国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞483个，互联网上出现“Submitty跨站脚本漏洞、Cellebrite UFED输入验证错误漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

评2020版《个人信息安全规范》：“账户注销”如何落地实施？

关于“账户注销”的规定是2020年3月颁布的新版国家标准《个人信息安全规范》中受到广泛关注的亮点之一。>>详细

浙江发布公共数据开放办法，8月1日正式实施

《浙江省公共数据开放与安全管理暂行办法》于6月4日上午在省政府第44次常务会议审议通过，并将于2020年8月1日起正式施行。>>详细

全球法人识别编码（LEI）及基本数据项释义

LEI编码是由20位数字和字母组成的唯一编码。我国LEI编码包括前缀部分、预留位部分、机构特定部分和校验位四部分。>>详细

中国银保监会消保局关于防范不法分子冒充监管机关实施诈骗的风险提示

中国银保监会及其派出机构均无权直接冻结任何单位或个人的银行账户，消费者应提高风险防范意识，谨防上当受骗、资金受损。>>详细

守住钱袋子！一招教你看破套路

近期，出现了一类针对大学生、90后、职场新人的新型诈骗。>>详细

远离跨境赌博，守护好自己的钱袋子

提醒广大群众：要自觉抵制赴境外赌博或网上参赌的行为，高度警惕网上赌博的新手法、新特点，不断提高防范意识和能力。>>详细

电信诈骗手段“花样百出”，乐乐教您“一招制敌”

新型电信诈骗手段“花样百出”，乐乐教您防范电信网络诈骗小技巧“6不、3问、7习惯”。>>详细

广东农信全新推出悦农天翼SIM盾：一盾在手，安全无忧！

广东农信携手中国电信，联合推出悦农天翼SIM盾，一盾多用很便捷，用“芯”守护更安全。>>详细

安全威胁播报

上周漏洞基本情况

上周（6月15日-21日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞483个，其中高危漏洞126个、中危漏洞294个、低危漏洞63个。漏洞平均分值为5.75。上周收录的漏洞中，涉及0day漏洞190个（占39%），其中互联网上出现“Submitty跨站脚本漏洞、Cellebrite UFED输入验证错误漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Go是的一款静态强类型、编译型、并发型，并具有垃圾回收功能的编程语言。Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。System是其中的一个系统组件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，造成拒绝服务。

CNVD收录的相关漏洞包括：Google Android System组件权限提升漏洞（CNVD-2020-32918、CNVD-2020-32920、CNVD-2020-32919）、Google Android System组件信息泄露漏洞（CNVD-2020-32923、CNVD-2020-32922）、Google Android System缓冲区溢出漏洞（CNVD-2020-33221）、Google Android System权限提升漏洞（CNVD-2020-33230）、Google Go信任管理问题漏洞（CNVD-2020-33729）。其中，“Google Android System缓冲区溢出漏洞（CNVD-2020-33221）、Google Android System权限提升漏洞（CNVD-2020-33230）、Google Go信任管理问题漏洞（CNVD-2020-33729）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

MicrosoftWindows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Windows Jet Database Engine是其中的一个数据库引擎。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，导致目标系统停止响应。

CNVD收录的相关漏洞包括：Microsoft Windows JetDatabase Engine远程代码执行漏洞（CNVD-2020-33077、CNVD-2020-33432、CNVD-2020-33431、CNVD-2020-33430）、Microsoft Windows和Windows Server提权漏洞（CNVD-2020-33422、CNVD-2020-33421、CNVD-2020-33433）、Microsoft Windows和Windows Server拒绝服务漏洞（CNVD-2020-33424）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

CiscoNX-OS Software是一套交换机使用的数据中心级操作系统软件。Cisco IOS是一套为其网络设备开发的操作系统。IOS XE是一套为其网络设备开发的操作系统。Cisco 809 Industrial Integrated Services Routers是一款工业集成多业务路由器。Cisco 1000 Series Connected Grid Routers是一款1000系列互联网格路由器。Cisco ASR 920 SeriesAggregation Services Router ASR920-12SZ-IM是美国思科（Cisco）公司的一款920系列聚合服务路由器。Cisco Content Security Management Appliance是一套内容安全管理设备。该设备主要用于管理电子邮件和Web安全设备的所有策略、报告、审计信息等。AsyncOS Software是运行在其中的一套操作系统。Cisco Application Services Engine是美国思科（Cisco）公司的一套用于部署Cisco数据中心应用的通用平台。Cisco Wireless LAN Controller（WLC）Software是美国思科（Cisco）公司的一套用于配置和管理WLC（无线局域网控制器）的软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，造成拒绝服务等。

CNVD收录的相关漏洞包括：多款Cisco产品输入验证错误漏洞（CNVD-2020-32900）、多款Cisco产品缓冲区溢出漏洞、Cisco ASR 920 SeriesAggregation Services Router ASR920-12SZ-IM代码问题漏洞、Cisco IOS和IOS XE输入验证错误漏洞（CNVD-2020-32903）、多款Cisco产品AsyncOS输入验证错误漏洞、Cisco Application Services Engine访问控制错误漏洞（CNVD-2020-32907）、Cisco Wireless LAN Controller Software缓冲区溢出漏洞、Cisco Wireless LAN Controller Software输入验证错误漏洞（CNVD-2020-33644）。其中，“多款Cisco产品输入验证错误漏洞（CNVD-2020-32900）、多款Cisco产品缓冲区溢出漏洞、Cisco IOS和IOS XE输入验证错误漏洞（CNVD-2020-32903）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

CloudBees产品安全漏洞

CloudBees Jenkins（HudsonLabs）是美国CloudBees公司的一套基于Java开发的持续集成工具。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意命令等。

CNVD收录的相关漏洞包括：CloudBees Jenkins SeleniumPlugin跨站请求伪造漏洞、CloudBees Jenkins PlayFramework Plugin操作系统命令注入漏洞、CloudBees Jenkins CopyArtifact Plugin授权问题漏洞、CloudBees Jenkins SCMFilter Jervis Plugin代码问题漏洞、CloudBees Jenkins AmazonEC2 Plugin授权问题漏洞、CloudBees Jenkins AmazonEC2 Plugin信任管理问题漏洞、CloudBees Jenkins AmazonEC2 Plugin跨站请求伪造漏洞、CloudBees Jenkins CoprPlugin信息泄露漏洞。目前，厂商已经发布了上述漏洞的修补程序。

TRENDnet TEW-827DRU命令注入漏洞（CNVD-2020-33483）

TRENDnet TEW-827DRU是一款无线路由器。上周，TRENDnet TEW-827DRU被披露存在命令注入漏洞。攻击者可利用该漏洞在设备上运行任意命令。厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，造成拒绝服务。此外，Microsoft、Cisco、CloudBees等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意命令，造成拒绝服务等。另外，TRENDnet TEW-827DRU被披露存在命令注入漏洞。攻击者可利用该漏洞在设备上运行任意命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国银保监会、中国人民银行济南分行、网信浙江、全国信息安全标准化技术委员会、华夏银行微刊、长沙银行、网商银行、广东农信报道

责任编辑：韩希宇