国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞505个，互联网上出现“YzmCMS跨站请求伪造漏洞（CNVD-2019-33085）、WordPress yawpp插件跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

《个人金融信息保护试行办法》出炉 已在征求意见中

银行将根据该办法的要求，对提供业务数据的第三方机构进行摸排。对于不能保证数据来源合法的数据供应商，要停止合作。>>详细

App信息安全“大考”在即 金融支付企业如何合规？

在风控体系中，通过读取用户通讯录、通话记录判断账户真实性一度是金融支付机构的常用手段，特别在网贷App中，用户通讯录更是成为催收利器。>>详细

网络安全引发社会聚焦：金融大数据行业亟待治理合规

在数据安全成为风口的当下，此次政策红利的引导，将进一步助力网络安全行业快速发展。>>详细

刷脸付叫好不叫座，消费者和商家均担心风险大不愿用

消费者和商家在感到新鲜、好奇的同时也发现，这一设备利用率较低，体验也没有二维码支付好，还存在个人信息泄露的风险。>>详细

注意！微信支付宝绑定银行卡的，赶紧删了手机里这些“照片”！

自从移动支付出现以后，我们使用银行卡的频率越来越低，都习惯了将银行卡和手机绑定去消费。>>详细

无卡号+动态码就安全吗？Apple Card同样有克隆盗刷风险

虽然理论上这样的设计不容易被克隆和盗刷，但事实上它依然和传统信用卡或者借记卡一样容易受到克隆的影响。>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年9月23日-29日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞505个，其中高危漏洞126个、中危漏洞327个、低危漏洞52个。漏洞平均分值为5.62。上周收录的漏洞中，涉及0day漏洞171个（占34%），其中互联网上出现“YzmCMS跨站请求伪造漏洞（CNVD-2019-33085）、WordPress yawpp插件跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Huawei产品安全漏洞

Huawei P30是一款智能手机。Huawei Mate RS是一款智能手机。Huawei PCManager是一套电脑管理软件。Huawei CloudEngine 6800是一款面对数据中心的6800系列万兆以太网交换机。Huawei Emily-L29C是一款智能手机。Huawei P20是一款智能手机。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞绕过FRP功能并获取权限，导致程序崩溃或执行任意代码等。

CNVD收录的相关漏洞包括：Huawei P30整形溢出漏洞（CNVD-2019-33477、CNVD-2019-33478）、Huawei Mate RS锁屏绕过漏洞、Huawei PCManager代码执行漏洞、Huawei CloudEngine 6800鉴权不当漏洞、Huawei Emily-L29C重释放漏洞、Huawei P20 FRP安全绕过漏洞、Huawei Emily-L29C FRP绕过漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

MicrosoftWindows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Internet Explorer（IE）是一款Windows操作系统附带的Web浏览器。上周，上述产品被披露存在提权和远程代码执行漏洞，攻击者可利用漏洞提升权限，执行任意代码，造成内存破坏。

CNVD收录的相关漏洞包括：Microsoft Windows和Windows Server远程代码执行漏洞、Microsoft Windows kernelimage提权漏洞、Microsoft Windows和Windows Server提权漏洞（CNVD-2019-33312、CNVD-2019-33319、CNVD-2019-33320）、Microsoft Windows Kernel提权漏洞（CNVD-2019-33327）、Microsoft DirectX提权漏洞、Microsoft Internet Explorer远程代码执行漏洞（CNVD-2019-33597）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

ApacheTapestry是一款使用Java语言编写的Web应用程序框架。Apache OFBiz是一套企业资源计划（ERP）系统。Apache Commons Compress是一个用于处理压缩文件的库。Apache VCL是一套开源的云计算平台。Apache httpd是一款专为现代操作系统开发和维护的开源HTTP服务器。Apache PDFBox是一款基于Java语言的开源工具库。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，造成拒绝服务（崩溃）等。

CNVD收录的相关漏洞包括：Apache Tapestry代码问题漏洞、Apache OFBiz代码执行漏洞、Apache OFBizjava.io.ObjectInputStream反序列化代码执行漏洞、Apache httpd mod_http2拒绝服务漏洞、Apache Commons Compress拒绝服务漏洞、Apache VCL输入验证错误漏洞、Apache httpd缓冲区溢出漏洞（CNVD-2019-33835）、Apache PDFBox代码问题漏洞。其中，除“Apache Commons Compress拒绝服务漏洞、Apache httpd缓冲区溢出漏洞（CNVD-2019-33835）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Security Key Lifecycle Manager（Tivoli Key Lifecycle Manager）是一套密钥生命周期管理软件。IBM DB2是一套关系型数据库管理系统。IBM Cognos Analytics一套商业智能软件。IBM API Connect（APIConnect）是一套用于管理API生命周期的集成解决方案。IBM Cognos Analytics是一套商业智能软件。IBM Spectrum Protect Plus是一套数据保护平台。IBM MQ（IBMWebSphere MQ）是一款消息传递中间件产品。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码，造成拒绝服务等。

CNVD收录的相关漏洞包括：IBM Security Key LifecycleManager信息泄露漏洞（NVD-C-2019-137712）、IBM DB2缓冲区溢出漏洞（CNVD-2019-33768）、IBM Cognos Analytics拒绝服务漏洞、IBM DB2 High Performance Unload load for LUW权限许可和访问控制问题漏洞、IBM API Connect访问控制错误漏洞、IBM Cognos Analytics路径遍历漏洞、IBM Spectrum Protect Plus权限许可和访问控制问题漏洞（CNVD-2019-33776）、IBM MQ权限许可和访问控制问题漏洞。其中，除“IBM Security Key Lifecycle Manager信息泄露漏洞（NVD-C-2019-137712）、IBM Cognos Analytics路径遍历漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

LG GAMP-7100、GAPM-7200和GAPM-8000信息泄露漏洞

LG GAMP-7100等都是韩国乐金（LG）公司的一款路由器。上周，LG GAMP-7100、GAPM-7200和GAPM-8000被披露存在信息泄露漏洞。未授权的攻击者可利用漏洞获取受影响组件敏感信息。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Huawei产品被披露存在多个漏洞，攻击者可利用漏洞绕过FRP功能并获取权限，导致程序崩溃或执行任意代码等。此外，Microsoft、Apache、IBM等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码，造成拒绝服务等。另外，LG GAMP-7100、GAPM-7200和GAPM-8000被披露存在信息泄露漏洞。未授权的攻击者可利用漏洞获取受影响组件敏感信息。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、央视财经、央广网、亿欧网、移动支付网、cnBeta、消金界报道

责任编辑：韩希宇