国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞415个，互联网上出现“Apache Solr Velocity Template远程代码执行漏洞、WordPress Randy Peterman Murph StatTraq SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

总体国家安全观与金融安全

2020年4月15日是我国第五个全民国家安全教育日。今年的主题是：坚持总体国家安全观，统筹传统安全和非传统安全，为决胜全面建成小康社会提供坚强保障。>>详细

金融网络安全关乎你我

合理使用电子银行安全认证方式相当于给账户或资金上了锁，能够大大降低网络支付风险，使支付更加安全，更有保障。>>详细

学习密码法 筑牢安全防线

开展密码法制宣传教育活动，是坚持总体国家安全观的需要，对保障人民银行依法履行好服务实体经济、维护金融安全等职责具有重要意义。>>详细

全新交互体验，降本还安全！招投标移动化转型「四步走」

在投标阶段中，移动端认证用户，需要保证投标文件的不可篡改，可以使用数字证书、电子签章等方式进行。>>详细

一图读懂《中华人民共和国密码法》

密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。>>详细

评论丨重视数据的要素属性，打造国内高效一体化供应链

保障数字安全，建立合理的隐私保护制度。数据需要从资源变为可用于营利和非营利性使用的数据资本，需要建立在合法保障隐私的基础上。>>详细

账户被盗：同花顺事件波及十多家券商 你的账户安全吗？

盘点过去一周的行业热点，股民“账号被盗高位接盘”的奇葩剧情仍处于C位。>>详细

密码服务支撑新基建：5G V2X中的密码

由于具有低时延、高可靠、高速率的优点，5G将成为V2X信息交互的最佳通讯网络，但要构建安全可信的5G-V2X系统，密码将发挥不可或缺的作用。>>详细

苹果谷歌新冠病毒追踪项目详解：基于蓝牙 匿名追踪

这种应用不会收集个人身份信息或用户定位数据，“检测呈阳性者的用户信息也不会被歌或苹果公司的其他用户看到”。>>详细

安全威胁播报

上周漏洞基本情况

上周（4月6日-12日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞415个，其中高危漏洞147个、中危漏洞232个、低危漏洞36个。漏洞平均分值为6.05。上周收录的漏洞中，涉及0day漏洞168个（占41%），其中互联网上出现“Apache Solr Velocity Template远程代码执行漏洞、WordPress Randy Peterman Murph StatTraq SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Apple产品安全漏洞

Apple iOS是一套为移动设备所开发的操作系统。Apple watchOS是一套智能手表操作系统。Apple iPadOS是一套用于iPad平板电脑的操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，或导致应用程序崩溃。

CNVD收录的相关漏洞包括：多款Apple产品Kernel组件内存破坏漏洞（CNVD-2020-22118、CNVD-2020-22133、CNVD-2020-22132）、多款Apple产品Image Processing组件资源管理错误漏洞、多款Apple产品IOHIDFamily组件缓冲区溢出漏洞、多款Apple产品WebKit组件类型混淆漏洞（CNVD-2020-22129）、多款Apple产品WebKit组件内存消耗漏洞、多款Apple产品libxml2组件缓冲区溢出漏洞（CNVD-2020-22134）。其中，除“多款Apple产品WebKit组件内存破坏漏洞（CNVD-2020-22132）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Huawei产品安全漏洞

HuaweiUSG9500等都是中国华为（Huawei）公司的产品。USG9500是一款数据中心防火墙产品。NIP6800是一套入侵防御系统。USG6600是一款数据中防火墙产品。Huawei Mate 20、Mate 30和Mate 30 Pro都是中国华为（Huawei）公司的一款智能手机。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行未授权操作，获取敏感信息，导致拒绝服务等。

CNVD收录的相关漏洞包括：Huawei Mate 20和Mate 30 Pro授权问题漏洞、Huawei NIP6800、Secospace USG6600和USG9500无效指针访问漏洞（CNVD-2020-22007）、Huawei NIP6800、Secospace USG6600和USG9500资源管理错误漏洞、Huawei NIP6800、Secospace USG6600和USG9500访问控制绕过漏洞、Huawei NIP6800，SecospaceUSG6600和USG9500越界写入漏洞、Huawei NIP6800、Secospace USG6600和USG9500越界读取漏洞、Huawei NIP6800、Secospace USG6600和USG9500拒绝服务漏洞（CNVD-2020-22011）、Huawei Mate 30 Pro和Huawei Mate 30授权问题漏洞。其中，“Huawei NIP6800、Secospace USG6600和USG9500越界读取漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBMSecurity Information Queue是一款数据集成产品。IBM Aspera是一套基于IBM FASP协议构建的快速文件传输和流解决方案。IBM WebSphere ApplicationServer Liberty是一款构建于Open Liberty项目之上的Java应用程序服务器。IBM Rational QualityManager（RQM）是一套协作的、基于Web的质量管理解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行客户端代码。

CNVD收录的相关漏洞包括：IBM Security InformationQueue信息泄露漏洞（CNVD-2020-22186、CNVD-2020-22189、CNVD-2020-22188、CNVD-2020-22187）、多款IBM产品缓冲区溢出漏洞（CNVD-2020-22192）、IBM WebSphere Application Server Liberty跨站脚本漏洞（CNVD-2020-22194、CNVD-2020-22193）、IBM Rational Quality Manager信息泄露漏洞（CNVD-2020-22336）。其中“多款IBM产品缓冲区溢出漏洞（CNVD-2020-22192）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

GitLab产品安全漏洞

GitLab是一款使用Ruby on Rails开发的、自托管的、Git（版本控制系统）项目仓库应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行未授权访问，获取敏感信息等。

CNVD收录的相关漏洞包括：GitLab信息泄露漏洞（CNVD-2020-22022、CNVD-2020-22024）、GitLab竞争条件漏洞、GitLab资源管理问题漏洞、GitLab EE/CE信息泄露漏洞（CNVD-2020-22238、CNVD-2020-22242、CNVD-2020-22239）、GitLab EE/CE SSRF漏洞。其中，“GitLab EE/CE SSRF漏洞”的综合评级为“高危”，目前，厂商已经发布了上述漏洞的修补程序。

D-Link DIR-615授权问题漏洞

D-Link DIR-615是一款无线路由器。上周，D-Link DIR-615被披露存在授权问题漏洞。该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。攻击者可利用该漏洞修改页面的数据字段。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Apple产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，或导致应用程序崩溃。此外Huawei、IBM、GitLab等多款产品被披露存在多个漏洞，攻击者可利用漏洞执行未授权操作，获取敏感信息，导致拒绝服务等。另外，D-Link DIR-615被披露存在授权问题漏洞。攻击者可利用该漏洞修改页面的数据字段。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国人民银行、国家密码管理局、21世纪经济报道、券商中国、新浪数码、密码头条报道

责任编辑：韩希宇