞信息
1、PHP產(chǎn)品安全漏洞
PHP是一種開源的通用計算機腳本語言。上周,該產(chǎn)品被披露存在信息泄露和拒絕服務(wù)漏洞,攻擊者可利用漏洞泄露敏感信息和發(fā)起拒絕服務(wù)攻擊。
CNVD收錄的相關(guān)漏洞包括:PHP'ext/sqlite3/sqlite3.c'存在多個拒絕服務(wù)漏洞、PHP'zend_virtual_cwd()'函數(shù)空指針引用拒絕服務(wù)漏洞、PHP'ext/standard/string.c'信息泄露漏洞、PHP'xp_socket.c'拒絕服務(wù)漏洞、PHP'pgsql_statement.c'拒絕服務(wù)漏洞、PHP'ext/readline/readline.c'拒絕服務(wù)漏洞、PHP'gd/libgd/gd_gif_out.c'信息泄露漏洞、PHP'interface.c'拒絕服務(wù)漏洞等。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。在此提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
2、Cisco產(chǎn)品安全漏洞
Cisco WebEx Meetings是網(wǎng)絡(luò)會議解決方案。Cisco SmallBusiness 220 Series Smart Plus
Switches是一款智能交換機。Cisco WirelessLAN
Controller是一款思科無線局域網(wǎng)控制器。上周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞執(zhí)行遠程代碼、獲取未授權(quán)訪問限制或發(fā)起拒絕服務(wù)攻擊等。
CNVD收錄的相關(guān)漏洞包括:Cisco WirelessLAN Controller拒絕服務(wù)漏洞(CNVD-2016-07077)、Cisco
Wireless LANController TSM SNMP拒絕服務(wù)漏洞、Cisco WebEx Meetings Player遠程代碼執(zhí)行漏洞、Cisco
WebExMeetings Player拒絕服務(wù)漏洞、Cisco Small Business 220 Series Smart
PlusSwitches未授權(quán)訪問漏洞、Cisco Small Business 220 Series Smart
PlusSwitches跨站請求偽造漏洞、Cisco Small Business 220 Series Smart
PlusSwitches跨站腳本漏洞、Cisco Small Business 220 Series Smart Plus
Switches拒絕服務(wù)漏洞等。其中,“Cisco WebExMeetings
Player遠程代碼執(zhí)行漏洞”的綜合評級為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。在此提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
3、Foxit產(chǎn)品安全漏洞
Foxit
Reader是中國福昕(Foxit)軟件公司的出品的一款小型的PDF文檔查看和打印程序,PhantomPDF是一個商業(yè)版。上周,該產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞遠程獲取敏感信息,執(zhí)行任意代碼或發(fā)起拒絕服務(wù)攻擊。
CNVD收錄的相關(guān)漏洞包括:Foxit Reader和PhantomPDF遠程命令執(zhí)行漏洞(CNVD-2016-07030)、Foxit
Readerand Foxit PhantomPDF存在多個拒絕服務(wù)漏洞、Foxit Reader and
PhantomPDFDLL加載遠程命令執(zhí)行漏洞、Foxit Reader and Foxit PhantomPDF存在多個遠程命令執(zhí)行漏洞、Foxit
Readerand Foxit PhantomPDF越界讀信息泄露漏洞、Foxit Reader and
FoxitPhantomPDF越界讀寫遠程命令執(zhí)行漏洞、Foxit Reader和PhantomPDF遠程命令執(zhí)行漏洞、Foxit
Reader'ConvertToPDF'插件信息泄露漏洞等。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。在此提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
4、SAP產(chǎn)品安全漏洞
SAP TREX是德國思愛普(SAP)公司的一款用于SAP NetWeaver集成技術(shù)平臺中的搜索引擎。SAP UtilityCustomer
E-Services是一個基于j2ee的Web應(yīng)用程序。SAP HANA是一套高性能的實時數(shù)據(jù)分析平臺。SAP
SolutionManager是一套集系統(tǒng)監(jiān)控、SAP支持桌面、自助服務(wù)、ASAP實施等多個功能為一體的系統(tǒng)管理平臺。SAP
NetWeaver是一套面向服務(wù)的集成化應(yīng)用平臺,SAP NetWeaverAS
Java是一款運行于NetWeaver中且基于Java編程語言的應(yīng)用服務(wù)器。SAP AdaptiveServer Enterprise(Sybase
ASE)是一套關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。上周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞泄露敏感信息、遠程執(zhí)行命令或發(fā)起拒絕服務(wù)攻擊等。
CNVD收錄的相關(guān)漏洞包括:SAP TREX信息泄露漏洞、SAP TREX遠程命令執(zhí)行漏洞、SAP UtilityCustomer
E-Services點擊劫持漏洞、SAP HANA Enterprise安全繞過漏洞、SAP SolutionManager遠程命令注入漏洞、SAP
NetWeaver SAPSTARTSRV遠程緩沖區(qū)溢出漏洞、SAP NetWeaverAS JAVA拒絕服務(wù)漏洞、SAP Adaptive Server
Enterprise拒絕服務(wù)漏洞。其中,“SAP TREX遠程命令執(zhí)行漏洞、SAP
SolutionManager遠程命令注入漏洞”的綜合評級為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。在此提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
5、ZKTeco ZKBioSecurity 3.0硬編碼證書遠程系統(tǒng)命令執(zhí)行漏洞
ZKBioSecurity是一個生物識別安防綜合管理平臺。上周,ZKBioSecurity被披露存在遠程系統(tǒng)命令執(zhí)行漏洞。攻擊者可利用JSP應(yīng)用程序惡意WAR歸檔文件上傳,導致攻擊者以系統(tǒng)權(quán)限執(zhí)行任意代碼的能力。目前,互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)了針對該漏洞的攻擊代碼,廠商尚未發(fā)布該漏洞的修補程序。在此提醒廣大用戶隨時關(guān)注廠商主頁,以獲取最新版本。
專家點評和建議
中國電子銀行網(wǎng)特約中國金融認證中心(CFCA)信息安全專家,對漏洞風險作出如下小結(jié):上周,PHP產(chǎn)品被披露存在信息泄露和拒絕服務(wù)漏洞,攻擊者可利用漏洞泄露敏感信息和發(fā)起拒絕服務(wù)攻擊。此外,Cisco、Foxit、SAP等多款產(chǎn)品被披露存在多個安全漏洞,攻擊者可利用漏洞遠程執(zhí)行任意代碼、泄露敏感信息或發(fā)起拒絕服務(wù)攻擊等。另外,ZKBioSecurity被披露存在遠程系統(tǒng)命令執(zhí)行漏洞。攻擊者可利用JSP應(yīng)用程序惡意WAR歸檔文件上傳,導致攻擊者以系統(tǒng)權(quán)限執(zhí)行任意代碼的能力。建議相關(guān)用戶隨時關(guān)注上述廠商主頁,及時獲取修復補厄解決方案。
京公網(wǎng)安備 11010502049343號