国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞320个，互联网上出现“Contec SolarView Compact远程代码执行漏洞、Swftools缓冲区溢出漏洞（CNVD-2022-62209）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信    息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》意见的通知

关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，依照有关法律、行政法规的规定处罚。>>详细

【警惕】@新市民，谨防诈骗套路，维护自身权益！

日常生活中要注意保护好个人信息，防止个人资料外泄，不给诈骗分子可乘之机。面对陌生电话信息凡是涉及借款、汇款等问题时，一定要核实对方身份，比如拨打对方的常用号码，或者用视频聊天仔细询问后再做决定。>>详细

【警惕】反诈安全小课堂第四期—投资理财类诈骗

不盲目轻信一些所谓的“内幕消息”“大师推荐”，不盲目加入未经核实的投资理财群，不盲目跟随群里人进行投资理财。>>详细

【小河讲反洗钱】刷单被骗 反成嫌疑人

帮助信息网络犯罪活动罪是指，明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助。>>详细

数字藏品的洗钱风险如何预防？

国内数字藏品行业处于“初生阶段”，仍旧存在市场不规范、监管不明确等空白情况。>>详细

“退保黑产”为何屡禁不绝？北京银保监局发文提示防范五大“套路”

近年来，始终有不法分子打着为消费者“维权”的旗号，专门办理所谓“代理退保”业务，实则以“维权”之名骗取消费者资金。>>详细

不止搞定看不懂的病历本 电子认证解决方案治愈医疗信息“顽疾”

医疗系统数字化的建设过程面临诸多挑战，例如：医疗系统的数据泄露、医生手写签名真假难辨识且容易篡改、纸质病历保存困难且存在纸张浪费等问题。>>详细

三部门联合发布《互联网弹窗信息推送服务管理规定》

《规定》旨在加强对弹窗信息推送服务的规范管理，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，促进互联网信息服务健康有序发展。>>详细

【飞燕消保卫士】警惕过度借贷营销诱导，树立理性消费观

提高保护个人信息安全意识，不随意签字授权，不随意委托他人签订协议、授权他人办理金融业务，保管好个人重要信息，避免给不法分子可乘之机。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年9月5日-11日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞320个，其中高危漏洞117个、中危漏洞166个、低危漏洞37个。漏洞平均分值为6.14。上周收录的漏洞中，涉及0day漏洞206个（占64%），其中互联网上出现“Contec SolarView Compact远程代码执行漏洞、Swftools缓冲区溢出漏洞（CNVD-2022-62209）”等零日代码攻击漏洞。

上周重要漏洞安全告警 

Microsoft产品安全漏洞

Microsoft Windows Print Spooler是美国微软（Microsoft）公司的一个打印后台处理程序组件。Microsoft Windows Win32k是美国微软（Microsoft）公司的一个用于Windows多用户管理的系统文件。Microsoft Windows Kerberos是美国微软（Microsoft）公司的一个用于在网络集群中进行身份验证的软件。Kerberos同时作为一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。Microsoft Hyper-V是美国微软（Microsoft）公司的一个应用程序。一种系统管理程序虚拟化技术，能够实现桌面虚拟化。Microsoft Windows是一款由美国微软公司开发的窗口化操作系统。Microsoft Windows Cluster Shared Volume是美国微软（Microsoft）公司的一项功能。Microsoft Hyper-V是美国微软（Microsoft）公司的一个应用程序。一种系统管理程序虚拟化技术，能够实现桌面虚拟化。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上执行任意代码，造成拒绝服务情况等。

CNVD收录的相关漏洞包括：Microsoft Windows Print Spooler权限提升漏洞（CNVD-2022-62513、CNVD-2022-62512）、Microsoft Windows Win32k权限提升漏洞（CNVD-2022-62516）、Microsoft Windows Kerberos权限提升漏洞、Microsoft Windows Hyper-V Shared Virtual Hard Disks信息泄露漏洞（CNVD-2022-62514）、Microsoft Windows DNS Server远程代码执行漏洞、Microsoft Windows Cluster Shared Volume (CSV) 拒绝服务漏洞、Microsoft Windows Hyper-V Shared Virtual Hard Disks信息泄露漏洞。其中，“Microsoft Windows DNS Server远程代码执行漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，在系统上执行任意代码。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2022-61747、CNVD-2022-61746、CNVD-2022-61751、CNVD-2022-61754）、Google Android信息泄露漏洞（CNVD-2022-61749、CNVD-2022-61753）、Google Android越界写入漏洞（CNVD-2022-61752）、Google Android远程代码执行漏洞（CNVD-2022-61757）。其中，“Google Android权限提升漏洞（CNVD-2022-61747、CNVD-2022-61751）、Google Android越界写入漏洞（CNVD-2022-61752）、Google Android远程代码执行漏洞（CNVD-2022-61757）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Maximo Asset Management是美国IBM公司的一套综合性资产生命周期和维护管理解决方案。该方案能够在一个平台上管理所有类型的资产，如设施、交通运输等，并对这些资产实现单点控制。IBM Security Identity Manager（ISIM）是美国IBM公司的一套身份管理和治理解决方案。该方案可在整个用户生命周期内自动创建、修改、重新认证和终止用户特权，并支持基于策略的密码管理。IBM Sterling B2B Integrator是美国IBM公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。IBM App Connect Enterprise是美国IBM公司的一个操作系统。IBM App Connect Enterprise 将现有业界信任的 IBM Integration Bus 技术与 IBM App Connect Professional 以及新的云本机技术进行了组合，提供一个可满足现代数字企业全面集成需求的平台。IBM Engineering Requirements Quality Assistant是美国IBM公司的一款基于Watson AI用于辅助开发人员提高工程需求质量的软件。该应用可显著降低发现缺陷成本，有利于尽早发现工程流程中的需求错误，加快产品上市。IBM Sterling File Gateway是美国IBM公司的一套文件传输软件。该软件可整合不同的文件传输活动中心，并帮助基于文件的数据通过因特网实现安全交换。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，伪造用户身份，发送恶意请求，执行非法SQL命令窃取数据库敏感数据，导致拒绝服务等。

CNVD收录的相关漏洞包括：IBM Maximo Asset Management跨站脚本漏洞（CNVD-2022-61905）、IBM Security Identity Manager开放重定向漏洞、IBM Sterling B2B Integrator授权问题漏洞（CNVD-2022-61908）、IBM Sterling B2B Integrator跨站脚本漏洞（CNVD-2022-61907）、IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2022-61906）、IBM App Connect Enterprise拒绝服务漏洞、IBM Engineering Requirements Quality Assistant跨站请求伪造漏洞、IBM Sterling File Gateway信息泄露漏洞（CNVD-2022-61909）。其中，“IBM Sterling B2B Integrator授权问题漏洞（CNVD-2022-61908）、IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2022-61906）、IBM Engineering Requirements Quality Assistant跨站请求伪造漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Avro是美国阿帕奇（Apache）基金会的一个数据序列化系统。为Apache Hadoop提供数据序列化和数据交换服务。Apache JSPWiki是美国阿帕奇（Apache）基金会的一款基于Java、Servlet和JSP构建的开源WikiWiki引擎。Apache Shiro是一个使用的Java安全框架，功能包括身份验证、授权、加密和会话管理。Apache Sling是美国阿帕奇（Apache）基金会的一个 Java 平台的开源Web框架。旨在在符合 JSR-170 的内容存储库（例如 Apache Jackrabbit ）上创建以内容为中心的应用程序。Apache Hadoop是美国阿帕奇（Apache）基金会的一套开源的分布式系统基础架构。Apache Apisix是美国阿帕奇（Apache）基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现，具备动态路由和插件热加载，适合微服务体系下的 API 管理。Apache Commons Compress是美国阿帕奇（Apache）基金会的一个用于处理压缩文件的库。Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过网络限制，提升权限，导致程序崩溃等。

CNVD收录的相关漏洞包括：Apache Avro拒绝服务漏洞、Apache JSPWiki跨站请求伪造漏洞（CNVD-2022-61913）、APACHE SHIRO身份验证绕过漏洞、Apache Sling日志注入漏洞、Apache Hadoop参数注入漏洞、Apache APISIX访问控制错误漏洞、Apache Commons Compress资源管理错误漏洞（CNVD-2022-62077）、Apache Airflow授权问题漏洞（CNVD-2022-62076）。其中，除“Apache Sling日志注入漏洞、Apache APISIX访问控制错误漏洞、Apache Commons Compress资源管理错误漏洞（CNVD-2022-62077）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

LibreHealth EHR跨站脚本漏洞（CNVD-2022-62206）

LibreHealth EHR是一个以临床为中心的电子健康记录 (EHR) 系统，其设计既易于开箱即用使用，也可定制用于各种医疗保健环境。上周，LibreHealth EHR被披露存在跨站脚本漏洞。该漏洞源于interface/main/finder/finder_navigation.php页面对于参数缺少过滤和转义。攻击者可利用该漏洞在客户端执行JavaScript代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上执行任意代码，造成拒绝服务情况等。此外，Google、IBM、Apache等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过网络限制，获取敏感信息，提升权限，在系统上执行任意代码，导致拒绝服务等。另外，LibreHealth EHR被披露存在跨站脚本漏洞。攻击者可利用该漏洞在客户端执行JavaScript代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、网信中国、中国农业银行微银行、南京银行、河北银行、常熟农商银行报道

责任编辑：韩希宇