国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞588个，互联网上出现“News Portal Project SQL注入漏洞（CNVD-2021-102010）、Belloo SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

《国家密码管理局规章制定程序规定》解读

制定出台《规定》，对于进一步贯彻落实《密码法》等法律法规规定，理顺规章制定工作流程，明晰工作职责，确保立法项目高质高效推进十分必要。>>详细

消保服务 | “方寸卡片中的金融知识”——银行业向您提示银行卡争议正当维权方式

如果您对银行的某些产品或服务有意见，或自己的合法权益受到侵害，请务必采取正当的方式维权。>>详细

坚实屏障 | 大家齐努力，共同保护您的个人金融信息

当前个人信息保护的合法合规要求日益明确，为保障客户信息安全，需要全社会携手努力，共同推进客户信息保护工作迈入规范化、法制化轨道。>>详细

反诈拒赌，安全支付丨防范之弦要紧绷 电信诈骗莫轻信

银行网点工作人员应在新开户、加办电子令牌、升降级、挂失和换卡等需要进行客户身份识别的业务中加强对客户的尽职调查。>>详细

金融行业电子化招标采购，如何保障数字安全？聪明的企业这样办

针对CA证书签发管理环节，CFCA的数字证书在线申请平台可直接面向供应商提供线上提交申请资料、在线身份自动核验、在线付款开票、CA证书制作快递等服务。>>详细

姣姣课堂 | 个人客户反洗钱知识点

为避免他人盗用您的名义进行洗钱等犯罪活动，当您开立账户、购买金融产品以及其他任何方式与银行建立业务关系时，需出示有效身份证件，如实填写身份信息。>>详细

【手机银行】数字证书为您的交易保驾

升级后，在您办理转账、贷款等业务过程中，手机银行将自动识别您的交易环境，并根据您的网络条件智能化地为您申请数字证书。>>详细

【以案说险】警惕！投资理财诈骗让你一夜暴“负”！

骗子在诈骗一开始，会让你在进行小额投资时会获取部分收益并成功提现，当你尝到甜头后，再引诱你加大资金投入。待你投入大量资金后，骗子会操纵平台后台数据，阻止你提现，最终你的钱财却进入了骗子的“荷包”。电信网络诈骗就在我们身边，时刻保护你的钱袋子很重要！>>详细

反诈宣传显成效 兴业银行宁波分行再次堵截一起电信诈骗

兴业银行宁波分行多举措开展反诈工作，提高群众的风险防范能力和防范意识，取得了良好的宣传效果。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年12月20日-26日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞588个，其中高危漏洞203个、中危漏洞303个、低危漏洞82个。漏洞平均分值为5.70。上周收录的漏洞中，涉及0day漏洞193个（占33%），其中互联网上出现“News Portal Project SQL注入漏洞（CNVD-2021-102010）、Belloo SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Fortinet产品安全漏洞

Fortinet FortiWeb是美国飞塔（Fortinet）公司的一款Web应用层防火墙。Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。Fortinet FortiClientEms是美国Fortinet公司的一个集中式中央管理系統。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞通过精心设计的HTTP请求参数执行未经授权的代码或命令，以明文形式查看敏感信息，将精心构建的OpenSSL库放入搜索路径，并以提升的权限在系统上执行任意代码等。

CNVD收录的相关漏洞包括：Fortinet FortiWeb命令注入漏洞、Fortinet FortiWeb跨站脚本漏洞（CNVD-2021-101133）、Fortinet FortiWeb缓冲区溢出漏洞（CNVD-2021-101134、CNVD-2021-101138、CNVD-2021-101137）、Fortinet FortiOS整数溢出漏洞、Fortinet FortiClient权限提升漏洞（CNVD-2021-102008）、Fortinet FortiClientEms信息泄露漏洞。其中“Fortinet FortiOS整数溢出漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Premiere Rush是美国奥多比（Adobe）公司的一套跨平台的视频编辑软件。上周，上述产品被披露存在代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。

CNVD收录的相关漏洞包括：Adobe Premiere Rush代码执行漏洞（CNVD-2021-101115、CNVD-2021-101114、CNVD-2021-101117、CNVD-2021-101116、CNVD-2021-101118、CNVD-2021-101120、CNVD-2021-101121、CNVD-2021-101123）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致本地权限提升，实现远程代码执行等。

CNVD收录的相关漏洞包括：Google Android Kernel组件权限提升漏洞（CNVD-2021-101426、CNVD-2021-101423）、Google Android TvInputManager组件权限提升漏洞、Google Android System权限提升漏洞（CNVD-2021-101432）、Google Android System远程代码执行漏洞（CNVD-2021-101435、CNVD-2021-101436）、Google Android越界写入漏洞（CNVD-2021-101951、CNVD-2021-101950）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

SIEMENS产品安全漏洞

JT是由西门子数字工业软件开发的一种公开发布的数据格式。JT Open Toolkit(又称JTTK)是面向开发人员的应用程序编程接口(API)JT-enabled软件。JT Open Toolkit是一个读写工具包。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞执行任意代码。

CNVD收录的相关漏洞包括：JT Utilities和JTTK缓冲区溢出漏洞（CNVD-2021-101000、CNVD-2021-101003）、JT Utilities和JTTK文件解析漏洞（CNVD-2021-101002、CNVD-2021-101005、CNVD-2021-101004、CNVD-2021-101006、CNVD-2021-101008、CNVD-2021-101007）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache Hadoop Yarn RPC未授权命令执行漏洞

Apache Hadoop是一款分布式基础架构。上周，Apache Hadoop Yarn RPC被披露存在未授权命令执行漏洞。攻击者可利用该漏洞获取服务器控制权限。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周， Fortinet产品被披露存在多个漏洞，攻击者可利用该漏洞通过精心设计的HTTP请求参数执行未经授权的代码或命令，以明文形式查看敏感信息，将精心构建的OpenSSL库放入搜索路径，并以提升的权限在系统上执行任意代码等。此外， Adobe、Google、SIEMENS等多款产品被披露存在多个漏洞，攻击者可利用该漏洞在系统上执行任意代码，导致本地权限提升，实现远程代码执行等。另外，Apache Hadoop Yarn RPC被披露存在未授权命令执行漏洞。攻击者可利用该漏洞获取服务器控制权限。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、国家密码管理局、中国银协、中国金融新闻网、交通银行、中国邮政储蓄银行、河北银行、贵州银行报道

责任编辑：韩希宇