国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞365个，互联网上出现“iF.SVNAdmin跨站请求伪造漏洞、Best Soft Inc.（BSI）Advance Hotel Booking System跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

中国建设银行副行长纪志宏：智慧金融要实现健康发展需要处理好六大关系

5G时代信息的渗透性增加，我们在享受技术带来便捷的同时，也面临较多的新挑战，尤其是还没有完全妥善解决好现实社会与网络社会两类角色和差异引起的冲突，金融创新必须遵循安全稳健的发展思路。>>详细

直击汽车金融信息安全痛点 CFCA提供“验”“签”“存”全流程解决方案

PKI可以解决汽车消费金融和供应链金融场景里的身份认证、保密性、完整性保护和法律效力问题。>>详细

广发银行刘远欢：金融科技时代下银行网络安全运营的思考

随着金融科技时代的到来，网络安全“四化”趋势日益明显，即网络犯罪组织化、攻击方式定向化、攻击目标数据化、信息系统云化，网络安全运营已经走到变革的交叉路口。>>详细

北京农商银行与工银科技开启IT信息安全战略合作

根据协议，工银科技将在安全风险评估、安全架构设计、信息泄漏防护建设、应用安全能力提升、安全技术工具建设、信息安全态势感知能力建设、安全人才队伍建设等方面为北京农商银行提供全方位服务。>>详细

中国信通院发布《中国网络安全产业白皮书（2019年）》和《筑牢下一代互联网安全防线—IPv6网络安全白皮书》

在向着下一代互联网演进升级的发展进程中，我们面临新机制新场景带来的安全挑战，以及攻防双方大体处于同一起跑线的安全机遇。>>详细

网络安全宣传周来了！这些金融知识你知道么？

网络安全宣传周来啦~在第一期内容中，小宁贴心的为大家整理了一些专业金融知识。>>详细

下一代Wi-Fi 6标准正式启用 速度提升四成

和上一代的Wi-Fi 6技术标准相比，Wi-Fi 6的数据传输速度提高了四成。>>详细

快速了解电子缔约 看这一篇就够了

电子缔约产生的电子合同同样要求具备要约和承诺两个要件，在实质上与传统合同一致，同时依托可靠电子签名和可信时间戳技术，保证了电子合同的司法有效性。>>详细

CFCA亮相2019国家网络安全宣传周 守护网络“安全感”

中国金融认证中心（CFCA）作为中国银联子公司，携手四大明星产品，重磅亮相银联展位。>>详细

安全威胁播报

上周漏洞基本情况 

上周（2019年9月9日-15日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞365个，其中高危漏洞87个、中危漏洞253个、低危漏洞25个。漏洞平均分值为5.87。上周收录的漏洞中，涉及0day漏洞79个（占22%），其中互联网上出现“iF.SVNAdmin跨站请求伪造漏洞、Best Soft Inc.（BSI）Advance Hotel Booking System跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。System是其中的一个系统组件。上周，该产品被披露存在信息泄露漏洞，攻击者可利用漏洞获取受影响组件敏感信息。

CNVD收录的相关漏洞包括：Google Android System信息泄露漏洞（CNVD-2019-31033、CNVD-2019-31034、CNVD-2019-31035、CNVD-2019-31036、CNVD-2019-31037、CNVD-2019-31038、CNVD-2019-31041、CNVD-2019-31042）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

AdobeAcrobat是由Adobe公司开发的一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是Adobe公司开发的一款PDF文件阅读软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取信息或执行任意代码。

CNVD收录的相关漏洞包括：Adobe Acrobat/Reader缓冲区溢出漏洞（CNVD-2019-31021、CNVD-2019-31022）、Adobe Acrobat/Reader不可信指针解引用漏洞（CNVD-2019-30978、CNVD-2019-30979、CNVD-2019-30980、CNVD-2019-30981）、Adobe Acrobat/Reader整数溢出漏洞（CNVD-2019-31025）、Adobe Acrobat/Reader数据泄露漏洞。其中，“Adobe Acrobat/Reader缓冲区溢出漏洞（CNVD-2019-31021、CNVD-2019-31022）、Adobe Acrobat/Reader不可信指针解引用漏洞（CNVD-2019-30978、CNVD-2019-30979、CNVD-2019-30980、CNVD-2019-30981）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

GitLab产品安全漏洞

GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git（版本控制系统）项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞绕过项目可视性限制和合并请求的讨论限制，耗尽客户端资源，执行客户端代码或造成拒绝服务等。

CNVD收录的相关漏洞包括：GitLab跨站脚本漏洞（CNVD-2019-31313）、GitLab授权问题漏洞（CNVD-2019-31314）、GitLab拒绝服务漏洞（CNVD-2019-31315、CNVD-2019-31322）、GitLab限制绕过漏洞（CNVD-2019-31323、CNVD-2019-31324）、GitLab HTML注入漏洞（CNVD-2019-31316）、GitLab代码问题漏洞。其中，“GitLab代码问题漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

WordPress产品安全漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞向服务器发送非预期的请求，执行非法SQL命令。

CNVD收录的相关漏洞包括：WordPress wp-all-import插件SQL注入漏洞、WordPressnewsletter-by-supsystic插件跨站请求伪造漏洞、WordPresswp-business-intelligence-lite插件SQL注入漏洞、WordPress note-press插件SQL注入漏洞、WordPresseasy-digital-downloads插件SQL注入漏洞、WordPress 404-to-301插件SQL注入漏洞、WordPress i-recommend-this插件SQL注入漏洞、WordPress visitors-online插件SQL注入漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Xpdf缓冲区溢出漏洞（CNVD-2019-31202）

Xpdf是Foo实验室的一款开源的PDF阅读器。上周，Xpdf被披露存在缓冲区溢出漏洞，攻击者可利用该漏洞导致缓冲区溢出或堆溢出。

小结

上周，Google被披露存在信息泄露漏洞，攻击者可利用漏洞获取受影响组件敏感信息。此外，Adobe、GitLab、WordPress等多款产品被披露存在多个漏洞，攻击者可利用该漏洞绕过项目可视性限制和合并请求的讨论限制，耗尽客户端资源，执行任意代码或造成拒绝服务等。另外，Xpdf被披露存在缓冲区溢出漏洞，攻击者可利用该漏洞导致缓冲区溢出或堆溢出。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中证网、中国信息安全、腾讯科技、中国信通院、宁夏银行、北京农商银行e服务报道

责任编辑：韩希宇