国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞553个，互联网上出现“Libmobi缓冲区溢出漏洞、Phpjabbers Appointment Scheduler跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

农业银行全面推进欺诈风险管控一体化建设

农业银行基于“统一欺诈风险公共平台+专项领域反欺诈应用”的企业级建设理念，推动天蓬智能反欺诈平台建设，欺诈风险一体化管控模式日趋成熟。>>详细

2021信创“大比武”总决赛金融赛道圆满落幕 大奖归属揭晓！

12月4日，“2021信创‘大比武’金融场景适配验证赛道”总决赛圆满落幕，各奖项归属尘埃落定。>>详细

上海市大数据中心副主任刘迎风：强化数据安全 促进公共数据开发利用

高价值的公共数据往往具有特定授权、有限授权和差别授权的要求，需要在开发利用的模式机制和安全监管上来进行和创新。>>详细

全力保护银行卡持卡人合法权益 银行业联合开展主题宣传活动

本次宣传工作覆盖借记卡和信用卡两条线，重点围绕“黑中介办卡的危害”、“用卡常识须知”、“正当维权方式”等方面向持卡人普及金融知识。>>详细

金标委就《金融数据安全 数据安全评估规范》等2项金融标准征求意见

金融数据安全评估标准的制定和实施，一方面有助于增强金融业机构数据安全意识，推动金融业机构落实金融业数据安全管理要求，提升金融业数据安全保护工作的规范化和标准化程度。>>详细

【金融小课堂】反诈拒赌、安全支付

在所谓高收益投资面前一定要保持冷静、懂得识别，高收益往往意味着高风险。另外，网上交友若涉及到金钱，也一定要提高警惕，多与身边亲朋好友沟通，避免落入犯罪分子的“迷魂网”。>>详细

【消保】“断卡”行动，从我做起！

2020年10月10日，国务院打击治理电信网络新型违法犯罪工作部际联席会议召开全国“断卡”行动部署会议，决定在全国范围内部署开展以打击、治理、惩戒开办贩卖“两卡”违法犯罪团伙为主要内容的“断卡”行动。>>详细

CFCA SSL证书：国产国际双算法，应用切换自适应

CFCA通过建立应用生态，积极推进国产算法普及应用。目前覆盖服务器证书、浏览器、服务端应用，全流程完美兼容与适配。>>详细

【科普】中老年防诈防骗，这些套路要知道！

社会发展日新月异，各类新事物层出不穷。中老年人信息获取渠道较为单一，如若分辨能力不足，面对新式骗局将更容易陷入圈套。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年11月29日-12月5日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞553个，其中高危漏洞166个、中危漏洞326个、低危漏洞61个。漏洞平均分值为5.79。上周收录的漏洞中，涉及0day漏洞300个（占54%），其中互联网上出现“Libmobi缓冲区溢出漏洞、Phpjabbers Appointment Scheduler跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

DELL产品安全漏洞

Dell Networking OS10是美国戴尔（DELL）公司的一套基于Linux的网络交换机操作系统。Dell Networking X-Series是美国戴尔（Dell）公司的一系列智能网管交换机。Dell EMC CloudLink是一种灵活的数据加密和密钥管理解决方案，适用于公共、私有和混合云环境中的数据加密。Dell Bios是美国戴尔（Dell）公司的一个计算机主板上小型内存芯片上的嵌入式软件。Dell OpenManage Enterprise是美国Dell公司的一款用于IT基础架构管理的易于使用的一对多系统管理控制台。该软件支持一个控制台中经济高效地为Dell EMC PowerEdge服务器提供全面的生命周期管理。DELL EMC OpenManage Enterprise-Modular是美国戴尔（DELL）公司的一个应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞获取对受影响系统的访问并执行操作，通过伪造会话ID来劫持会话并访问网络服务器，获得受影响系统的管理员权限，在最终用户系统上执行任意文件等。

CNVD收录的相关漏洞包括：Dell Networking OS10身份验证绕过漏洞、Dell Networking X-Series身份验证绕过漏洞、Dell Networking OS10权限提升漏洞、Dell EMC CloudLink任意文件创建漏洞、Dell BIOS输入验证错误漏洞（CNVD-2021-92452、CNVD-2021-92544）、Dell OpenManage Enterprise操作系统命令注入漏洞、DELL EMC OpenManage Enterprise-Modular操作系统命令注入漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe XMP Toolkit SDK是美国奥多比（Adobe）公司的一种标签技术，允许您将有关文件的数据（称为元数据）嵌入到文件本身中。Adobe Photoshop，简称“PS”，是由Adobe公司开发和发行的图像处理软件。Adobe Premiere Elements是Adobe公司推出的一款视频编辑软件应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe XMP Toolkit SDK栈缓冲区溢出漏洞（CNVD-2021-91984、CNVD-2021-91983、CNVD-2021-91982、CNVD-2021-91985）、Adobe Photoshop 2021缓冲区溢出漏洞、Adobe Photoshop 2021内存缓冲区越界访问漏洞、Adobe Premiere Elements内存缓冲区越界访问漏洞（CNVD-2021-91990、CNVD-2021-91994）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Advantech产品安全漏洞

Advantech R-SeeNet是中国台湾研华（Advantech）公司的一个工业监控软件。该软件基于snmp协议进行监控平台，并且适用于Linux、Windows平台。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞通过发送精心设计的HTTP请求导致任意PHP代码执行，在数据库中执行任意SQL查询。

CNVD收录的相关漏洞包括：Advantech R-SeeNet文件包含漏洞、Advantech R-SeeNet SQL注入漏洞（CNVD-2021-92433、CNVD-2021-92432、CNVD-2021-92435、CNVD-2021-92434、CNVD-2021-93820、CNVD-2021-93822、CNVD-2021-93821）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Planning Analytics是美国IBM公司的一套业务规划分析解决方案。该方案支持自动化执行业务规划、预算和分析等流程。IBM Security SiteProtector System是美国IBM公司的一个集中式管理系统。用于对网络、服务器和桌面端点安全代理以及小型网络或设备的统一管理和分析。IBM MQ（前身为IBM WebSphere MQ）是一个强大、安全且可靠的消息传递中间件。IBM QRadar SIEM是美国IBM公司的一套利用安全智能保护资产和信息远离高级威胁的解决方案。该方案提供对整个IT架构范围进行监督、生成详细的数据访问和用户活动报告等功能。IBM Business Automation Workflow是一套工作流程自动化解决方案。该产品主要用于工作流程管理、合规性管理，并具有工作流程可见性和可扩展等特点。IBM System x servers是美国国际商业机器公司（IBM）的一款服务器。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞获取敏感信息，经过身份验证的SSH或Telnet会话执行操作系统命令，导致拒绝服务等。

CNVD收录的相关漏洞包括：IBM Planning Analytics注入漏洞、IBM Tivoli Key Lifecycle Manager拒绝服务漏洞、IBM SiteProtector Appliance信息泄露漏洞、IBM MQ拒绝服务漏洞（CNVD-2021-93631）、IBM QRadar SIEM跨站脚本漏洞（CNVD-2021-94164）、IBM QRadar SIEM信息泄露漏洞（CNVD-2021-94163）、IBM Business Automation Workflow跨站脚本漏洞（CNVD-2021-94166）、IBM System x servers操作系统命令注入漏洞。其中，“IBM Planning Analytics注入漏洞、IBM System x servers操作系统命令注入漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

DOPSoft栈缓冲区溢出漏洞

DOPSoft是Delta Electronics公司推出的一款人机界面(HMI)编程软件。上周，DOPSoft 4.00.11及更早版本存在栈缓冲区溢出漏洞，攻击者可通过特制项目文件利用该漏洞执行任意代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，DELL产品被披露存在多个漏洞，攻击者可利用该漏洞获取对受影响系统的访问并执行操作，通过伪造会话ID来劫持会话并访问网络服务器，获得受影响系统的管理员权限，在最终用户系统上执行任意文件等。此外，Adobe，Advantech，IBM等多款产品被披露存在多个漏洞，攻击者可利用漏洞通过发送精心设计的HTTP请求导致任意PHP代码执行，在数据库中执行任意SQL查询，获取敏感信息，经过身份验证的SSH或Telnet会话执行操作系统命令，导致拒绝服务，执行任意代码等。另外，DOPSoft 4.00.11及更早版本被披露存在栈缓冲区溢出漏洞，攻击者可通过特制项目文件利用该漏洞执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国银行业协会、中国证券报·中证网、中国农业银行、浦发银行、廊坊银行、重庆农村商业银行报道

责任编辑：韩希宇