国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞600个，互联网上出现“Sourcecodesterk Doctor Appointment System跨站脚本漏洞、pczupil X2CRM跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

北京师范大学教授贾济东：反洗钱合规性和有效性将大幅度提高

将“洗钱犯罪及相关犯罪”修改为“相关违法犯罪活动”，强化了对洗钱违法活动的预防和遏制，也就是说，国务院反洗钱行政主管部门——中国人民银行的作用更加凸显。>>详细

诉讼周期长、举证难！如何提升线上供应链金融纠纷处理效率？

电子证据运用中有三大关键点：一是确定实际操作人，通过业务流程设计及数字证书使用，核实用户的真实身份，尽可能的固化这一认证结果。二是确保证据真实性质量，通过存证、区块链、公证等方式，提升电子数据固化能力。>>详细

解构假“以房养老”、“投资养老”骗术：小恩小惠博好感 降低老年人警觉

6月7日，银保监会消保局发布关于警惕“投资养老”“以房养老”金融诈骗的风险提示。>>详细

工信部部署推进5G安全工作

当前我国5G网络建设步伐加快，已建成5G基站近85万个，形成全球最大5G独立组网网络，5G行业应用创新案例已超过1万个。会议要求，借助5G赛道促进网络安全产业发展，提升5G安全产业供给能力和水平。>>详细

遏制网络诈骗 恒丰银行北京分行开展“断卡”行动宣传

恒丰银行北京分行深入推进“断卡”行动工作落实，组织各营业机构积极开展“断卡”行动宣传，从源头上遏制网络诈骗案件多发、高发态势。>>详细

联防联治新探索 美团金服反诈专线一年劝阻20000余潜在被骗者

在这场全民反诈的持久战中，越来越多的互联网平台积极遵循“事前防范胜于事后打击”、“破一案不如止一案”的联防联治新理念。>>详细

银行卡遭遇盗刷，如何维权？

遭遇盗刷后，持卡人可以要求银行归还本息并赔偿损失；信用卡被盗刷的，持卡人不必偿还透支款本息。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年5月31日-6月6日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞600个，其中高危漏洞158个、中危漏洞383个、低危漏洞59个。漏洞平均分值为5.70。上周收录的漏洞中，涉及0day漏洞308个（占51%），其中互联网上出现“Sourcecodesterk Doctor Appointment System跨站脚本漏洞、pczupil X2CRM跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Apache产品安全漏洞

Apache Superset up是美国 （Apache）公司的一个提供大型分布式环境中横向扩展设计应用软件。Apache Ozone是一个面向Hadoop和云原生环境的可伸缩，冗余和分布式对象存储。Apache Tapestry是一款使用Java语言编写的Web应用程序框架。Apache OFBiz是一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache Dubbo是一款基于Java的高性能开源RPC框架。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞进行未授权访问，创建一个可能是恶意的外部URL，使用特殊构造的URL下载WEB-INF中的文件等。

CNVD收录的相关漏洞包括：Apache Ozone授权问题漏洞、Apache Superset输入验证错误漏洞、Apache Tapestry信息泄露漏洞、Apache Tapestry反序列化漏洞、Apache OFBiz代码问题漏洞、Apache OFBiz远程代码执行漏洞、Apache Dubbo任意代码执行漏洞、Apache Dubbo反序列化漏洞（CNVD-2021-39669）。其中，除“Apache Ozone授权问题漏洞、Apache Superset输入验证错误漏洞、Apache Tapestry信息泄露漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Cognos Analytics是美国IBM公司的一套商业智能软件。IBM Spectrum Scale是一套基于IBM GPFS（专为PB级存储管理而优化的企业文件管理系统）的可扩展的数据及文件管理解决方案。IBM Security Verify Access是一款提高用户访问安全的服务。IBM WebSphere Exteme Scale是一个弹性的，高度可扩展的内存数据网格。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码等。

CNVD收录的相关漏洞包括：IBM Cognos Analytics XML外部实体注入漏洞（CNVD-2021-38673）、IBM Cognos Analytics信息泄露漏洞（CNVD-2021-38672）、IBM Cognos Analytics命令执行漏洞、IBM Cognos Analytics跨站脚本漏洞（CNVD-2021-38670）、IBM Spectrum Scale权限提升漏洞（CNVD-2021-38676）、IBM Security Verify Access缓冲区溢出漏洞、IBM WebSphere eXtreme Scale信息泄露漏洞（CNVD-2021-39041）、IBM Engineering Systems Design Rhapsody访问控制错误漏洞。其中，除“IBM Cognos Analytics信息泄露漏洞（CNVD-2021-38672）、IBM Cognos Analytics跨站脚本漏洞（CNVD-2021-38670）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Excel是Microsoft公司的办公软件Microsoft office的组件之一，是一款电子表格程序。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞实现远程代码执行。

CNVD收录的相关漏洞包括：Microsoft Excel远程代码执行漏洞（CNVD-2021-39509、CNVD-2021-39508、CNVD-2021-39512、CNVD-2021-39511、CNVD-2021-39510、CNVD-2021-39516、CNVD-2021-39515、CNVD-2021-39517）。其中，除“Microsoft Excel远程代码执行漏洞（CNVD-2021-39515）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

ASUS产品安全漏洞

ASUS BMC Firmware是中国华硕（ASUS）公司的一个固件。上周，上述产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞终止Web服务。

CNVD收录的相关漏洞包括：ASUS BMC Firmware缓冲区溢出漏洞（CNVD-2021-39576、CNVD-2021-39575、CNVD-2021-39578、CNVD-2021-39577、CNVD-2021-39580、CNVD-2021-39579、CNVD-2021-39582、CNVD-2021-39581）。目前，厂商已经发布了上述漏洞的修补程序。

Red Hat Ansible信息泄露漏洞（CNVD-2021-39044）

Red Hat Ansible是美国红帽（Red Hat）公司的一款计算机系统配置管理器。该产品可用于发布、管理和编排计算机系统。Ansible Tower是其中的一个提供了用户界面（UI）、仪表板和REST API的任务控制应用程序。上周，Red Hat Ansible Tower被披露存在信息泄露漏洞。攻击者可利用该漏洞获取受影响组件敏感信息。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Apache产品被披露存在多个漏洞，攻击者可利用漏洞进行未授权访问，创建一个可能是恶意的外部URL，使用特殊构造的URL下载WEB-INF中的文件等。此外，IBM、Microsoft、ASUS等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码、终止Web服务等。另外，Red Hat Ansible Tower被披露存在信息泄露漏洞。攻击者可利用漏洞获取受影响组件敏感信息。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、中国金融新闻网、中国证券报·中证网、恒丰银行报道

责任编辑：韩希宇