国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞353个，互联网上出现“Redisgraph Online-matrimonial-project-in-php文件上传漏洞、projectworlds car rental management system跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

更严格保护个人信息、数据安全，上海还将出台这些措施

《条例》共有10章91条，以促进数据利用和产业发展为基本定位，紧扣以规范促发展、以保护促利用的立法主线，聚焦数据权益保障、数据流通利用、数据安全管理三大环节。>>详细

新一轮“睡眠账户”清理来了 有这些卡的要注意

相比降低管理成本等因素，银行开展“睡眠账户”清理行动，更为重要的是加强银行的账户管理，遏制跨境赌博、电信诈骗等违法违规活动蔓延，保障账户资金安全。>>详细

新突破！CFCA基于金融行业标准的人工智能算法检测首次落地

为进一步推动规范落地，防范金融领域人工智能算法应用风险，CFCA建立了涵盖安全性、可解释性、精准性和性能等方面的人工智能算法检测体系。>>详细

【安全】常见网络骗局盘点，了解套路不上当！

涉及钱财交易需谨慎，请您仔细核对并确认收款人、收款账户信息无误再进行支付，同时慎重点击或扫描陌生人发来的不明网页链接和二维码。>>详细

警惕！别让“共享屏幕”变成诈骗分子的“共享钱包”

屏幕共享相当于手机的录屏操作，实质是把屏幕上显示的内容全都记录下来，并同步让对方看到。不仅是弹框显示短信、微信、其它APP推送的内容，甚至连被骗人在手机上的任何操作，包括所有输入的银行卡信息、支付密码、验证码等，诈骗分子均能通过这项功能一一获取。>>详细

【实用】安全中心为您护航，安心畅享便捷体验

数字证书是基于第三方电子认证机构的签名服务，采用密钥分散的协同签名技术，为您提供安全便捷的数字签名和认证服务。安装后通过短信验证码的方式即可享受到每日最高50万元的转账额度。>>详细

勿贪小利 | “杀鱼”了！快逃！

我们在二手平台交易时，可能会遇到卖家以让利的形式提供绕过平台的付款方式，邀请买家通过扫码或点击链接进行付款。遇到这种情况，很可能是碰到了“杀鱼”盘。>>详细

【警惕】防范老年人电信诈骗，守护他们的财产安全

面对形形色色的骗术，一定要保持清醒的头脑，不轻信他人，牢记世上“没有免费的午餐”。>>详细

【防诈提示】如何有效防范电信诈骗

近年来，电信网络诈骗犯罪活动持续高发，此类活动严重侵害了大家的财产安全和其他合法权益，严重干扰了电信网络秩序，也影响到了大家的安全感和社会和谐稳定。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年1月3日-9日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞353个，其中高危漏洞103个、中危漏洞220个、低危漏洞30个。漏洞平均分值为5.84。上周收录的漏洞中，涉及0day漏洞229个（占65%），其中互联网上出现“Redisgraph Online-matrimonial-project-in-php文件上传漏洞、projectworlds car rental management system跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Apache产品安全漏洞

Apache James是美国阿帕奇（Apache）基金会的一个完全用Java编写的开源Smtp和Pop3邮件传输代理和Nntp新闻服务器。Apache Parquet是一种列式存储格式。可用于Hadoop生态系统中的任何项目。Apache Log4j是一款基于Java的开源日志记录工具。Apache DB DdlUtils是美国阿帕奇（Apache）基金会的一个易于使用的小型组件，用于处理数据库定义 (DDL) 文件。Apache Storm是一个免费开源的分布式实时计算系统。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞造成拒绝服务攻击，远程代码执行等。

CNVD收录的相关漏洞包括：Apache James命令注入漏洞、Apache James拒绝服务漏洞、Apache James路径遍历漏洞、Apache Parquet输入验证错误漏洞、Apache Log4j代码执行漏洞、Apache DB DdlUtils代码问题漏洞、Apache Storm代码问题漏洞、Apache log4j2拒绝服务漏洞。其中，“Apache DB DdlUtils代码问题漏洞、Apache Storm代码问题漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Lantronix产品安全漏洞

Lantronix PremierWave 2050是美国Lantronix公司的一个嵌入式企业Wi-Fi模块。用于提供可靠且始终在线的5G Wi-Fi连接。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞导致命令执行，任意文件覆盖等 。

CNVD收录的相关漏洞包括：Lantronix PremierWave 2050 OS命令注入漏洞（CNVD-2022-01593、CNVD-2022-01602、CNVD-2022-01599）、Lantronix PremierWave 2050路径遍历漏洞（CNVD-2022-01594）、Lantronix PremierWave 2050堆栈缓冲区溢出漏洞（CNVD-2022-01605、CNVD-2022-01608、CNVD-2022-01604、CNVD-2022-01607）。其中，“Lantronix PremierWave 2050 OS命令注入漏洞（CNVD-2022-01593、CNVD-2022-01602、CNVD-2022-01599）、Lantronix PremierWave 2050路径遍历漏洞（CNVD-2022-01594）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Audition是一款音频编辑器和后期制作套件。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞导致内存泄露，执行任意代码。

CNVD收录的相关漏洞包括：Adobe Audition越界读取漏洞（CNVD-2022-00586、CNVD-2022-00587）、Adobe Audition任意代码执行漏洞（CNVD-2022-00590、CNVD-2022-00592、CNVD-2022-00591、CNVD-2022-00596、CNVD-2022-00595、CNVD-2022-00594）。其中，除“Adobe Audition越界读取漏洞（CNVD-2022-00586、CNVD-2022-00587）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Mozilla Rust rusqlite crate是一个符合人体工程学的包装器，用于使用来自 Rust 的 SQLite。它试图暴露一个类似于rust-postgres的接口。Mozilla Rust lru crate是LRU缓存的实现。Rust libpulse-binding crate是该存储库包含用于从Rust编程语言连接到PulseAudio (PA) 的sys (FFI) 和绑定库 (crates)。Rust actix-web crate是一个Rust网络框架。Rust是Mozilla基金会的一款通用、编译型编程语言。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞造成内存破坏和拒绝服务。

CNVD收录的相关漏洞包括：Mozilla Rust rusqlite crate内存破坏漏洞、Mozilla Rust lru crate释放后重用漏洞、Mozilla Rust libpulse-binding crate内存破坏漏洞、Mozilla Rust actix-web crate内存破坏漏洞（CNVD-2022-01146、CNVD-2022-01148、CNVD-2022-01150）、Mozilla Rust内存破坏漏洞（CNVD-2022-01149、CNVD-2022-01151）。其中，“Mozilla Rust actix-web crate内存破坏漏洞（CNVD-2022-01146、CNVD-2022-01148、CNVD-2022-01150）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Tripexpress路径遍历漏洞

Tripexpress是奥地利Shpetim Islami个人开发者的一个开源巴士旅游旅游预订管理网络应用程序。上周，Tripexpress被披露存在路径遍历漏洞。攻击者可利用该漏洞导致路径操作。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Apache产品被披露存在多个漏洞，攻击者可利用该漏洞造成拒绝服务攻击，远程代码执行等。此外，Lantronix、Adobe、Mozilla等多款产品被披露存在多个漏洞，攻击者可利用该漏洞造成内存破坏，拒绝服务，执行任意代码，任意文件覆盖等。另外，Tripexpress被披露存在路径遍历漏洞。攻击者可利用该漏洞导致路径操作。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、第一财经、中国工商银行客户服务、交通银行微银行、中国光大银行、河北银行、昆仑银行报道

责任编辑：韩希宇