国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞400个,互联网上出现“Tenda D301跨站脚本漏洞、Triologic Media Player缓冲区溢出漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
重磅!《数据安全法(草案)》全文发布!
《中华人民共和国数据安全法(草案)》在中国人大网公布。>>详细
国家保密局就《国家秘密载体印制资质管理办法(征求意见稿)》、《涉密信息系统集成资质管理办法(征求意见稿)》公开征求意见
本办法所称涉密信息系统集成,是指涉密信息系统的规划、设计、建设、监理和运行维护等活动。>>详细
“乘风破浪”的电子招投标:规范安全助其突破发展
在交易双方不直接见面和接触的情况下,电子招投标帮助双方撮合完成交易,有效促进信息流、物流、资金流循环,将在推进复工复产中发挥重要作用。>>详细
鹅的天!萝卜章坑了多少人……
企业如何规避“萝卜章”的风险?唯有可靠的电子签名才能终结“萝卜章”的噩梦!>>详细
直销银行首家!华为HMS服务!
杭银直销成功集成华为HMS Core 4.0服务,并充分利用华为HMS终端芯-端-云的能力为杭银直销华为终端用户带来更多、更好的金融产品和更安全的金融服务。>>详细
安全威胁播报
上周漏洞基本情况
上周(6月29日-7月5日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞400个,其中高危漏洞83个、中危漏洞263个、低危漏洞54个。漏洞平均分值为5.46。上周收录的漏洞中,涉及0day漏洞49个(占12%),其中互联网上出现“Tenda D301跨站脚本漏洞、Triologic Media Player缓冲区溢出漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Adobe产品安全漏洞
Adobe Illustrator是一套基于向量的图像制作软件。Adobe After Effects是一套视觉效果和动态图形制作软件。上周,上述产品被披露存在缓冲区溢出漏洞,攻击者可利用漏洞执行任意代码。
CNVD收录的相关漏洞包括:Adobe Illustrator缓冲区溢出漏洞(CNVD-2020-36219、CNVD-2020-36222、CNVD-2020-36221、CNVD-2020-36220)、Adobe After Effects缓冲区溢出漏洞(CNVD-2020-36225、CNVD-2020-36224、CNVD-2020-36227、CNVD-2020-36226)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Cisco产品安全漏洞
CiscoSmall Business RV320等都是美国思科(Cisco)公司的一款VPN路由器。Cisco RV110W等都是美国思科(Cisco)公司的一款VPN防火墙路由器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞以root权限执行任意命令。
CNVD收录的相关漏洞包括:多款Cisco产品命令注入漏洞(CNVD-2020-35159、CNVD-2020-35161、CNVD-2020-35160、CNVD-2020-35162、CNVD-2020-35163、CNVD-2020-35166)、多款Cisco产品缓冲区溢出漏洞(CNVD-2020-35165、CNVD-2020-35167)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
IBM产品安全漏洞
IBMMaximo Asset Management是一套综合性资产生命周期和维护管理解决方案。IBM Security Secret Server是一套特权访问管理解决方案。IBM Spectrum Protect Plus是一套数据保护平台。IBM Maximo Asset Management是一套综合性资产生命周期和维护管理解决方案。IBM MQ(IBMWebSphere MQ)是一款消息传递中间件产品。IBM MQ Appliance是一款用于快速部署企业级消息中间件的一体机设备。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,造成拒绝服务(段错误)等。
CNVD收录的相关漏洞包括:IBM Maximo AssetManagement SQL注入漏洞(CNVD-2020-34981、CNVD-2020-34982)、IBM Security Secret Server信息泄露漏洞(CNVD-2020-34984、CNVD-2020-34985)、IBM Spectrum Protect Plus信息泄露漏洞(CNVD-2020-34983)、IBM MQ和IBM MQ Appliance信任管理问题漏洞、IBM MQ拒绝服务漏洞(CNVD-2020-34988)、IBM MQ权限提升漏洞(CNVD-2020-35725)。目前,厂商已经发布了上述漏洞的修补程序。
Intel产品安全漏洞
Intel Active Management Technology(AMT)是一套以硬件为基础的计算机远程主动管理技术软件。Intel Converged Securityand Management Engine(CSME)是一款安全管理引擎。Intel TXE是一款使用在CPU(中央处理器)中具有硬件验证功能的信任执行引擎。Intel PROSet/Wireless WiFiSoftware是一款无线网卡驱动程序。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,导致拒绝服务。
CNVD收录的相关漏洞包括:Intel AMT输入验证错误漏洞(CNVD-2020-35708CNVD-2020-35710)、Intel CSME输入验证错误漏洞、Intel CSME缓冲区溢出漏洞(CNVD-2020-35715、CNVD-2020-35716)、Intel AMT信息泄露漏洞、Intel TXE权限提升漏洞、Intel PROSet/Wireless WiFi Software权限提升漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
GE Mark VIe Controller信任管理问题漏洞
GE Mark VIe Controller是美国通用电气(GE)公司的一套工业集成控制系统。上周,GE Mark VIe Controller被披露存在信任管理问题漏洞。攻击者可利用该漏洞以root权限访问控制器。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Adobe产品被披露存在缓冲区溢出漏洞,攻击者可利用漏洞执行任意代码。此外,Cisco、IBM、Intel等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意命令,导致拒绝服务等。另外,GE Mark VIe Controller被披露存在信任管理问题漏洞。攻击者可利用该漏洞以root权限访问控制器。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、中国人大网、国家保密局、杭州银行报道
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。