国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞363个，互联网上出现“WordPress插件Form Maker SQL注入漏洞、PHP-Fusion 'Edit Profile'远程代码执行漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

一周行业要闻速览

在线交易身份核验难、合法电子签约难：普惠金融如何更普惠？

阳光村镇银行与CFCA合作推出的无纸化系统解决方案，从“智慧柜台”的发展理念出发，利用柜台外设，从数据采集、录入、审核、签章，到归档、稽核，实现了业务的全流程无纸化、柜面业务智能化的全面改造。>>详细

一起来看看，新发布的等保2.0有哪些变化

为了配合《网络安全法》，同时为了满足云计算、大数据、物联网、移动互联、工业控制等新技术新应用的安全要求，相关部门在等保1.0基础上起草并制定了等保2.0相关标准。>>详细

银保监会李丹：金融科技导致金融风险“四性”更为突出

对银行机构来说，网络与信息安全是第一要务，也是高管的首要责任，要把网络安全纳入机构战略，树立积极防御的理念，建立安全运行体系，早做网络安全风险监控。>>详细

光大银行信息科技部邵理煜：光大银行数据安全实践

为提升光大银行数据安全管理能力，信息科技部正致力于研究推进“以数据为中心”的全维度、全覆盖、全生命周期的数据安全管理体系，并在数据安全和数据合规领域开展了全面细致的落地工作，包括加强组织建设、丰富管理办法、打造安全名品、营造安全文化。>>详细

闪付双免5重保障，守护持卡人用卡安全

金融芯片具有高安全性，叠加支付标记化Token等先进技术，使风险能够得到很好的控制，在安全性和便捷性上能够做到更好地平衡。>>详细

路透社：谷歌已暂停与华为部分业务往来，称在“遵从指令”

除了通过“开放源码许可”公开获取的服务外，谷歌Alphabet已经暂停与华为的商业往来，这些商业往来包括硬件和软件转让与提供技术的服务。华为可以继续使用对所有人免费开放的安卓开放源代码项目(AOSP)。>>详细

超过一百个漏洞将三万门禁数据暴露给黑客

这些漏洞（其中许多被归类为高危）可能导致未经身份验证的攻击者完全控制被攻击系统——无论是单独利用漏洞还是与其他漏洞并用。>>详细

超12,000个MongoDB数据库被Unrisllar黑客组织删除

MongoDB提供了有关如何通过实施适当的身份验证、访问控制和加密来保护MongoDB数据库的详细方法，还提供了一个安全检查表供管理员遵循。防止攻击的两个最重要的措施是启用身份验证且不允许远程访问数据库。>>详细

技术观澜

绕过杀软：通过网络接收ShellCode的无文件攻击方式与检测方法

反病毒方案通常用于检测恶意软件，并且通常要依靠静态分析来区分文件的好坏。如果文件自身就包含恶意内容，那么这种方法会有效。>>详细

内网公网全覆盖、Win/Linux两开花：深入分析Satan勒索软件的传播技术

针对私有网络，该恶意软件会检索受害者网络中所有可能的IP地址。无论是哪种类型的网络，Windows版本的传播工具都会尝试传播到私有网络中的主机。>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年5月13日-19日）信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞363个，其中高危漏洞111个、中危漏洞203个、低危漏洞49个。漏洞平均分值为5.77。上周收录的漏洞中，涉及0day漏洞141个（占39%），其中互联网上出现“WordPress插件Form Maker SQL注入漏洞、PHP-Fusion 'Edit Profile'远程代码执行漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Jet Database Engine是一个底层数据库引擎。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Microsoft Jet DatabaseEngine远程代码执行漏洞（CNVD-2019-14454、CNVD-2019-14455、CNVD-2019-14457、CNVD-2019-14456、CNVD-2019-14459、CNVD-2019-14458、CNVD-2019-14460、CNVD-2019-14462）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco IOS是一套为其网络设备开发的操作系统。Cisco NX-OS是适用于思科Nexus系列以太网交换机和MDS系列光纤通道存储区域网络交换机的网络操作系统。上周，上述产品被披露存在拒绝服务和命令注入漏洞，攻击者可利用漏洞执行任意命令，发起拒绝服务攻击。

CNVD收录的相关漏洞包括：Cisco IOS NAT64拒绝服务漏洞、Cisco NX-OS命令注入漏洞（CNVD-2019-14614、CNVD-2019-14613、CNVD-2019-14615、CNVD-2019-14619、CNVD-2019-14620、CNVD-2019-14621、CNVD-2019-14623）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Foxit产品安全漏洞

Foxit Reader和Foxit PhantomPDF都是一款PDF文档阅读器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意命令等。

CNVD收录的相关漏洞包括：Foxit Reader和Foxit PhantomPDF for Windows缓冲区溢出漏洞（CNVD-2019-13808）、Foxit Reade和Foxit PhantomPDF for Windows路径遍历漏洞、Foxit Reader和Foxit PhantomPDF forWindows资源管理错误漏洞（CNVD-2019-13810）、Foxit Reader和Foxit PhantomPDF forWindows越界写入漏洞（CNVD-2019-13812、CNVD-2019-13813、CNVD-2019-13817）、Foxit Reader和Foxit PhantomPDF forWindows信息泄露漏洞（CNVD-2019-13811）、Foxit Reader和Foxit PhantomPDF forWindows越界读取漏洞（CNVD-2019-13818）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

doorGets产品安全漏洞

doorGets是一款免费开源内容管理系统。上周，该产品被披露存在SQL注入和敏感信息泄露漏洞，攻击者可利用漏洞获取数据库敏感信息。

CNVD收录的相关漏洞包括：doorGets敏感信息泄露漏洞（CNVD-2019-13789、CNVD-2019-13788、CNVD-2019-13791、CNVD-2019-13790、CNVD-2019-13793、CNVD-2019-13792）、doorGets SQL注入漏洞（CNVD-2019-13795、CNVD-2019-13796）。目前，厂商已经发布了上述漏洞的修补程序。

ZyXEL NSA325 V2跨站请求伪造漏洞

ZyXEL NSA325 V2是一款网络存储设备。ZyXEL NSA325 V2被披露存在跨站请求伪造漏洞。攻击者可借助特制的HTTP表单利用该漏洞执行状态更改操作。

小结

上周，Microsoft被披露存在堆溢出和越界读取漏洞，攻击者可利用漏洞执行任意代码。此外，Cisco、Foxit、doorGets等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意命令，发起拒绝服务攻击等。ZyXEL NSA325 V2被披露存在跨站请求伪造漏洞。攻击者可借助特制的HTTP表单利用该漏洞执行状态更改操作。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国银联、中证网、环球网、金融电子化、FreeBuf、HackerNews.cc、嘶吼网报道

责任编辑：韩希宇