国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞289个，互联网上出现“Konica Minolta FTP Utility 'NLST'拒绝服务漏洞、Wordpress插件Ajax Load More '#1' SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

APP违法违规收集使用个人信息专项治理报告（2019）

一年来，专项治理工作成效显著，《APP违法违规收集使用个人信息行为认定方法》《个人信息安全规范》等标准规范相继出台完善。>>详细

全国人大代表张智富：建议加快信用信息立法进程

张智富建议，建议国家层面尽快出台信用信息共享开放和信息主体权益保护法律法规，加快信用信息立法进程。>>详细

专访中国政法大学副校长时建中：加快数据治理法治化 赋能科技创新和实体经济发展

数字化经济在许多领域甚至加大了企业与消费者之间数据信息能力的差距，企业一端呈现数据井喷，而消费者却处于数据裸奔的状态。>>详细

专家支招丨关于个人信息保护，三点建议从源头“加把锁”

交通银行信用卡安全专家建议，消费者可以从“信息收集”“信息使用”以及“信息销毁”三个阶段加强防护，从而有效地减少个人信息被盗用的情况。>>详细

App违法违规收集使用个人信息专项治理成效显著！一起来看！

自全国范围内组织开展专项治理工作以来，千余款App经深度评估后进行了有效整改，无隐私政策、强制索权、无注销渠道等问题明显改善。>>详细

漫谈电子招投标交易平台检测认证“试运行”

为实现电子招投标交易平台检测认证制度的有效落地，同时结合电子招标采购业务属性，富有创造性的提出“应于检测合规后认证审查前开展试运行”。>>详细

国家网信办启动2020“清朗”专项行动

“清朗”专项行动全面覆盖各类网络传播渠道和平台，集中清理网上各类违法和不良信息。专项行动将出重拳、用真招，对有令不行、顶风作案的网站平台依法从严处理，并公开曝光典型案例，有效震慑违法违规行为。>>详细

曝泰国最大移动运营商泄露83亿条用户数据记录

此次数据泄露事件波及数百万名用户，数据记录达83亿条，容量约为4.7TB，每24小时增加2亿记录。>>详细

安全威胁播报

上周漏洞基本情况

上周（5月18日-24日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞289个，其中高危漏洞132个、中危漏洞136个、低危漏洞21个。漏洞平均分值为6.64。上周收录的漏洞中，涉及0day漏洞122个（占42%），其中互联网上出现“Konica Minolta FTP Utility 'NLST'拒绝服务漏洞、Wordpress插件Ajax Load More '#1' SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Chrome是一款Web浏览器。上周，上述产品被披露存在安全绕过漏洞，攻击者可利用漏洞绕过安全限制。

CNVD收录的相关漏洞包括：Google Chrome安全绕过漏洞（CNVD-2020-29226、CNVD-2020-29229、CNVD-2020-29228、CNVD-2020-29227、CNVD-2020-29232、CNVD-2020-29231、CNVD-2020-29230、CNVD-2020-29235）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBMi2 Analysts Notebook是一款数据可视化分析工具。该产品支持数据存储和数据分析等功能。IBM i2 Analysts NotebookPremium是IBM i2 Analysts Notebook的高级版本。上周，上述产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞在系统上执行任意代码，或导致应用程序崩溃（内存损坏）。

CNVD收录的相关漏洞包括：IBM i2 Analysts Notebook和IBM i2 Analysts Notebook Premium缓冲区溢出漏洞（CNVD-2020-28955、CNVD-2020-28958、CNVD-2020-28960、CNVD-2020-28964、CNVD-2020-28962、CNVD-2020-28965、CNVD-2020-29556、CNVD-2020-29555）。其中，除“IBM i2 Analysts Notebook和IBMi2 Analysts Notebook Premium缓冲区溢出漏洞（CNVD-2020-29555）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

TYPO3产品安全漏洞

TYPO3是一套免费开源的内容管理系统(框架)(CMS/CMF)。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感数据信息，进行开放重定向，以用户权限执行脚本，导致拒绝服务等。

CNVD收录的相关漏洞包括：TYPO3 Direct Mail组件信息泄露漏洞（CNVD-2020-28942）、TYPO3 Backend User Interface和InstallTool组件跨站脚本漏洞、TYPO3 Backend UserInterface组件代码问题漏洞、TYPO3 Core组件代码问题漏洞、TYPO3 Direct Mail组件输入验证错误漏洞、TYPO3 Direct Mail组件拒绝服务漏洞、TYPO3 Password Reset组件信息泄露漏洞、TYPO3 Direct Mail组件信息泄露漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco Unified Contact Center Express（Unified CCX）是一款统一通信解决方案中的客户关系管理组件。Cisco Firepower Threat Defense是一套提供下一代防火墙服务的统一软件。Cisco Adaptive Security Appliances Software是一套防火墙和网络安全平台。Cisco Umbrella是一套云安全平台。Cisco Prime Collaboration Provisioning（PCP）是一套基于Web的下一代通信服务软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取数据库敏感信息，执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Cisco Unified Contact CenterExpress输入验证错误漏洞（CNVD-2020-29593）、Cisco Firepower Threat Defense和AdaptiveSecurity Appliances Software输入验证错误漏洞、Cisco Umbrella注入漏洞、Cisco Prime Collaboration Provisioning SQL注入漏洞（CNVD-2020-29595）、Cisco Prime NetworkRegistrar输入验证错误漏洞、Cisco Adaptive SecurityAppliances Software和Cisco Firepower ThreatDefense资源管理错误漏洞、Cisco Firepower ThreatDefense和Adaptive Security Appliances Software缓冲区溢出漏洞、Cisco Firepower Threat Defense和Adaptive Security Appliances Software路径遍历漏洞。其中，除“Cisco Firepower Threat Defense和Adaptive Security Appliances Software输入验证错误漏洞、Cisco Umbrella注入漏洞、Cisco Prime Collaboration Provisioning SQL注入漏洞（CNVD-2020-29595）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Draytek Vigor3900、Vigor2960和Vigor300B缓冲区溢出漏洞

DrayTek Vigor3900是一款宽带路由器/VPN网关设备。Vigor2960是一款负载平衡路由器和VPN网关设备。Vigor300B是一款负载均衡路由器。上周，Draytek Vigor3900、Vigor2960和Vigor300B被披露存在缓冲区溢出漏洞。远程攻击者可借助特制HTTP请求利用该漏洞在系统上执行任意代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在安全绕过漏洞，攻击者可利用漏洞绕过安全限制。此外IBM、TYPO3、Cisco等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感数据信息，进行开放重定向，执行任意代码，导致拒绝服务等。另外，Draytek Vigor3900、Vigor2960和Vigor300B被披露存在缓冲区溢出漏洞。远程攻击者可借助特制HTTP请求利用该漏洞在系统上执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国网信网、第一财经、21世纪经济报道、APP治理工作组、交通银行、网安前哨报道

责任编辑：韩希宇