国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞295个，互联网上出现“OpenCart跨站脚本漏洞（CNVD-2020-75516）、IncomCMS文件上传漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

量子通信走向民用：国内首款量子安全通话SIM卡面市

“量子密话”传输的是“用后废弃”的量子密钥，而非信息载体本身。用户每次发起“量子密话”时，通话会随机抽取芯片内的一个量子密钥与后台建立连接、校验身份信息，认证通过后，再另外实时生成一个新密钥作为会话密钥。>>详细

零信任：网络安全的新“边界”

现有传统的访问验证模型只需知道IP地址或者主机信息等即可，但在“零信任”模型中，需要更加明确的信息才可以，不知道用户身份或者不清楚授权途径的请求一律拒绝。>>详细

央行正式颁发奖状！CFCA多项目荣获银行科技发展奖

中国人民银行在官网对2019年度银行科技发展奖获奖项目进行了公示。中国金融认证中心（CFCA）多个项目凭借在金融科技领域的优异表现，喜提三项大奖。>>详细

关于发布《网络安全标准实践指南—人工智能伦理安全风险防范指引》的通知

为防范人工智能伦理安全风险，秘书处组织编制了《网络安全标准实践指南—人工智能伦理安全风险防范指引》，为组织或个人开展人工智能研究开发、设计制造、部署应用等相关活动提供指引。>>详细

【商教授小课堂】拒绝高利诱惑，远离非法集资

切莫轻易相信网络上“高回报、高收益”的虚假宣传，提高防范意识，避免在非正规的平台上进行投资理财等网络交易。>>详细

【信息安全】信息安全电子月刊

为保护公司及个人的信息安全，即使在出差或者旅游的过程中，我们也应注意以下几个方面。>>详细

防范网络投资诈骗，小知识速速get起来！

认真学习金融知识，远离网络投资，提升支付安全意识，保护您和家人的财产安全。>>详细

安全威胁播报

上周漏洞基本情况

上周（2020年12月28日-2021年1月3日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞295，其中高危漏洞116个、中危漏洞152个、低危漏洞27个。漏洞平均分值为5.92。上周收录的漏洞中，涉及0day漏洞174个（占59%），其中互联网上出现“OpenCart跨站脚本漏洞（CNVD-2020-75516）、IncomCMS文件上传漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Android是美国谷歌（Google）和开放手持设备联盟（简称oha）的一套以Linux为基础的开源操作系统。Google TensorFlow是一套用于机器学习的端到端开源平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，导致应用崩溃等。

CNVD收录的相关漏洞包括：Google Android资源管理错误漏洞（CNVD-2020-75039、CNVD-2020-75040）、Google Android缓冲区溢出漏洞（CNVD-2020-75048、CNVD-2020-75052）、Google Android信息泄露漏洞（CNVD-2020-75051）、Google Android权限提升漏洞（CNVD-2020-75053）、Google TensorFlow缓冲区溢出漏洞（CNVD-2021-00089、CNVD-2021-00091）。目前，厂商已经发布了上述漏洞的修补程序。

Dell产品安全漏洞

Dell EMC Unisphere for PowerMax是一套针对PowerMax存储阵列的图形化管理工具。Dell Dell EMC iDRAC9是一套包含硬件和软件的系统管理解决方案。Dell BSAFE Micro Edition Suite是一个可为c/c++应用、设备、系统提供加密、证书和传输层安全性的开发工具包。Dell EMC NetWorker是一套统一备份和恢复软件。Dell EMC Isilon OneFS和EMCPowerScale OneFS都是美国戴尔（Dell）公司的一套适用于非结构化数据的横向扩展存储系统。Dell PowerProtect DataManager是一套数据保护解决方案。PowerProtect X400是一款数据管理设备。Dell Encryption是一套数据保护解决方案。Dell Endpoint Security Suite是一套网络安全套件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，访问未经授权的文件，在网站的上下文中运行JavaScript代码等。

CNVD收录的相关漏洞包括：Dell EMC Unisphere forPowerMax跨站脚本漏洞、DELL Dell EMC iDRAC9跨站脚本漏洞、Dell BSAFE Micro Edition Suite缓冲区溢出漏洞、Dell EMC NetWorker不当授权漏洞、Dell EMC Isilon OneFS和EMC PowerScale OneFS权限提升漏洞、Dell EMC Isilon OneFS和EMCPowerScale文件权限漏洞、Dell PowerProtect DataManager和PowerProtect X400授权问题漏洞、Dell Encryption和Dell Endpoint SecuritySuite权限提升漏洞。其中，“Dell Encryption和Dell Endpoint Security Suite权限提升漏洞”的综合评级为“中危”。目前，厂商已经发布了上述漏洞的修补程序。

SAP产品安全漏洞

SAPSolution Manager是一套集系统监控、SAP支持桌面、自助服务、ASAP实施等多个功能为一体的系统管理平台。SAP 3D Visual EnterpriseViewer是一款应用软件。SAP Business Warehouse（BW）是SAP的数据仓库解决方案。SAP Disclosure Management是一套自动化财务披露管理系统。SAP Identity Management是一套能够嵌入到业务流程中的身份管理应用程序。SAP Business Objects Business Intelligence Platform是一套商业智能软件和企业绩效解决方案套件。SAP Netweaver是一套面向服务的集成化应用平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息或劫持用户会话，在应用程序中执行注入的文件或代码，导致目标主机应用程序崩溃等。

CNVD收录的相关漏洞包括：SAP Solution Manager开放重定向漏洞、SAP 3D Visual Enterprise Viewer输入验证错误漏洞（CNVD-2020-74930、CNVD-2020-74931）、SAP Business Warehouse和SAPBW4HANA操作系统命令注入漏洞、SAP Disclosure Management代码问题漏洞（CNVD-2020-74927）、SAP Identity Management信息泄露漏洞（CNVD-2020-74932）、SAP Business ObjectsBusiness Intelligence Platform注入漏洞、SAP NetWeaver AS ABAP跨站脚本漏洞。其中，“SAP Business Warehouse和SAPBW4HANA操作系统命令注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

F5产品安全漏洞

F5 BIG-IP是一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP ASM是一款Web应用程序防火墙（WAF），它提供安全的远程接入、保护电子邮件、简化Web接入控制，同时增强网络和应用性能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在网站的上下文中运行JavaScript代码，触发拒绝服务等。

CNVD收录的相关漏洞包括：F5 BIG-IP ASM拒绝服务漏洞（CNVD-2020-74859、CNVD-2020-74866）、F5 BIG-IP拒绝服务漏洞（CNVD-2020-74858、CNVD-2020-74870）、F5 BIG-IP跨站脚本漏洞（CNVD-2020-74864）、F5 BIG-IP信息泄露漏洞（CNVD-2020-74865）、F5 BIG-IP安全绕过漏洞、F5 BIG-IP VE资源管理错误漏洞。其中，“F5 BIG-IP拒绝服务漏洞（CNVD-2020-74858）、F5 BIG-IP拒绝服务漏洞（CNVD-2020-74870）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

phpList SQL注入漏洞（CNVD-2020-75154）

phpList是英国phpList公司的一套开源的新闻通讯和电子邮件营销软件。上周，phpList被披露存在SQL注入漏洞。攻击者可通过"Config - ImportAdministrators"页面的第4行属性利用该漏洞注入SQL查询。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，导致应用崩溃等。此外，Dell、SAP、F5等多款产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，访问未经授权的文件，获取敏感信息或劫持用户会话，在网站的上下文中运行JavaScript代码，触发拒绝服务等。另外，phpList被披露存在SQL注入漏洞。攻击者可通过"Config- Import Administrators"页面的第4行属性利用该漏洞注入SQL查询。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、信安标委、21世纪经济报道、第一财经、中国邮政储蓄银行、南京银行、上海农商银行报道

责任编辑：韩希宇