国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞478个，互联网上出现“Apache Solr基于Velocity模板远程命令执行漏洞、ACTi ACM-5611 Camera远程命令执行漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

2020年网络安全的四大变化

随着 2019 年的结束，安全分析师们往往会编制一份行业预测清单。这份清单将列出企业安全技术领域前所未有的变化。>>详细

大型互联网公司数据安全实践

用户的一个购买行为，沿途可能经过若干路径，每个路径下面又包含N多分叉。最终交易成功，可能会被几百个服务调用，这些服务同时又对应到后台，最终可能有几千人会看到，究竟是谁泄漏了，如同大海捞针。>>详细

台州信保“最后一公里”加速跑 小微企业：融资终于不难了！

2019年，台州信保二期系统搭载CFCA安心签电子合同平台服务，正式上线，5月16日，开出首笔保额高达150万元的电子保函。>>详细

CFCA获得2019年全国网络安全等级测评机构网络安全攻防大赛（机构赛）三等奖

2019年11月3日，中关村信息安全测评联盟暨ITSTEC-PTP-0062019网络安全等级保护测评能力验证与攻防比赛在北京科技大学拉开帷幕。>>详细

CFCA证据保全：基于司法区块链的证据采验直通车

区块链与电子证据保全结合，使电子证据数据可以实时、有效的触达到区块链各节点参与方，大大提高电子证据数据的原始性和合法性，方便司法审判机构针对电子证据数据的认定、追溯，提高诉讼效率。>>详细

腾讯积极拥抱监管，携手银行、银联推动刷脸支付安全合规落地

腾讯公司表示将严格遵守金融监管要求，认真落实央行《金融科技（FinTech）发展规划（2019—2021年）》，积极参与6部委联合开展的金融科技应用试点，稳妥推进人脸识别技术线下支付安全应用，切实平衡好支付服务安全与便捷的关系。>>详细

工信部整治APP侵权行为 私自收集个人信息等8类问题被点名

《通知》指出，将对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面8类问题开展规范整治工作。>>详细

网络平台泄露多少用户信息可入罪？ 司法解释来了

《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》正式施行。>>详细

FATF发布《数字身份系统使用指南》意见征询

在本次征询中，FATF还想了解除文件提及的风险外，使用数字ID还会引发哪些问题，以及如何通过数字ID支持普惠金融发展。>>详细

三星推送指纹更新：微信、支付宝相关功能仍需12周恢复

有内测群友爆料，微信最快下周重新开通，阿里方面则要推迟到11月13日后、即双11高峰期过去之后再择机恢复。>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年10月28日-11月3日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞478个，其中高危漏洞92个、中危漏洞339个、低危漏洞47个。漏洞平均分值为5.36。上周收录的漏洞中，涉及0day漏洞101个（占21%），其中互联网上出现“Apache Solr基于Velocity模板远程命令执行漏洞、ACTi ACM-5611 Camera远程命令执行漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Chrome是一款Web浏览器。Android是美国Google公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码。

CNVD收录的相关漏洞包括：Google Android远程代码执行漏洞（CNVD-2019-37947、CNVD-2019-37953、CNVD-2019-37954）、Google Android提权漏洞（CNVD-2019-37971）、Google Chrome权限许可和访问控制问题漏洞（CNVD-2019-38243、CNVD-2019-38246、CNVD-2019-38251）、Google Chrome代码注入漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux产品安全漏洞

Linuxkernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意命令，导致拒绝服务等。

CNVD收录的相关漏洞包括：Linux kernel内存破坏漏洞（CNVD-2019-37726）、Linux Kernel空指针解引用漏洞（CNVD-2019-38263、CNVD-2019-38266）、Linux kernel输入验证错误漏洞（CNVD-2019-38515）、Linux kernel缓冲区溢出漏洞（CNVD-2019-38516、CNVD-2019-38519）、Linux kernel本地特权升级漏洞、Linux kernel越界访问漏洞（CNVD-2019-38518）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

WordPress产品安全漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。wps-hide-login是使用在其中的一个隐藏登录插件。syndication-links是使用在其中的一个页面链接添加插件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行客户端代码、进行服务器端请求伪造攻击等。

CNVD收录的相关漏洞包括：WordPress跨站请求伪造漏洞（CNVD-2019-37377）、WordPress输入验证错误漏洞（NVD-C-2019-153344）、WordPress跨站脚本漏洞（CNVD-2019-37380）、WordPress信息泄露漏洞（CNVD-2019-37381）、WordPress服务器端请求伪造漏洞（CNVD-2019-37383、CNVD-2019-37382）、WordPresssyndication-links插件跨站脚本漏洞、WordPress wps-hide-login插件跨站请求伪造漏洞。其中“WordPress服务器端请求伪造漏洞（CNVD-2019-37383、CNVD-2019-37382）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows和MicrosoftWindows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Windows Jet Database Engine是其中的一个数据库引擎。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Microsoft Jet DatabaseEngine远程代码执行漏洞（CNVD-2019-38614、CNVD-2019-38615、CNVD-2019-38616、CNVD-2019-38617、CNVD-2019-38618、CNVD-2019-38619、CNVD-2019-38620、CNVD-2019-38621）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

SageMath Sage Cell Server操作系统命令注入漏洞

SageMath Sage Cell Server是一款Cell服务器，它能够提供将Sage计算嵌入到网页中的方法。上周，SageMath Sage Cell Server被披露存在操作系统命令注入漏洞。攻击者可利用该漏洞在底层操作系统上执行任意命令。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码。此外，Linux、WordPress、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞执行任意命令，导致拒绝服务等。另外，SageMath Sage Cell Server操作系统命令注入漏洞。攻击者可利用该漏洞在底层操作系统上执行任意命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、每日经济新闻、腾讯科技、未央网、中新经纬、驱动之家、安全牛、美团安全应急响应中心报道

责任编辑：韩希宇