国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞514个，互联网上出现“Wordpress插件contact-form远程文件上传漏洞、Kyrol Internet Security无效指针漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

央行科技司司长李伟：金融行业IPv6规模部署取得阶段性成效

系统谋划了金融行业IPv6改造方案，提出了金融行业IPv6规模部署的规划和推进路径。>>详细

《商业银行应用程序接口安全管理规范》金融行业标准正式发布

标准规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。>>详细

《金融分布式账本技术安全规范》金融行业标准正式发布

标准规定了金融分布式账本技术的安全体系，包括基础硬件、基础软件、密码算法、节点通信、账本数据、共识协议、智能合约、身份管理、隐私保护、监管支撑、运维要求和治理机制等方面。>>详细

市场监管总局：《关于开展商用密码检测认证工作的实施意见（征求意见稿）》

商用密码认证机构应当符合有关行政法规、规章规定的基本条件，具备从事商用密码认证活动的专业能力，并经市场监管总局征求国家密码管理局意见后批准取得资质。>>详细

一波在线操作解燃眉之急 企业防疫办公两不误（三）

“云办公”模式效率有了，安全跟上来了吗？可不可靠？是否合法可信？>>详细

创新升级！CFCA远程异地分散评标方案落地多项目

疫情防控当前，CFCA基于PC和移动模式的远程异地分散评标安全解决方案，能够实现专家“足不出户”“不见面”分散评标。>>详细

电信网络诈骗犯罪的洗钱分析与识别

不法分子通过电话、短信、网络等途径发布欺诈信息，诱使被害人将银行帐户、支付帐户内的资金划转到指定帐户中。>>详细

微盟事件致市值蒸发超10亿，SaaS风口安全预警

犯罪嫌疑人是微盟研发中心运维部核心运维人员贺某，于2月23日晚18点56分通过个人VPN登入公司内网跳板机，因个人精神、生活等原因对微盟线上生产环境进行了恶意破坏。>>详细

黑客在PayPal的Google Pay集成中发现漏洞 进行未经授权的付款

当用户将PayPal帐户链接到Google Pay帐户时，PayPal会创建一个虚拟卡，其中包含其自己的卡号，有效期和CVC。>>详细

安全威胁播报

上周漏洞基本情况 

上周（2020年2月17日-23日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）共收集、整理信息安全漏洞514个，其中高危漏洞200个、中危漏洞271个、低危漏洞43个。漏洞平均分值为6.35。收录的漏洞中，涉及0day漏洞233个（占45%），其中互联网上出现“Wordpress插件contact-form远程文件上传漏洞、Kyrol Internet Security无效指针漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Cisco产品安全漏洞

Cisco IoT Field Network Director（IoT-FND）是美国思科（Cisco）公司的一套端到端的物联网管理系统。Cisco Data Center Network Manager (DCNM)是Cisco的一套数据中心网络管理器。Cisco Enterprise NFVInfrastructure Software是一款轻量级虚拟化平台。Cisco Cloud Web Security是一种全面的云交付的web防御解决方案。Cisco Unified ContactCenter Enterprise采用了一个IP基础设施来提供基于技能的联系路由、语音自 助服务、计算机电话集成（CTI）和多渠道联系管理。Cisco Webex Teams是一款团队协作应用程序。Cisco HyperFlex Software是一套可扩展的分布式文件系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意命令，导致拒绝服务等。

CNVD收录的相关漏洞包括：Cisco Data Center NetworkManager权限提升漏洞（CNVD-2020-10705）、Cisco Enterprise NFV Infrastructure Software远程代码执行漏洞、Cisco Cloud Web Security SQL注入漏洞、Cisco Data Center Network Manager跨站请求伪造漏洞（CNVD-2020-10707）、Cisco Unified ContactCenter Enterprise拒绝服务漏洞、Cisco IoT Field NetworkDirector XML外部实体注入漏洞、Cisco Webex Teams操作系统命令注入漏洞、Cisco HyperFlex Software访问控制错误漏洞。其中，“Cisco Data Center Network Manager权限提升漏洞（CNVD-2020-10705）、Cisco Data Center NetworkManager跨站请求伪造漏洞（CNVD-2020-10707）、Cisco Webex Teams操作系统命令注入漏洞、Cisco HyperFlex Software访问控制错误漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。Intel产品安全漏洞

IntelBaseboard Management Controller（BMC）是美国英特尔（Intel）公司的一款基板管理控制器。Intel Manycore Platform Software Stack（MPSS）是一个众核平台软件堆栈，它是运行英特尔至强融核（XeonPhi）协处理器的必要条件。Intel RAID Web Console 3（RWC3）是一款基于Web的、为Intel RAID产品提供监控、维护、故障处理和配置功能的应用程序。Intel Converged Securityand Management Engine（CSME）是一款安全管理引擎。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，获取敏感信息，导致拒绝服务等。

CNVD收录的相关漏洞包括：Intel CSME不正确认证错误漏洞、Intel RAID Web Console 3 (RWC3) for Windows权限提升漏洞、Intel Manycore Platform Software Stack (MPSS)权限提升漏洞、Intel Baseboard Management Controller信息泄露漏洞、Intel Baseboard Management Controller缓冲区溢出漏洞（CNVD-2020-12697）、Intel Baseboard Management Controller拒绝服务漏洞、Intel Baseboard Management Controller内存损坏漏洞、Intel Baseboard Management Controller输入验证错误漏洞。其中，除“Intel Baseboard Management Controller信息泄露漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

AdobeAcrobat是由Adobe公司开发的一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是Adobe公司开发的一款PDF文件阅读软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，写入任意文件系统。

CNVD收录的相关漏洞包括：Adobe Acrobat和Reader权限提升漏洞（CNVD-2020-10134）、Adobe Acrobat和Reader内存错误引用漏洞（CNVD-2020-10136、CNVD-2020-10137、CNVD-2020-10138、CNVD-2020-10139、CNVD-2020-10140、CNVD-2020-10141、CNVD-2020-10148）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Lenovo产品安全漏洞

Lenovo XClarity Controller（XCC）是一款服务器嵌入式管理引擎。Lenovo System InterfaceFoundation是一系列支持Lenovo Vantage应用程序的系统服务、驱动程序和插件。Lenovo Power Management是专为笔记本电脑设计的一套用于管理笔记本电源的系统。Lenovo XClarityAdministrator（LXCA）是中国联想（Lenovo）公司的一套集中式资源管理解决方案。Lenovo 510 15IKL是一款台式计算机。IdeaCentre 300-20ISH是一款电脑一体机设备。IdeaCentre 510-15ICB是一款电脑一体机设备。Lenovo System Interface Foundation是一系列支持Lenovo Vantage应用程序的系统服务、驱动程序和插件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取信息，执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Lenovo System InterfaceFoundation未签名DLL加载漏洞、Lenovo Power Management Driver拒绝服务漏洞、Lenovo XClarity Administrator跨站脚本漏洞（CNVD-2020-09985）、Lenovo XClarityAdministrator访问控制错误漏洞、Lenovo XClarityAdministrator代码问题漏洞、Lenovo ThinkPad输入验证错误漏洞、Lenovo System Interface Foundation任意代码执行漏洞、Lenovo XClarity ControllerCSV注入漏洞。其中，“Lenovo System InterfaceFoundation未签名DLL加载漏洞、Lenovo XClarity Administrator访问控制错误漏洞、Lenovo ThinkPad输入验证错误漏洞、Lenovo System  Interface Foundation任意代码执行漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Foxit PhantomPDF缓冲区溢出漏洞（CNVD-2020-10510）

Foxit PhantomPDF是中国福昕（Foxit）公司的一款PDF文档阅读器。上周，Foxit PhantomPDF被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞执行任意代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Cisco产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意命令，导致拒绝服务等。此外，Intel、Adobe、Lenovo等多款产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，获取敏感信息，执行任意命令，导致拒绝服务等。另外，Foxit PhantomPDF被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、市场监管总局、全国金融标准化技术委员会、金融电子化、第一财经、cnBeta.COM报道

责任编辑：韩希宇