国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞431个，互联网上出现“WordPress Nashvilleparent Themes开放重定向漏洞、Joomla! com_fabrik目录遍历漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

市场监管总局 国家密码管理局关于开展商用密码检测认证工作的实施意见

商用密码认证机构应当按照有关规定报送商用密码认证实施情况及认证证书信息。>>详细

实战 | 密钥管理国际标准进展及采标情况

密钥在所有的依赖于密码技术的安全系统中都是最为关键的部分之一，这导致密码机制的安全性和可靠性直接取决于密钥这一安全参数的管理。>>详细

大额转账、合同签署、评标签名……一部手机就能搞定？

云证通是中国金融认证中心（CFCA）移动数字证书产品，采用国密SM2算法，将移动终端作为证书载体，以密钥分散技术提供协同签名服务。>>详细

我国商用密码管理现状与发展对策建议

作为实现网络安全最有效、最经济的手段，互联网的安全发展需要充分发挥密码的核心保障能力。>>详细

不注意这些情况，你签的电子合同可能会被判无效！

《数字签名验签报告》的实际意义在于，一旦出现法律纠纷，根据《电子签名法》《电子认证服务管理办法》等相关法律规定，CA机构将本着独立、客观、公正的原则，提供权威的第三方的电子签名可靠性证明。>>详细

谭晓生：新冠疫情对中国网络安全产业发展的影响

数据安全在疫情过后肯定会引起关注，这对从事数据安全、用户隐私保护产品或服务的公司都是机会。>>详细

用户支付安全诉求提升 英国数字银行Revolut推出一次性虚拟信用卡

近期英国数字银行Revolut推出一次性虚拟信用卡，卡号用完自动销毁。>>详细

数以万计的私人Zoom录像被无意上传到视频云 供任何人在线观看

成千上万的私人Zoom录像被视频会议发起者上传到了不同的视频网站和视频云，任何人都可以在网上观看。>>详细

大型打脸现场：“世界最安全云备份“发生超大规模数据泄露

近日，号称“世界上最安全的在线备份”云备份提供商SOS，发生了超大规模数据泄露。>>详细

安全威胁播报

上周漏洞基本情况

上周（3月30日-4月5日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞431个，其中高危漏洞207个、中危漏洞184个、低危漏洞40个。漏洞平均分值为6.67。上周收录的漏洞中，涉及0day漏洞151个（占35%），其中互联网上出现“WordPress Nashvilleparent Themes开放重定向漏洞、Joomla! com_fabrik目录遍历漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft ChakraCore和MicrosoftEdge都是美国微软（Microsoft）公司的产品。ChakraCore是使用在Edge浏览器中的一个开源的ChakraJavaScript脚本引擎的核心部分，也可作为单独的JavaScript引擎使用。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码，破坏内存。

CNVD收录的相关漏洞包括：Microsoft ChakraCore和Edge远程代码执行漏洞（CNVD-2020-19965、CNVD-2020-19967、CNVD-2020-20367、CNVD-2020-20365、CNVD-2020-20368、CNVD-2020-20369、CNVD-2020-20370、CNVD-2020-20376）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Qualcomm产品安全漏洞

QualcommMDM9206等都是美国高通（Qualcomm）公司的产品。MDM9206是一款中央处理器（CPU）产品。SDX24是一款调制解调器。MSM8917是一款中央处理器（CPU）产品。上周，上述产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码，导致拒绝服务和缓冲区溢出等。

CNVD收录的相关漏洞包括：多款Qualcomm产品缓冲区溢出漏洞（CNVD-2020-20195、CNVD-2020-20196、CNVD-2020-20197、CNVD-2020-20202、CNVD-2020-20203）、多款Qualcomm产品Data Modem缓冲区溢出漏洞（CNVD-2020-20198、CNVD-2020-20199、CNVD-2020-20200）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

CloudBees产品安全漏洞

CloudBeesJenkins（Hudson Labs）是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。Splunk Plugin是使用在其中的一个用于监控Jenkins主从基础架构、作业和构建过程的插件。Artifactory Plugin是使用在其中的一个用于发布、解析和发布可跟踪的构建工件的插件。LTS是CloudBeesJenkins的一个长期支持版本。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码等。

CNVD收录的相关漏洞包括：CloudBees Jenkins Sandbox认证绕过漏洞、CloudBees Jenkins Artifactory插件信息泄露漏洞、CloudBees Jenkins代码问题漏洞（CNVD-2020-20404、CNVD-2020-20405）、CloudBees Jenkins信息泄露漏洞、CloudBees Jenkins和LTS授权问题漏洞、CloudBees Jenkins Artifactory插件跨站脚本漏洞、CloudBees Jenkins跨站请求伪造漏洞（CNVD-2020-20705）。其中“CloudBees Jenkins Artifactory插件跨站脚本漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Tivoli Netcool Impact是美国IBM公司的一套网络管理软件。该软件具备自动支持关键业务功能，并提供一个可对实时的数据、事件和指示符进行统一访问的平台。IBM Spectrum Protect Plus是一套数据保护平台。该平台为企业提供单一控制和管理点，并支持对所有规模的虚拟、物理和云环境进行备份和恢复。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意命令，导致拒绝服务等。

CNVD收录的相关漏洞包括：IBM Tivoli Netcool Impact跨站请求伪造漏洞（CNVD-2020-20673、CNVD-2020-20675）、IBM Tivoli Netcool Impact拒绝服务漏洞、IBM Tivoli Netcool Impact跨站脚本漏洞（CNVD-2020-20671）、IBM Spectrum Protect Plus命令执行漏洞（CNVD-2020-20699、CNVD-2020-20702、CNVD-2020-20698）、IBM Spectrum Protect Plus身份验证绕过漏洞。其中，除 “IBM Tivoli Netcool Impact拒绝服务漏洞、IBM Tivoli Netcool Impact跨站脚本漏洞（CNVD-2020-20671）、IBM Tivoli Netcool Impact跨站请求伪造漏”外，其余漏洞的综合评级为“高危”，目前，厂商已经发布了上述漏洞的修补程序。

Phoenix Contact PC WORX SRT权限提升漏洞

Phoenix Contact PC WORX SRT是德国菲尼克斯电气（Phoenix Contact）公司的一款可编程逻辑控制器。上周，Phoenix Contact PC WORXSRT被披露存在权限提升漏洞。攻击者可利用该漏洞提升权限。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码，破坏内存。此外Qualcomm、CloudBees、IBM等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码，造成拒绝服务和缓冲区溢出等。另外，Phoenix Contact PC WORX SRT被披露存在权限提升漏洞。攻击者可利用该漏洞提升权限。

中国电子银行网综合CNVD、国家密码管理局、金融电子化、信息安全与通信保密杂志社、金卡生活、中国信息安全、安全牛、cnBeta.COM报道

责任编辑：韩希宇