国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞298个,互联网上出现“ZKTecoZKBioSecurity
3.0硬编码证书远程系统命令执行漏洞”零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,并特约中国金融认证中心(CFCA)信息安全专家对漏洞风险作出点评和建议。
一周信息安全要闻速览
OneLogin遭入侵 黑客获取明文密码
近日,有消息称企业级认证和接入应用OneLogin的一台服务器被入侵,用户数据被窃龋但更糟糕的是,泄露数据的服务器是用于保存用户的存储凭证的,如:admin密码及软件密码。>>详细
2015年二维码支付令中国银行业损失了200亿美元
过去,商业银行把主要精力放在服务大企业上,不太关注消费者。然而,随着宏观经济遭遇麻烦,企业业务的增长空间面临压力。银行无疑希望抓住零售银行业务的机遇,但如果它们没有支付和消费数据,将很难引起消费者的更多关注。>>详细
手机还是手雷?移动安全问题有多严重
在阿联酋,部分销售出的iPhone手机被私自安装了一款恶意软件,而这些软件由于一些政治原因而被私自安装的监控软件。这款软件可以获知用户所有的联系人、聊天记录、短信、电子邮件、日历以及所有的语言对话均可获得。这种软件本身的存在是为了监管的方便,但是一旦这款软件被攻破,那么所有用户都将变成任人宰割的存在。>>详细
大额刷信用卡将变困难!拒刷浮现
如果4S店自行消化刷卡费用、保持车主的消费习惯,额外需要承担的成本不是一笔小数目。以年销2000辆车、销售刷卡覆盖率为70%、平均每辆车的信用卡付款金额为5万元,售后服务年营业额为2000万、售后服务刷卡覆盖率为80%的一家4S店为例测算,每年刷卡手续费超过50万元。>>详细
李东荣:互联网金融最大的问题是不够规范 管理需有三道防线
中国的经济发展、社会发展都需要互联网金融,由于传统金融服务的覆盖面、效率不够,覆盖不到的地方对互联网金融有很大需求。但作为一种新生事物,互联网金融在发展过程中确实存在一些问题,最大的问题是不够规范。>>详细
安全漏洞周报
上周漏洞基本情况
上周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞298个,其中高危漏洞132个、中危漏洞150个、低危漏洞16个。漏洞平均分值为6.41。上周收录的漏洞中,涉及0day漏洞162个(占54%)。其中互联网上出现“ZKTecoZKBioSecurity
3.0硬编码证书远程系统命令执行漏洞”零日代码攻击漏洞,请使用相关产品的用户注意加强防范。此外,上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1107个,与之前一周(1624个)环比下降32%。
上周重要漏洞信息
1、PHP产品安全漏洞
PHP是一种开源的通用计算机脚本语言。上周,该产品被披露存在信息泄露和拒绝服务漏洞,攻击者可利用漏洞泄露敏感信息和发起拒绝服务攻击。
CNVD收录的相关漏洞包括:PHP'ext/sqlite3/sqlite3.c'存在多个拒绝服务漏洞、PHP'zend_virtual_cwd()'函数空指针引用拒绝服务漏洞、PHP'ext/standard/string.c'信息泄露漏洞、PHP'xp_socket.c'拒绝服务漏洞、PHP'pgsql_statement.c'拒绝服务漏洞、PHP'ext/readline/readline.c'拒绝服务漏洞、PHP'gd/libgd/gd_gif_out.c'信息泄露漏洞、PHP'interface.c'拒绝服务漏洞等。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
2、Cisco产品安全漏洞
Cisco WebEx Meetings是网络会议解决方案。Cisco SmallBusiness 220 Series Smart Plus
Switches是一款智能交换机。Cisco WirelessLAN
Controller是一款思科无线局域网控制器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行远程代码、获取未授权访问限制或发起拒绝服务攻击等。
CNVD收录的相关漏洞包括:Cisco WirelessLAN Controller拒绝服务漏洞(CNVD-2016-07077)、Cisco
Wireless LANController TSM SNMP拒绝服务漏洞、Cisco WebEx Meetings Player远程代码执行漏洞、Cisco
WebExMeetings Player拒绝服务漏洞、Cisco Small Business 220 Series Smart
PlusSwitches未授权访问漏洞、Cisco Small Business 220 Series Smart
PlusSwitches跨站请求伪造漏洞、Cisco Small Business 220 Series Smart
PlusSwitches跨站脚本漏洞、Cisco Small Business 220 Series Smart Plus
Switches拒绝服务漏洞等。其中,“Cisco WebExMeetings
Player远程代码执行漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
3、Foxit产品安全漏洞
Foxit
Reader是中国福昕(Foxit)软件公司的出品的一款小型的PDF文档查看和打印程序,PhantomPDF是一个商业版。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞远程获取敏感信息,执行任意代码或发起拒绝服务攻击。
CNVD收录的相关漏洞包括:Foxit Reader和PhantomPDF远程命令执行漏洞(CNVD-2016-07030)、Foxit
Readerand Foxit PhantomPDF存在多个拒绝服务漏洞、Foxit Reader and
PhantomPDFDLL加载远程命令执行漏洞、Foxit Reader and Foxit PhantomPDF存在多个远程命令执行漏洞、Foxit
Readerand Foxit PhantomPDF越界读信息泄露漏洞、Foxit Reader and
FoxitPhantomPDF越界读写远程命令执行漏洞、Foxit Reader和PhantomPDF远程命令执行漏洞、Foxit
Reader'ConvertToPDF'插件信息泄露漏洞等。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
4、SAP产品安全漏洞
SAP TREX是德国思爱普(SAP)公司的一款用于SAP NetWeaver集成技术平台中的搜索引擎。SAP UtilityCustomer
E-Services是一个基于j2ee的Web应用程序。SAP HANA是一套高性能的实时数据分析平台。SAP
SolutionManager是一套集系统监控、SAP支持桌面、自助服务、ASAP实施等多个功能为一体的系统管理平台。SAP
NetWeaver是一套面向服务的集成化应用平台,SAP NetWeaverAS
Java是一款运行于NetWeaver中且基于Java编程语言的应用服务器。SAP AdaptiveServer Enterprise(Sybase
ASE)是一套关系型数据库管理系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、远程执行命令或发起拒绝服务攻击等。
CNVD收录的相关漏洞包括:SAP TREX信息泄露漏洞、SAP TREX远程命令执行漏洞、SAP UtilityCustomer
E-Services点击劫持漏洞、SAP HANA Enterprise安全绕过漏洞、SAP SolutionManager远程命令注入漏洞、SAP
NetWeaver SAPSTARTSRV远程缓冲区溢出漏洞、SAP NetWeaverAS JAVA拒绝服务漏洞、SAP Adaptive Server
Enterprise拒绝服务漏洞。其中,“SAP TREX远程命令执行漏洞、SAP
SolutionManager远程命令注入漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
5、ZKTeco ZKBioSecurity 3.0硬编码证书远程系统命令执行漏洞
ZKBioSecurity是一个生物识别安防综合管理平台。上周,ZKBioSecurity被披露存在远程系统命令执行漏洞。攻击者可利用JSP应用程序恶意WAR归档文件上传,导致攻击者以系统权限执行任意代码的能力。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。在此提醒广大用户随时关注厂商主页,以获取最新版本。
专家点评和建议
中国电子银行网特约中国金融认证中心(CFCA)信息安全专家,对漏洞风险作出如下小结:上周,PHP产品被披露存在信息泄露和拒绝服务漏洞,攻击者可利用漏洞泄露敏感信息和发起拒绝服务攻击。此外,Cisco、Foxit、SAP等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞远程执行任意代码、泄露敏感信息或发起拒绝服务攻击等。另外,ZKBioSecurity被披露存在远程系统命令执行漏洞。攻击者可利用JSP应用程序恶意WAR归档文件上传,导致攻击者以系统权限执行任意代码的能力。建议相关用户随时关注上述厂商主页,及时获取修复补厄解决方案。
本文转自d1net(转载)
