国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞200个，互联网上出现“RedwoodHQ绕过身份验证漏洞、Open Faculty Evaluation System SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

密码法草案首次提请审议 提升密码工作法治化保障水平

草案规定,任何组织或者个人不得窃取或者非法侵入他人的加密信息或者密码保障系统,不得利用密码从事违法犯罪活动。>>详细

成都农商银行布局电子证据保全 助力线上业务“最后一公里”

成都农商银行与第三方权威安全认证机构CFCA合作的电子证据保全系统，将采集的电子数据固化为便于司法采信和应用的电子证据，实现电子证据从采集、存证、查询的全流程管理。>>详细

工信部总经济师：强化用户信息和平台数据保护 确保系统信息安全和数据合规使用

三是保障安全，严格落实法律规定和政策要求，采取有效的管理和技术措施，强化用户信息和平台数据保护，确保系统信息安全和数据合规使用。>>详细

从具体案例看电子证据在司法实践中的应用

电子证据是司法实践中重要的证据形式。学习和应用电子证据规则，对于维护各方的合法权益、提高公民的法律意识、推进依法治国，都有重要的现实意义。>>详细

区块链司法存证应用白皮书（1.0版）

本白皮书由浅及深地介绍了区块链电子数据存证的特点和系统设计原则。从电子数据存证的发展现状入手，阐释了区块链电子数据存证对三性认定的关系。>>详细

解读：数据安全之个人信息保存期限最小化的判定

从国家标准的角度出发，个人信息保存期限应为实现目的所必需的最短时间，即个人信息的保存期限不能超过实现目的所需的最短时间。>>详细

【聚焦】行走“江湖”的钥匙

作为生物信息的所有者，每个自然人都将是未来生活中一把行走的“钥匙”。如何更好地利用这把钥匙解决“你是不是你？谁是你？你是谁？”的问题呢？>>详细

中国互联网金融协会发布《互联网金融从业机构反洗钱和反恐怖融资风险管理及内控框架指引手册》

下一步，协会将按照监管政策要求，结合最新反洗钱实际，根据市场变动、风险变化等对《框架手册》进行动态调整和逐步完善。>>详细

工业和信息化部关于同意中国互联网络信息中心设立域名根服务器（F、I、K、L根镜像服务器）及域名根服务器运行机构的批复

你中心应配置必要的网络资源以及网络和通信应急设备，制定切实有效的网络通信保障和网络与信息安全应急预案，设立、配备专职网络与信息安全管理机构和人员。>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年6月17日-23日）信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞200个，其中高危漏洞50个、中危漏洞99个、低危漏洞51个。漏洞平均分值为5.84。上周收录的漏洞中，涉及0day漏洞73个（占37%），其中互联网上出现“RedwoodHQ绕过身份验证漏洞、Open Faculty Evaluation System SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

IBM产品安全漏洞

IBM API Connect（APIConnect）是一套用于管理API生命周期的集成解决方案。IBM WebSphere ApplicationServer Network Deployment是IBM的集成软件平台。IBM Maximo Asset Management是一套综合性资产生命周期和维护管理解决方案。IBM Marketing Platform是一套营销平台。IBM Sterling B2B Integrator是一套集成了重要的B2B流程、交易和关系的软件。IBM Cognos Controller是一套商业智能与计划解决方案。IBM Campaign（前称Unica Campaign）是一套用于帮助营销人员设计、执行、衡量和优化营销广告的管理解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意命令。

CNVD收录的相关漏洞包括：IBM API Connect信息泄露漏洞（CNVD-2019-18508）、IBM WebSphere ApplicationServer ND远程代码执行漏洞、IBM Maximo AssetManagement CSV注入漏洞、IBM Marketing Platform信息泄露漏洞、IBM Sterling B2B Integrator信息泄露漏洞（CNVD-2019-18838）、IBM Cognos Controller信息泄露漏洞（CNVD-2019-18843）、IBM Maximo AssetManagement信息泄露漏洞（CNVD-2019-18848）、IBM Campaign任意下载漏洞。其中，“IBM WebSphere ApplicationServer ND远程代码执行漏洞、IBM Maximo AssetManagement CSV注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco Video Surveillance Manager是一款视频监控管理器。Cisco RV110W是一款Wireless-N VPN防火墙路由器。Cisco RV130W是一款Wireless-N多功能VPN路由器Cisco RV215W是一款Wireless-N VPN路由器。Cisco Integrated Management Controller（IMC）是一套用于对UCS（统一计算系统）进行管理的软件。Cisco Prime Service Catalog（PSC）是一套通过单一的门户网站提供所有IT服务的服务目录解决方案。Cisco Meeting Server是视频会议解决方案Cisco Email Security Appliance（ESA）是一个电子邮件安全设备。Cisco Security Manager（CSM）是一套企业级的管理应用。Cisco StarOS是一套路由器操作系统，可控制整个系统逻辑，可控制进程和CLI。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问敏感信息，以root权限执行任意的命令,造成拒绝服务（消耗可用资源）。

CNVD收录的相关漏洞包括：Cisco Video SurveillanceManager信息泄露漏洞、Cisco RV110W、RV130W、RV215W管理界面拒绝服务漏洞、Cisco Integrated Management Controller操作系统命令注入漏洞、Cisco Prime Service Catalog跨站请求伪造漏洞（CNVD-2019-18752）、Cisco Meeting Server CLI命令注入漏洞、Cisco Email Security Appliance AsyncOS Software远程安全绕过漏洞、Cisco Security Manager XML外部实体注入漏洞、Cisco StarOS拒绝服务漏洞。其中，“Cisco RV110W、RV130W、RV215W管理界面拒绝服务漏洞、Cisco Prime ServiceCatalog跨站请求伪造漏洞（CNVD-2019-18752）、Cisco StarOS拒绝服务漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Campaign Classic（ACC）是一套跨渠道客户体验营销平台。Adobe ColdFusion是一套快速应用程序开发平台。Adobe Acrobat是一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是一款PDF文件阅读软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码。

CNVD收录的相关漏洞包括：Adobe Campaign Classic信息泄露漏洞（CNVD-2019-18621、CNVD-2019-18623）、Adobe Campaign Classic命令注入漏洞、Adobe ColdFusion安全绕过漏洞（CNVD-2019-18625）、Adobe ColdFusion命令注入漏洞、Adobe Acrobat/Reader内存错误引用漏洞（CNVD-2019-18853、CNVD-2019-18852、CNVD-2019-18854）。其中，除“Adobe Campaign Classic信息泄露漏洞（CNVD-2019-18621、CNVD-2019-18623）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。ChakraCore是使用在Edge浏览器中的一个开源的ChakraJavaScript脚本引擎的核心部分，也可作为单独的JavaScript引擎使用。Microsoft Internet Explorer（IE）是一款Windows操作系统附带的Web浏览器。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞获取受影响组件敏感信息，执行任意代码，造成拒绝服务等。

CNVD收录的相关漏洞包括：Microsoft Windows IISServer拒绝服务漏洞、Microsoft Edge安全功能绕过漏洞（CNVD-2019-18613）、Microsoft Windows Event Viewer信息泄露漏洞、Microsoft Internet Explorer远程代码执行漏洞（CNVD-2019-18615）、Microsoft Windows拒绝服务漏洞（CNVD-2019-18614）、Microsoft Edge和ChakraCore缓冲区溢出漏洞（CNVD-2019-18617）、Microsoft Internet Explorer和Edge信息泄露漏洞（CNVD-2019-18616）、Microsoft InternetExplorer和Edge脚本引擎远程内存破坏漏洞。其中，“Microsoft InternetExplorer远程代码执行漏洞（CNVD-2019-18615）、Microsoft Edge和ChakraCore缓冲区溢出漏洞（CNVD-2019-18617）、Microsoft Internet Explorer和Edge脚本引擎远程内存破坏漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Teltonika RUT950拒绝服务漏洞

Teltonika RUT950是一款LET路由器产品。Teltonika RUT950被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成拒接服务（占用内存及可用空间）。

小结

上周，IBM被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意命令。此外，Cisco、Adobe、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞访问敏感信息，以root权限执行任意的命令，造成拒绝服务等。TeltonikaRUT950被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成拒接服务（占用内存及可用空间）。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、工信部网站、中国互联网金融协会、中国证券网、法制网、中国信息安全、中国信通院、金卡生活报道

责任编辑：韩希宇