国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞474个，互联网上出现“H3C Magic R100缓冲区溢出漏洞（CNVD-2022-50705）、TOTOLINK N600R缓冲区溢出漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【防骗】高考之后，考生和家长千万要小心这几个套路

与钱相关要三思，个人信息不予人；“内部”捷径不可信，录取信息认官方；高考诈骗套路多，提高警惕别上当！>>详细

【防电诈】擦亮双眼，警惕电话办案骗局

广大消费者务必保持高度警惕，进一步提高电信网络诈骗防范意识，不轻信陌生来电，不点击陌生链接，不轻易转账汇款，学习掌握电信网络诈骗防范技巧，切实保护个人资金安全。>>详细

“2022信创‘大比武’金融业务应用支撑技术赛道”正式启动！

7月17日，由中国金融认证中心（CFCA）主办的“2022信创‘大比武’金融业务应用支撑技术赛道”正式拉开帷幕，即日起面向金融机构、集成商、软硬件提供商等召集参与活动的团队。>>详细

【提醒】开心过暑假 防诈不放假

机构退费多核实，兼职交费莫大意，打折充值勿轻信，暑期防诈别中计！>>详细

【防诈】金榜题名正当时，防诈知识要牢记！

随着高考落下帷幕，各地高考成绩陆续公布，志愿填报和录取工作也即将开展，一些不法分子利用家长和考生的紧张重视心理实施诈骗。>>详细

CFCA与银联云联合共建金融级云上安全生态

本次“安全测评”合作根植于金融科技、金融创新应用等多个金融业内热点领域，围绕业务系统合规、个人隐私保护及客户端安全等多项关键业务开展。>>详细

【以案说险】提高个人信息保护意识 防范个人信息泄露风险

在日常生活和工作中，出借身份证和银行卡给他人使用、点击钓鱼网站等不明链接、随意进行个人信息填写、连接不明WIFL、随手丢弃银行业务回单或凭据、随意丢弃快递单等行为都有可能造成您的个人信息泄露。>>详细

以案说险——如何保护个人金融信息安全

广大金融消费者，要增强防范意识，养成良好的金融消费习惯，保护好个人金融信息，避免遭受人身和财产损失。>>详细

【消保小剧场】糟糕，他又被骗了

如今诈骗的套路实在是太多了，有资金需求的人也很多，骗子正是利用这些人的需求，以大额度，低利息等名义来诈骗。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年7月11日-7月17日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞474个，其中高危漏洞208个、中危漏洞225个、低危漏洞41个。漏洞平均分值为6.21。上周收录的漏洞中，涉及0day漏洞317个（占67%），其中互联网上出现“H3C Magic R100缓冲区溢出漏洞（CNVD-2022-50705）、TOTOLINK N600R缓冲区溢出漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

IBM产品安全漏洞

IBM Jazz Team Server是美国IBM公司的一个应用服务器。提供了基础服务，这些服务使一组工具可以作为单个逻辑服务器一起工作，并且包括提供工具特定功能的任意数量的Jazz Team Server Extensions。IBM DB2是一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM Spectrum Copy Data Management是美国国际商业机器公司（IBM）的实现数据中心副本管理流程的现代化、简化和自动化。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞从系统发送未经授权的请求，可能导致网络枚举或促进其他攻击，信息泄露等。

CNVD收录的相关漏洞包括：IBM Jazz Team Server服务器端请求伪造漏洞（CNVD-2022-51652、CNVD-2022-51654）、IBM DB2信息泄露漏洞（CNVD-2022-51656）、IBM DB2拒绝服务漏洞（CNVD-2022-51655）、IBM Jazz Team Server信息泄露漏洞（CNVD-2022-51653、CNVD-2022-51660）、IBM Jazz Team Server点击劫持漏洞、IBM Spectrum Copy Data Management信息泄露漏洞（CNVD-2022-51662） 。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache SystemDS是美国阿帕奇（Apache）基金会的用于端到端数据科学生命周期的开源机器学习系统。Apache NiFi是一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。Apache NiFi Registry是其中的一个用于存储和管理版本化流程的注册表。Apache Hadoop是一套开源的分布式系统基础架构。该产品能够对大量数据进行分布式处理，并具有高可靠性、高扩展性、高容错性等特点。Apache Flume是一种分布式、可靠且可用的服务。用于高效收集、聚合和移动大量日志数据。Apache HTTP Server是一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。Apache Archiva是一套用于管理一个或多个远程存储的软件。该软件提供远程Repository代理、基于角色的安全访问管理和使用情况报告等功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在Linux和macOS平台上注入操作系统命令，导致yarn级别的用户可能以root用户身份执行任意命令等。

CNVD收录的相关漏洞包括：Apache SystemDS拒绝服务漏洞、Apache NiFi命令注入漏洞、Apache Hadoop权限提升漏洞（CNVD-2022-51055）、Apache Flume远程代码执行漏洞、Apache HTTP Server信息泄露漏洞（CNVD-2022-51060）、Apache HTTP Server HTTP请求走私漏洞、Apache Hadoop缓冲区溢出漏洞（CNVD-2022-51057）、Apache Archiva安全特征问题漏洞。其中，“Apache Hadoop权限提升漏洞（CNVD-2022-51055）、Apache Flume远程代码执行漏洞、Apache Hadoop缓冲区溢出漏洞（CNVD-2022-51057）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

SAP产品安全漏洞

SAP 3D Visual Enterprise Viewer是德国思爱普（SAP）公司的一款3D视图查看器。该软件支持在所有行业标准的桌面应用中发布2D、3D场景，并支持以独立可执行程序和ActiveX空间单独安装。SAP PowerDesigner是德国思爱普（SAP）公司的一款数据库设计软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过系统的根磁盘访问限制，在系统磁盘根路径上写入或创建程序文件，并提升应用程序的权限，导致应用程序崩溃并且用户暂时无法使用，直到重新启动应用程序等。

CNVD收录的相关漏洞包括：SAP 3D Visual Enterprise Viewer输入验证错误漏洞（CNVD-2022-50937、CNVD-2022-50936、CNVD-2022-50940、CNVD-2022-50939、CNVD-2022-50938、CNVD-2022-50942、CNVD-2022-50941）、SAP PowerDesigner代码问题漏洞。其中，“SAP PowerDesigner代码问题漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Fortinet产品安全漏洞

Fortinet FortiGate是美国飞塔（Fortinet）公司的一套网络安全平台。该平台提供防火墙、防病毒和入侵防御（IPS）、应用控制、反垃圾邮件、无线控制器和广域网加速等功能。FortiSOAR是一种安全编排、自动化和响应 (SOAR) 解决方案。Fortinet FortiProxy SSL VPN是一个应用软件。提供了一个入侵检测功能。Fortinet FortiOS是一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。Fortinet FortiWLC是一款无线局域网控制器。Fortinet FortiPortal是FortiGate、FortiWiFi和FortiAP产品线的高级、功能丰富的托管安全分析和管理支持工具，可作为虚拟机供MSP使用。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞窃取潜在的敏感信息，更改网页的外观，执行网络钓鱼和偷渡式下载攻击，绕过已实施的安全限制，获取对网关API数据的未经授权的访问等。

CNVD收录的相关漏洞包括：Fortinet FortiGate跨站脚本漏洞（CNVD-2022-50950）、Fortinet FortiSOAR访问控制错误漏洞、Fortinet FortiProxy SSL VPN跨站脚本漏洞、Fortinet FortiOS信息泄露漏洞（CNVD-2022-50947）、Fortinet FortiWLM SQL注入漏洞（CNVD-2022-50953）、Fortinet FortiWLM路径遍历漏洞、Fortinet FortiPortal安全特征问题漏洞、Fortinet FortiGate输入验证错误漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Huawei HarmonyOS权限管理不当漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。上周，Huawei HarmonyOS被披露存在权限管理不当漏洞。攻击者利用该漏洞可导致获取CPLC信息。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，IBM产品被披露存在多个漏洞，攻击者可利用漏洞从系统发送未经授权的请求，可能导致网络枚举或促进其他攻击，信息泄露等。此外，Apache、SAP、Fortinet等多款产品被披露存在多个漏洞，攻击者可利用漏洞窃取潜在的敏感信息，更改网页的外观，绕过系统的根磁盘访问限制，在系统磁盘根路径上写入或创建程序文件，并提升应用程序的权限，在Linux和macOS平台上注入操作系统命令。另外，HarmonyOS被披露存在权限管理不当漏洞。攻击者可利用漏洞导致获取CPLC信息。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国工商银行客户服务、中国邮政储蓄银行、中信银行、渤海银行、锦州银行、桂林银行金融服务报道

责任编辑：韩希宇