国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞494个，互联网上出现“Apache mod_ssl远程缓冲区溢出漏洞、YouPHPTube SQL注入漏洞（CNVD-2019-41830）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

你的隐私谁来守护？行业专家呼吁构建金融数据治理法律框架

可以制定一个数据使用和安全的评估标准，如果企业能够达到优，则可进入的应用场景和业务范围也会更多更大，相对差的企业就要被限制业务范围。>>详细

2019支付安全报告：全球仅36.7%公司达标 亚太区合规能力较高

《支付安全报告》报告亦包括Verizon威胁研究谘询中心（VTRAC）的数据，显示超过95%欠缺妥善资料控制措施的合规计划无法持续，并较大机会成为网络攻击的目标。>>详细

电子数据司法效用难实现 证据保全来化解

随着无纸化时代的到来， 面对面的线下业务场景转至线上，如何将电子数据转化为电子证据，保证业务办理过程的安全性，降低电子缔约可能出现的司法风险也逐渐成为人们关注的焦点。>>详细

重磅！重庆高院发布金融商事审判白皮书

完善电子合同的签订流程和电子数据的认证及保存，选择具有认证资质的第三方认证机构进行数据的固定和认证，确保认证结论全面、清晰，并包含当事人签名真实性、合同条款的收悉认可、电子数据形成后未被篡改等必要内容。>>详细

汽车金融上线无纸化电子签名 这波操作很稳！

2018年11月，长城汽车金融与中国金融认证中心（CFCA）合作，在车贷E通APP中引入CFCA无纸化电子签名系统，大幅提升了贷款审批、合同审核及归档等环节的效率，是行业内一次成功的实践探索。>>详细

开曼国家银行已证实被黑客入侵：2.21 TB数据惨遭泄露

开曼国家银行非常重视任何违反数据安全的行为，正在进行专业的信息技术调查，并采取适当行动，以确保开曼国家银行和信托公司的客户得到相应保护。>>详细

Facebook与Twitter再曝漏洞！用户数据再次被共享？

在这个信息化时代下，这些信息合理使用的边界在哪里，服务机构是否具备安全保管用户信息的资质和能力，这些问题应当尽早纳入监管范畴，作出制度性的厘清和界定才能最大限度避免个人隐私信息泄露的风险。>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年11月18日-24日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞494个，其中高危漏洞147个、中危漏洞285个、低危漏洞62个。漏洞平均分值为5.63。上周收录的漏洞中，涉及0day漏洞145个（占29%），其中互联网上出现“Apache mod_ssl远程缓冲区溢出漏洞、YouPHPTube SQL注入漏洞（CNVD-2019-41830）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Apache产品安全漏洞

Apache Solr是一款基于Lucene（一款全文搜索引擎）的搜索服务器。Apache Guacamole是一款无客户端的远程桌面网关。Apache Thrift是一种接口定义语言和二进制通信协议，用于为多种语言定义和创建服务。Apache Traffic Server是一套可扩展的HTTP代理和缓存服务器。Apache Hadoop是一套开源的分布式系统基础架构。Apache MINA是一款网络应用程序框架。Apache Atlas是一个可扩展的核心基础治理服务集，使企业能够高效地满足Hadoop中的合规性要求，并允许与整个企业数据生态系统集成。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过安全限制并执行未授权的操作，执行客户端代码，导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括：Apache Solr认证绕过漏洞、Apache Guacamole信息泄露漏洞、Apache Thrift越界读取漏洞、Apache Traffic Server sslheader插件信息泄露漏洞、Apache Hadoop缓冲区溢出漏洞、Apache CXF OpenId connecttoken服务信息泄露漏洞、Apache MINA内存破坏漏洞、Apache Atlas存储型跨站脚本漏洞。其中，“Apache Solr认证绕过漏洞、Apache CXF OpenId connect token服务信息泄露漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Huawei产品安全漏洞

HuaweiP30、Mate 9 Pro、AR1200和P20等都是中国华为（Huawei）公司的一款智能手机。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取受影响组件敏感信息，执行恶意代码等。

CNVD收录的相关漏洞包括：Huawei P30、Huawei P30 Pro和Honor Princeton-AL10B条件竞争漏洞、Huawei Mate 9 Pro信息泄露漏洞（CNVD-2019-41253）、多款Huawei产品FRP绕过漏洞、多款Huawei产品数字签名校验绕过漏洞、Huawei Emily-L29C信息泄露漏洞、Huawei P20访问控制不当漏洞、Huawei P20文件管理不当漏洞、Huawei P30、Mate20和P30 Pro缓冲区溢出漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行代码。

CNVD收录的相关漏洞包括：Google Android System组件提权漏洞、Google Android System组件缓冲区溢出漏洞（CNVD-2019-41732）、Google Android System组件信息泄露漏洞（CNVD-2019-41735）、Google Android Framework组件权限提升漏洞（CNVD-2019-41736、CNVD-2019-41737）、Google Android Library缓冲区溢出漏洞、Google Android缓冲区溢出漏洞（CNVD-2019-41738）、Google Android权限提升漏洞（CNVD-2019-41901）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux产品安全漏洞

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。上周，上述产品被披露存在内存泄露漏洞，攻击者可利用漏洞造成拒绝服务（内存消耗）。

CNVD收录的相关漏洞包括：Linux kernel内存泄露漏洞（CNVD-2019-41709、CNVD-2019-41710、CNVD-2019-41711、CNVD-2019-41712、CNVD-2019-41713、CNVD-2019-41714、CNVD-2019-41716、CNVD-2019-41717）。目前，厂商已经发布了上述漏洞的修补程序。

IBM Maximo Asset Management权限提升漏洞

IBM Maximo Asset Management是一套综合性资产生命周期和维护管理解决方案。该方案能够在一个平台上管理所有类型的资产，如设施、交通运输等，并对这些资产实现单点控制。上周，IBM Maximo AssetManagement被披露存在权限提升漏洞。攻击者可利用该漏洞删除无权限删除的记录。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Apache产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过安全限制并执行未授权的操作，执行客户端代码，导致缓冲区溢出或堆溢出等。此外，Huawei、Google、Linux等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取受影响组件敏感信息，提升权限，执行恶意代码，造成拒绝服务（内存消耗）等。另外，IBM Maximo Asset Management被披露存在权限提升漏洞。攻击者可利用该漏洞删除无权限删除的记录。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、金融四十人论坛、重庆市高级人民法院、移动支付网、嘶吼网、CSDN报道

责任编辑：韩希宇