国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞267个，互联网上出现“LGSuperSign CMS 远程代码执行漏洞、Joomla!组件Penny Auction Factory SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　应用“良好实践”探讨银行业数据安全保护实践

　　随着大数据的广泛应用，数据作为银行业重要的资产之一，所面临的安全形势越来越严峻，银行业如何保护其数据的安全是一个亟待解决的问题，应用“良好实践（Good Practice，GP）”的思想是目前较为可行的思路之一。>>详细

　　量子计算机也无法破解？黑莓公布了一项新加密技术

　　所谓量子抗性就是一种加密工具技术，数字签名是指确保除原始作者之外的任何人都未曾更改软件内容的方法。>>详细

　　支付宝提示苹果用户ID被盗 科技巨头隐私安全响警钟

　　网络罪犯一旦进入了企业网络，就会通过持续的横向活动而锁定并接管服务器，以获取里面的重要数据，如个人身份识别信息（PII）、银行、税务、工资及其他财务记录，甚至专利知识产权和共享应用程序等。>>详细

　　【金融知识微课堂】揭秘48种常见电信诈骗！

　　生活中，电信诈骗防不胜防，在电信诈骗的诸多案例中，犯罪分子作案手段多样，导致广大百姓频频中招。>>详细

　　法律禁止默认密码“admin” “无意入侵”没那么容易了

　　加州通过了一项法律，2020年之后禁止在所有新的消费电子产品中使用“admin”、“123456”和经典的“password”这样的默认密码。>>详细

　　微软、IBM、英特尔等争相试水企业级区块链新机会？

　　区块链正在企业级领域大展拳脚。这项长期与比特币、ICO联系在一起的技术现在已经应用于银行清算、票据、征信体系等多个领域，用来提升这些业务的效率及安全性。>>详细

　　为解决数据泄露的困境——Google为第三方应用设置了访问Gmail数据的新规则

　　谷歌将对希望访问用户Gmail收件箱的第三方应用程序推出更严格的规则。新规定将于2019年1月9日生效。>>详细

　　技术观澜

　　新型XBash恶意软件融合了勒索病毒、挖矿、僵尸网络和蠕虫的功能

　　近期，Palo Alto Network的研究人员发现了一款名叫XBash的新型恶意软件，而这款恶意软件不仅是一个勒索软件，而且它还融合了挖矿、僵尸网络和蠕虫等功能。>>详细

　　渗透技巧——PPTP口令的获取与爆破

　　本文介绍了命令行下导出PPTP配置信息和口令的方法，通过命令行能够实现开启和关闭VPN连接。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2018年09月24日-2018年10月07日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞267个，其中高危漏洞93个、中危漏洞168个、低危漏洞6个。漏洞平均分值为6.10。上周收录的漏洞中，涉及0day漏洞100个（占37%），其中互联网上出现“LGSuperSign CMS 远程代码执行漏洞、Joomla!组件Penny Auction Factory SQL注入漏洞”等零日代码攻击漏洞。

　　上周重要漏洞安全告警

　　Samsung产品安全漏洞

　　Samsung SmartThings Hub STH-ETH-250是一款智能家居管理设备。上周，上述产品被披露存在缓冲区溢出和任意代码执行漏洞，攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。

　　CNVD收录的相关漏洞包括：Samsung SmartThings HubSTH-ETH-250 video-core HTTP服务器缓冲区溢出漏洞（CNVD-2018-19739、CNVD-2018-19870、CNVD-2018-20124、CNVD-2018-20129、CNVD-2018-20131、CNVD-2018-20132）、Samsung Galaxy S8 任意代码执行漏洞、Samsung SmartThings Hub video-core HTTP服务器缓冲区溢出漏洞（CNVD-2018-20130）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　IBM产品安全漏洞

　　IBM Business Process Manager（BPM）是一套综合的业务流程管理平台。IBM SterlingB2B Integrator是一套集成了重要的B2B流程、交易和关系的软件。IBM DB2是一套关系型数据库管理系统。IBM WebSphereApplication Server（WAS）是一款应用服务器产品，它是Java EE和Web服务应用程序的平台，也是IBM WebSphere软件平台的基础。IBM DataPowerGateways是的一套专门为移动、云、应用编程接口（API）、网络、面向服务架构（SOA）、B2B和云工作负载而设计的安全和集成平台，它可利用专用网 关平台跨渠道保护、集成和优化访问。IBM RationalEngineering Lifecycle Manager是一套工程生命周期管理软件。IBM Jazz Foundation是其中的一套可扩展的团队协作平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码等。

　　CNVD收录的相关漏洞包括：IBM BusinessProcess Manager SQL注入漏洞、IBM Sterling B2B Integrator信息泄露漏洞（CNVD-2018-19738）、IBM DB2缓冲区溢出漏洞（CNVD-2018-20058）、IBM DB2权限提升漏洞（CNVD-2018-20056）、IBM WebSphereApplication Server Liberty信息泄露漏洞（CNVD-2018-20082）、IBM DataPowerGateway XML外部实体注入漏洞、IBM DataPower Gateway 信息泄露漏洞、IBM JazzFoundation XML外部实体注入漏洞。其中，除“IBM Sterling B2B Integrator信息 泄露漏洞（CNVD-2018-19738）、IBM WebSphereApplication Server Liberty信息泄露漏洞（CNVD-2018-20082）、IBM DataPowerGateway信息泄露漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Cisco产品安全漏洞

　　Cisco IOS Software 和IOS XESoftware都是一套为其网络设备开发的操作系统。Cisco ASA 5500-X Series Adaptive SecurityAppliance IPsec 是Cisco公司安全设备。Cisco Catalyst3650和3850 Series Switches都是交换机产品。Cisco SecondGeneration Integrated Services Routers （ISR G2）和4451-XIntegrated Services Router（ISR4451-X）都是路由器产品。Cisco 2500Series Connected Grid Switches是交换机产品。上周，上述产品被披露存在拒绝服务和命令注入漏洞，攻击者可利用漏洞以root权限在底层Linux shell上执行命令，造成拒绝服务。

　　CNVD收录的相关漏洞包括：Cisco IOS XESoftware和Cisco ASA 5500-X Series Adaptive Security Appliance IPsec拒绝服务漏洞、Cisco IOS XESoftware拒绝服务漏洞（CNVD-2018-20256）、Cisco Catalyst 3650 和 3850 SeriesSwitches IOS XESoftware拒绝服务漏洞、Cisco Second Generation IntegratedServices Routers和4451-X Integrated Services Router拒绝服务漏洞、Cisco IOS XESoftware NAT SIP ALG拒绝服务漏洞、Cisco IOS Software Precision Time Protocol拒绝服务漏洞、Cisco IOS 和 IOS XESoftware IPv6 Hop-by-Hop Options拒绝服务漏洞、Cisco IOS XESoftware CLI解析器命令注入漏洞（CNVD-2018-20300）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Apple产品安全漏洞

　　Apple iOS是为移动设备所开发的一套操作系统。tvOS是一套智能电视操作系统。Apple macOS Mojave是一套专为Mac计算机所开发的专用操作系统。上周，该产品被披露存在信息泄露和内存破坏漏洞，攻击者可利用漏洞获取敏感信息，以系统权限执行任意代码（内存破坏）。

　　CNVD收录的相关漏洞包括：Apple macOS Mojave信息泄露漏洞、Apple iOS Status Bar组件信息泄露漏洞、Apple iOS Core Bluetooth组件内存破坏漏洞、Apple iOS CoreMedia组件信息泄露漏洞、Apple iOS IOMobileFrameBuffer组件信息泄露漏洞、Apple iOS Accounts组件信息泄露漏洞、Apple iOS 和 tvOS Kernel信息泄露漏洞、Apple iOS和tvOSMessages和Safari信息泄露漏洞。其中，“Apple iOS Core Bluetooth组件内存破坏漏洞”的综合评级为“高危”。

　　MODX Revolution跨站脚本漏洞（CNVD-2018-20075）

　　MODX Revolution是美国MODX公司的一套基于PHP的开源内容管理系统（CMS）。该系统支持在线协作、搜索引擎优化（SEO）、附加组件等。上周，MODX Revolution被披露存在跨站脚本漏洞。远程攻击者可通过选择Create New Media Source利用该漏洞将HTML标签或脚本存储在数据库中。

　　小结

　　上周，Samsung被披露存在缓冲区溢出和任意代码执行漏洞，攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。此外，IBM、Cisco、Apple等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，以系统权限执行任意代码（内存破坏），造成拒绝服务等。另外，MODX Revolution被披露存在跨站脚本漏洞。远程攻击者可通过选择 Create New Media Source利用该漏洞将HTML标签或脚本存储在数据库中。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、清华金融评论、21世纪经济报道、TechWeb、界面、哈尔滨银行直销银行、嘶吼RoarTalk、FreebuF.COM、开源中国报道

责任编辑：韩希宇