国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞528个，互联网上出现“ZOHO ManageEngine Key Manager Plus跨站脚本漏洞、Joomla! DT Register SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

网络安全是数字经济发展的“生命线”

《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查，并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。>>详细

加快数字经济立法：安全与发展并举，鼓励地方创新

数字经济立法，就是要保护有价值的数据生产者的权益，激励他们愿意将数据拿出来与他人分享或交易，实现数据的社会化利用。>>详细

工信部拟规定：重要工信数据向境外提供应进行安全评估

工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据，法律、行政法规有境内存储要求的，应当在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估。>>详细

央行新规解读：金融机构如何运用科技手段加强客户尽职调查？

CFCA金信反欺诈服务平台基于众多官方数据源，利用安全计算与智能分析、机器学习等技术，向持牌金融机构提供基础认证和反欺诈产品与技术服务。>>详细

工银科技打造智能风控产品 助力数字安全生态建设

截至2021年末，“工银BRAINS反洗钱产品”已服务5个行业27家客户，对其3.7亿个人、法人客户开展反洗钱监测分析，有效提升反洗钱监管效率。>>详细

防范支付风险，保障资金安全

在日常生活中切勿向他人透露个人金融信息、财产状况等基本信息，也不要随意在网络上留下个人金融信息。>>详细

首家！中国银联联邦学习平台通过CFCA联邦学习技术应用产品测评

平台能够有效支撑机构间基于联邦学习开展数据合作，后续将进一步联合业界的隐私计算技术供应商共同推动互联互通规范对接，促进更多行业机构实现隐私计算数据网络互联，赋能金融数据要素的安全合规流通。>>详细

中国民生银行信用卡中心积极开展《个人信息保护法》宣教活动

中国民生银行信用卡中心坚定贯彻落实总行相关工作部署，积极开展《个人信息保护法》宣教活动，全面提升个人信息保护水平和依法经营管理实效。>>详细

微众银行微粒贷加强反诈宣传 增强消费者防范意识

针对反诈骗宣教工作，微众银行也在官方自有宣传渠道和社会媒体上进行广泛的用户教育宣传，呼吁用户警惕相关虚假、诈骗信息，保护个人信息和财产安全。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年2月7日-13日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞528个，其中高危漏洞118个、中危漏洞371个、低危漏洞39个。漏洞平均分值为5.60。上周收录的漏洞中，涉及0day漏洞300个（占57%），其中互联网上出现“ZOHO ManageEngine Key Manager Plus跨站脚本漏洞、Joomla! DT Register SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Oracle产品安全漏洞

Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞破坏或删除数据。

CNVD收录的相关漏洞包括：Oracle MySQL缓冲区溢出漏洞、Oracle MySQL输入验证错误漏洞（CNVD-2022-09136、CNVD-2022-09135、CNVD-2022-09134、CNVD-2022-09139、CNVD-2022-09143、CNVD-2022-09142、CNVD-2022-09141）。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache OpenOffice是美国阿帕奇（Apache）基金会的一款开源的办公软件套件。该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。Apache HTTP Server是美国阿帕奇（Apache）软件基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache Dubbo是美国阿帕奇（Apache）基金会的一款基于Java的轻量级RPC（远程过程调用）框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。Apache Jena是美国阿帕奇（Apache）基金会的一个Java语义网框架。用于构建语义Web和链接数据应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过发送特制的XML文件读取文件，在系统上提升权限，通过发送特制的HTTP请求造成拒绝服务（空指针逆向引用和段错误）等。

CNVD收录的相关漏洞包括：Apache OpenOffice访问控制错误漏洞、Apache HTTP Server mod_md拒绝服务漏洞、Apache OpenOffic内存破坏漏洞、Apache OpenOffice XML外部实体注入漏洞、Apache HTTP Server拒绝服务漏洞（CNVD-2022-09237）、Apache Airflow跨站脚本漏洞（CNVD-2022-09242）、Apache Dubbo代码问题漏洞、Apache Jena XML外部实体注入漏洞。其中“Apache Dubbo代码问题漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Financial Transaction Manager是美国IBM公司的一款金融事务管理器。该产品主要用于监控、跟踪和报告金融支付和交易。IBM Security Verify Access（ISAM）是美国IBM公司的一款提高用户访问安全的服务。IBM Security Guardium Insights是美国IBM公司的一套数据安全解决方案。该产品支持数据分析、威胁警报、数据安全性审计和本地数据监控等功能。IBM Guardium Data Encryption（GDE）是美国IBM公司的一个应用软件。提供一个数据安全和合规性解决方案。IBM DB2是美国IBM公司的一套关系型数据库管理系统。IBM Spectrum Copy Data Management是美国国际商业机器公司（IBM）的实现数据中心副本管理流程的现代化、简化和自动化。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行恶意和未经授权的行为，以系统上的任何用户身份进行身份验证，窃取经过身份验证的会话，可导致用户名枚举等。

CNVD收录的相关漏洞包括：IBM Financial Transaction Manager跨站请求伪造漏洞（CNVD-2022-08964）、IBM Security Verify Access未授权访问漏洞、IBM Financial Transaction Manager授权问题漏洞（CNVD-2022-08965）、IBM Security Guardium Insights信息泄露漏洞（CNVD-2022-08968）、IBM Guardium Data Encryption信息泄露漏洞（CNVD-2022-08967）、IBM Security Guardium Insights输入验证错误漏洞、IBM Db2信息泄露漏洞（CNVD-2022-08971）、IBM Spectrum Copy Data Management未授权访问漏洞。其中“IBM Spectrum Copy Data Management未授权访问漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

ZOHO产品安全漏洞

Zoho Corporation ManageEngine OpManager是美国Zoho Corporation公司的一款综合性网络监控软件。用于管理路由器、防火墙、服务器、交换机和打印机。ZOHO ManageEngine Remote Access Plus是美国卓豪（ZOHO）公司的一套远程访问解决方案。ZOHO ManageEngine ADManager Plus是美国卓豪（ZOHO）公司的一套为使用Windows域的企业用户设计的微软活动目录管理软件。该软件能够协助AD管理员和帮助台技术人员进行日常管理工作，例如批量管理用户帐户和AD对象、给帮助台技术员指派基于角色的访问权限等。ZOHO ManageEngine EventLog Analyzer是美国卓豪（ZOHO）公司的一套系统、事件日志分析软件。该软件能够对全网范围内的主机、服务器、网络设备以及各种应用服务系统等产生的日志，进行全面收集和细致分析。ZOHO ManageEngine AssetExplorer是美国卓豪（ZOHO）公司的一套资产管理软件。该软件提供资产跟踪、IT资产的扫描和资产所有权的跟踪等功能。ZOHO ManageEngine ServiceDesk Plus（SDP）是美国卓豪（ZOHO）公司的一套基于ITIL架构的IT服务管理软件。该软件集成了事件管理、问题管理、资产管理IT项目管理、采购与合同管理等功能模块。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞访问审计目录，提交特殊的请求，可未授权访问系统，导致远程代码执行等。

CNVD收录的相关漏洞包括：Zoho Corporation ManageEngine OpManager授权问题漏洞、Zoho ManageEngine Remote Access Plus信任管理问题漏洞（CNVD-2022-09267、CNVD-2022-09266）、Zoho ManageEngine ADManager Plus代码问题漏洞、Zoho ManageEngine ADManager Plus路径遍历漏洞、Zoho ManageEngine Eventlog Analyzer路径遍历漏洞、ZOHO ManageEngine AssetExplorer信任管理问题漏洞、ZOHO ManageEngine ServiceDesk Plus授权问题漏洞。除“Zoho ManageEngine Remote Access Plus信任管理问题漏洞（CNVD-2022-09267、CNVD-2022-09266）、Zoho ManageEngine ADManager Plus路径遍历漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

jeecg访问控制错误漏洞

jeecg是一个应用软件。一款基于代码生成器的智能开发平台。上周jeecg被披露存在访问控制错误漏洞。攻击者可利用该漏洞通过修改lcoalPath来访问敏感文件。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Oracle产品被披露存在多个漏洞，攻击者可利用该漏洞导致缓冲区溢出，整数溢出，提升权限等。此外，Apache、IBM、ZOHO等多款产品被披露存在多个漏洞，攻击者可利用该漏洞破坏或删除数据，访问审计目录，提交特殊的请求，可未授权访问系统，导致远程代码执行。另外，jeecg被披露存在访问控制错误漏洞。攻击者可利用该漏洞通过修改lcoalPath来访问敏感文件。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、第一财经日报、证券日报、中国金融新闻网、金融界、邢台银行报道

责任编辑：韩希宇