国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞488个，互联网上出现“Joomla! configuration.php文件RCE漏洞、Zoho ManageEngineOpManager SQL注入漏洞（CNVD-2019-34852） ”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

院士何积丰：构建安全可信的人工智能

数据隐私种类不同，如果在特定领域大量数据被出售，那么可能会牵涉国家安全，而且数据隐私问题的级别处理相差很大，大数据存在被滥用的迹象。>>详细

世界互联网大会组委会发布《携手构建网络空间命运共同体》概念文件

《携手构建网络空间命运共同体》积极回应各方期待，全面阐释“构建网络空间命运共同体”理念的时代背景、基本原则、实践路径和治理架构，倡议国际社会携手合作，共谋发展福祉，共迎安全挑战。>>详细

公安部：封停部分电诈严重区的微信、支付宝、POS机

《通告》指出，针对中缅边境地区电信网络诈骗犯罪活动猖獗、严重侵害人民群众财产安全的情况，国务院打击治理电信网络新型违法犯罪工作部际联席会议办公室正在组织开展专项打击行动。>>详细

NatWest首次推出生物识别信用卡 交易金额最高为100英镑

NatWest银行此前曾试用过生物识别储蓄卡而这次将是首次发行信用卡。>>详细

“谁”在保护你手机里的钱

为打造一把网络世界的新安全钥匙，FIDO技术应运而生。>>详细

要上云，还要实现高安全级别……业务系统：我太难了！

系统“上云”后，将无法使用任何外接硬件设备，如何还能安全高效地实现密码应用？这一问题正在变得日益凸显，甚至一定程度上阻碍了国内云计算产业的发展。>>详细

滴～安心卡，账户安全保障计划来了！

账户安全保障计划是指在一定额度内保障客户因遭遇手机、银行卡失窃、盗用、木马等情形而通过线上或线下交易渠道发生本人名下本行账户资金损失的风险补偿。>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年9月30日-10月13日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞488个，其中高危漏洞116个、中危漏洞322个、低危漏洞50个。漏洞平均分值为5.82。上周收录的漏洞中，涉及0day漏洞157个（占32%），其中互联网上出现“Joomla! configuration.php文件RCE漏洞、Zoho ManageEngineOpManager SQL注入漏洞（CNVD-2019-34852） ”等零日代码攻击漏洞。

上周重要漏洞安全告警

泛微e-cology OA系统Wo***接口存在SQL注入漏洞

泛微协同管理应用平台（e-cology）是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。上周，该产品被披露存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

CNVD收录的相关漏洞包括：泛微e-cology OA系统Wo***接口存在SQL注入漏洞。上述漏洞的综合评级为“高危”。目前，厂商尚未发布上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。ChakraCore是使用在Edge浏览器中的一个开源的ChakraJavaScript脚本引擎的核心部分，也可作为单独的JavaScript引擎使用。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。Microsoft SharePoint是一套企业业务协作平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码等。

CNVD收录的相关漏洞包括：Microsoft Windows和Windows Server输入验证错误漏洞、Microsoft Windows和Windows Server Jet Database Engine远程代码执行漏洞、Microsoft Windows和Windows Server提权漏洞（CNVD-2019-34581）、Microsoft Windows和Windows Server远程执行代码漏洞、Microsoft Windows Hyper-V远程执行代码漏洞（CNVD-2019-34587）、Microsoft Windows Jet Database Engine远程代码执行漏洞（CNVD-2019-34741）、Microsoft Edge和ChakraCore内存破坏漏洞（CNVD-2019-34742）、Microsoft SharePoint权限提升漏洞（CNVD-2019-34774）。其中，除“Microsoft SharePoint权限提升漏洞（CNVD-2019-34774）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco Firepower Management Center（FMC）是美国思科（Cisco）公司的新一代防火墙管理中心软件。上周，上述产品被披露存在SQL注入漏洞，攻击者可通过发送特制的SQL查询利用该漏洞查看信息并在底层操作系统中执行命令。

CNVD收录的相关漏洞包括：Cisco Firepower ManagementCenter SQL注入漏洞（CNVD-2019-34714、CNVD-2019-34719、CNVD-2019-34731、CNVD-2019-34732、CNVD-2019-34736、CNVD-2019-34733、CNVD-2019-34737、CNVD-2019-34738）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Android是美国Google公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在信息泄露和拒绝服务漏洞，攻击者可利用漏洞获取受影响组件敏感信息，导致拒绝服务。

CNVD收录的相关漏洞包括：Google Android拒绝服务漏洞（CNVD-2019-34131、CNVD-2019-34133）、Google Android信息泄露漏洞（CNVD-2019-34132、CNVD-2019-34134、CNVD-2019-34398、CNVD-2019-34399、CNVD-2019-34400）、Google Android VPN信息泄露漏洞。其中，“Google Android拒绝服务漏洞（CNVD-2019-34131）、Google Android VPN信息泄露漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle Fusion Middleware（Oracle融合中间件）是一套面向企业和云环境的业务创新平台。Oracle GraalVM是一套使用Java语言编写的即时编译器。Oracle HospitalityApplications是一套用于酒店管理的业务应用程序、服务器和存储解决方案。Oracle Hyperion是一套财务建模应用软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞影响数据的保密性、完整性和可用性。

CNVD收录的相关漏洞包括：Oracle Fusion MiddlewareBI Publisher组件信息泄露漏洞、Oracle Fusion MiddlewareHTTP Server组件访问控制错误漏洞、Oracle Fusion MiddlewareIdentity Manager组件访问控制错误漏洞、Oracle GraalVM访问控制错误漏洞、Oracle Hospitality Applications Hospitality Suite8组件信息泄露漏洞、Oracle Hyperion Hyperion Planning组件访问控制错误漏洞、Oracle Fusion Middleware BI Publisher信息泄露漏洞、Oracle Fusion Middleware SOA Suite 访问控制错误漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Linear eMerge 50P/5000P文件上传漏洞

Linear eMerge 50P/5000P是Nortek Security＆Control推出的通过浏览器管理的门禁安全系统。上周，Linear eMerge 50P/5000P被披露存在文件上传漏洞。攻击者可利用该漏洞将具有任意扩展名的文件上传到应用程序的Web根目录中的目录，并以Web服务器的权限执行上传的文件。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，泛微e-cology OA系统Wo***接口被披露存在SQL注入漏洞，攻击者可利用漏洞获取数据库敏感信息。此外，Microsoft、Cisco、Google、Oracle等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取受影响组件敏感信息，提升权限，执行任意代码，导致拒绝服务等。另外，Linear eMerge 50P/5000P被披露存在文件上传漏洞。攻击者可利用该漏洞将具有任意扩展名的文件上传到应用程序的Web根目录中的目录，并以Web服务器的权限执行上传的文件。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、世界互联网大会官网、信息安全与通信保密、浦发银行、移动支付网、太平洋电脑网报道

责任编辑：韩希宇