国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞604个，互联网上出现“Multilaser Router AC1200跨站请求伪造漏洞、MyLittleAdmin输入验证错误漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

央行反洗钱监管范围扩容 分析人士建议覆盖数字货币等创新载体监测

央行公布反洗钱法修订草案征求意见稿，明确被监管主体扩容。意见稿规定特定提供房屋销售、经纪服务的房地产开发企业或房地产中介机构；从事贵金属现货交易的贵金属交易场所、贵金属交易商作为非金融机构在从事特定业务时，均应履行反洗钱义务。>>详细

金融数据综合应用试点调查：银行利用区块链解决“数据确权”难题

此次试点旨在探索运用人工智能、大数据、物联网、隐私计算等新一代信息技术，在安全合规的前提下推进金融数据高效治理、安全共享，实现跨层级、跨机构、跨行业数据融合应用，充分激活数据要素潜能，着力提升金融核心竞争力和惠民利企能力。>>详细

来“安全加油站”，升级你的防骗技能

骗子已实现从“广泛撒网”到“精准投放”，他们“开工”之前，先利用非法获取的成套个人信息锁定你、套路你，以便后续更好地实施精准诈骗，提高诈骗成功率。>>详细

CFCA区块链可信存证平台：应对纠纷，快速取证、权威出证

CFCA可信存证平台基于区块链去中心化、不可篡改、可信任以及匿名性等技术特性，与司法鉴定中心、仲裁委、法院、公证处等公检法机构完成对接。>>详细

【防范】安全月刊 "最严网络信息审核标准"施行

国家互联网信息办公室发布的《网络信息内容生态治理规定》已自2020年3月1日起施行。《规定》作为我国网络生态治理方面的首部综合性专门立法，对网络信息内容生产者、网络信息内容服务平台、网络信息内容服务使用者等都提出了明确的要求。>>详细

保护金融API安全 让信息无“泄”可击

电话推销、网络诈骗等传统手段，或将演变为身份盗窃、舆论攻击等手段，乃至危及到人身安全。在可预见的未来，金融服务安全的主战场，是提供金融服务的每一家企业、是接入互联网的每一台设备、是社会上的每一人。>>详细

华为周跃峰：没有安全健康的数据产业做支持，数字经济就是空中楼阁

6月2日下午，2021浦江创新论坛期间，由第一财经承办的金融科技专题论坛在上海展览中心正式举行，多位业界专家、行业人士汇聚于此，共同探讨数字化时代的金融变革。>>详细

兼顾医护患全角色，齐鲁医院智慧医疗便捷又省心

齐鲁医院与中国金融认证中心（CFCA）合作，共建先进的医疗行业电子认证安全解决方案，打造高水平的信息化医院。>>详细

诈骗又有新套路，防骗指南请收下！

日常生活中做好“三个不”，不点击不明链接、不回复不明短信，不使用不明来源的无线网络，尽快对手机进行木马病毒的查杀，提高警惕，妥善保管个人信息，不向他人或不明链接透露银行登录密码、银行卡密码、短信验证码等个人敏感金融信息。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年5月24日-30日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞604个，其中高危漏洞143个、中危漏洞379个、低危漏洞82个。漏洞平均分值为5.52。上周收录的漏洞中，涉及0day漏洞223个（占37%），其中互联网上出现“Multilaser Router AC1200跨站请求伪造漏洞、MyLittleAdmin输入验证错误漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google TensorFlow是美国谷歌（Google）公司的一套用于机器学习的端到端开源平台。Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。Audio driver是其中的一个音频驱动程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞造成拒绝服务，导致“Conv2DBackpropFilter”中发生堆缓冲区溢出等。

CNVD收录的相关漏洞包括：Google TensorFlow RaggedBinCount拒绝服务漏洞（CNVD-2021-37606、CNVD-2021-37607）、Google TensorFlow拒绝服务漏洞（CNVD-2021-37609、CNVD-2021-37632）、Google TensorFlow QuantizedReshape拒绝服务漏洞、Google TensorFlow Conv2DBackpropFilter拒绝服务漏洞、Google TensorFlow QuantizedResizeBilinear拒绝服务漏洞、Google TensorFlow SparseDenseCwiseMul堆越界访问漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco SD-WAN vManage Software是美国思科（Cisco）公司的一款用于SD-WAN（软件定义广域网络）解决方案的管理软件。Cisco DNA Spaces是美国思科（Cisco）公司的一套室内定位服务平台。Cisco SD-WAN vEdge是美国思科（Cisco）公司的是一款路由器。该设备可为思科SD-WAN解决方案提供基本WAN，安全性和多云功能。Cisco Enterprise NFV Infrastructure Software是一款轻量级虚拟化平台，将完整的VM生命周期管理、监控、设备可编程性及服务链集成在了一个可安装的软件包中。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞以root特权在底层操作系统上执行任意代码，导致缓冲区溢出，发送大量API请求导致拒绝服务等。

CNVD收录的相关漏洞包括：Cisco Finesse跨站脚本漏洞（CNVD-2021-36553）、Cisco SD-WAN vManage Software缓冲区溢出漏洞、Cisco DNA Spaces操作系统命令注入漏洞、Cisco DNA Spaces Connector操作系统命令注入漏洞、Cisco SD-WAN vManage拒绝服务漏洞、Cisco SD-WAN vEdge缓冲区溢出漏洞、Cisco Enterprise NFV Infrastructure Software命令注入漏洞、Cisco SD-WAN vManage授权问题漏洞。其中，除“Cisco Finesse跨站脚本漏洞（CNVD-2021-36553）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

CloudBees产品安全漏洞

CloudBees Jenkins（Hudson Labs）是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS是CloudBeesJenkins的一个长期支持版本。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过指定的凭据ID连接至指定的URL，从而获取存储在Jenkins中的凭据，通过使用指定的用户名和密码连接至其指定的Perforce服务器，获取已配置的配置文件的列表，发起跨站脚本攻击等。

CNVD收录的相关漏洞包括：CloudBees Jenkins Xray - Test Management for Jira Plugin跨站请求伪造漏洞、CloudBees Jenkins Xray - Test Management for Jira Plugin授权问题漏洞、CloudBees Jenkins P4 Plugin跨站请求伪造漏洞、CloudBees Jenkins P4 Plugin访问控制错误漏洞、CloudBees Jenkins S3 publisher Plugin授权问题漏洞（CNVD-C-2021-118103）、CloudBees Jenkins Xcode integration Plugin XML外部实体注入漏洞、CloudBees Jenkins CloudBees CD Plugin授权问题漏洞、CloudBees Jenkins Credentials Plugin跨站脚本漏洞。目前，厂商已经发布了上述漏洞的修补程序。

SAP产品安全漏洞

SAP Process Integration 是德国SAP公司提供的一种中间件，可使SAP 与公司中的非SAP 应用程序或公司外部的系统进行无缝集成。SAP GUI是德国思爱普（SAP）公司的一个应用软件。SAP系统的图形用户界面。SAP Commerce是德国思爱普（SAP）公司的一套基于云的电子商务平台。该产品支持销售管理、营销管理、订单管理和运营管理等。SAP Netweaver是德国思爱普（SAP）公司的一套面向服务的集成化应用平台。该平台主要为SAP应用程序提供开发和运行环境。SAP NetWeaver Application Server（AS）Java是一款运行于NetWeaver中且基于Java编程语言的应用服务器。SAP NetWeaver Master Data Management（SAP MDM）是德国SAP公司的一款用于管理企业间协同合作的软件。SAP Solution Manager是德国思爱普（SAP）公司的一套集系统监控、SAP支持桌面、自助服务、ASAP实施等多个功能为一体的系统管理平台。该平台可以帮助客户建立SAP解决方案的生命周期管理，并提供系统监控、远程支持服务和SAP产品组件升级等功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致拒绝服务，可以创建恶意XML，当应用程序上载和解析该XML时，可能会由于消耗大量系统内存而导致拒绝服务情况，从而严重影响系统可用性，窃取受害者的凭据，执行ABAP报告注入恶意代码利用该漏洞访问数据、覆盖数据或导致拒绝服务等。

CNVD收录的相关漏洞包括：SAP Process Integration权限许可和访问控制问题漏洞（CNVD-2021-36675、CNVD-2021-36676）、SAP GUI输入验证错误漏洞、SAP Commerce信息泄露漏洞（CNVD-2021-36678）、SAP NetWeaver AS ABAP代码注入漏洞、SAP NetWeaver Application Server for Java访问控制错误漏洞、SAP NetWeaver Master Data Management信息泄露漏洞（CNVD-2021-36683）、SAP Solution Manager信息泄露漏洞。目前，厂商已经发布了上述漏洞的修补程序。

IBM Security Guardium命令执行漏洞

IBM Security Guardium是美国IBM公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。上周，IBM Security Guardium被披露存在命令执行漏洞。攻击者可利用该漏洞通过发送专门设计的请求在系统上执行任意命令。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞造成拒绝服务，导致“Conv2DBackpropFilter”中发生堆缓冲区溢出等。此外，Cisco、CloudBees、SAP等多款产品被披露存在多个漏洞，攻击者可利用漏洞以root特权在底层操作系统上执行任意代码，导致缓冲区溢出，通过指定的凭据ID连接至指定的URL，从而获取存储在Jenkins中的凭据，通过使用指定的用户名和密码连接至其指定的Perforce服务器，获取已配置的配置文件的列表，发起跨站脚本攻击等。另外，IBM Security Guardium被披露存在命令执行漏洞。攻击者可利用漏洞通过发送专门设计的请求在系统上执行任意命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、第一财经、财联社、中国工商银行电子银行、南京银行、桂林银行金融服务报道

责任编辑：韩希宇