国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞635个，互联网上出现“fast-string-search拒绝服务漏洞、Online Project Time Management System SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【消保以案说险】信息不泄漏，网购要小心

在与商家协商过程中，不随意点击商家从聊天工具发送的支付链接，不随意扫描不明二维码，不随意透露个人重要信息。>>详细

金融机构规范数据共享 隐私计算尚存四大难点

过去一年，隐私计算技术在银行机构之间迅速普及，金融机构在严格遵守《个保法》相关规定的前提下，不断通过脱敏数据的深度挖掘，持续完善自身的风控体系与精准营销模型。>>详细

防疫也要防诈！警惕以“疫”之名的骗局！

诈骗手法层出不穷。在做好疫情防控的同时，也要警惕诈骗。不要轻信陌生来电，不要点击可疑链接，不要轻易透露个人信息、银行卡、验证码及密码等重要信息！如果被骗一定要立即报警。>>详细

2022信创“大比武”活动圆满收官 各方共同展望科技创新服务高质量发展

2022信创“大比武”活动为信息技术应用创新研发团队搭建施展才能、共同进步的舞台，希望联结各方力量，加强自主创新，推动成果落地，以科技创新服务经济与社会高质量发展。>>详细

工信部拟健全网络安全保险政策标准体系 业内：将从根本上推动网络安全技术范式创新

《征求意见稿》共分为五大部分，分别从建立健全政策标准体系、加强产品创新、赋能保险发展、释放需求和培育生态等方面进行规范。>>详细

【消保】双11必备防骗攻略 守护您的钱袋子

未知链接不点击，虚假红包要警惕，低价销售有陷阱，退款信息多核实。>>详细

【消保黔行】双十一防诈骗指南第二波上线！

心宝儿提醒大家，如今，正值双11购物狂欢期，大家在“买买买”的同时，一定注意自身财产安全，不轻信各类虚假信息，仔细甄别，不给骗子可乘之机，以免造成财产损失。>>详细

最高检发布7大惩治养老诈骗违法犯罪典型案例

养老诈骗犯罪严重侵犯老年人合法权益，破坏老龄事业发展，危害社会和谐稳定。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年10月31日-11月6日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞635个，其中高危漏洞298个、中危漏洞286个、低危漏洞51个。漏洞平均分值为6.46。上周收录的漏洞中，涉及0day漏洞538个（占85%），其中互联网上出现“fast-string-search拒绝服务漏洞、Online Project Time Management System SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警 

Linux产品安全漏洞

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过连接到基于Web的管理界面并请求URLs从而检索敏感信息，提升权限，导致拒绝服务等。

CNVD收录的相关漏洞包括：Linux kernel竞争条件漏洞（CNVD-2022-74084）、Linux kernel拒绝服务漏洞（CNVD-2022-74086、CNVD-2022-74090）、Linux kernel访问控制错误漏洞（CNVD-2022-74085）、Linux Kernel竞争条件问题漏洞（CNVD-2022-74088、CNVD-2022-74091）、Linux kernel资源管理错误漏洞（CNVD-2022-74087、CNVD-2022-74092） 。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Commons Text是美国阿帕奇（Apache）基金会的一个专注于字符串算法的库。Apache Commons JXPath是一种XPath1.0的基于Java的实现。Apache Kafka是一套开源的分布式流媒体平台。该平台能够获取实时数据，用于构建对数据流的变化进行实时反应的应用程序。Apache XML Graphics Batik是一套基于Java的主要用于处理SVG格式图像的应用程序。Apache SOAP是用作客户端库来调用其他地方可用的SOAP服务，也可以用作服务器端工具来实现SOAP可访问服务。Apache Airflow是一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取任意文件，获取敏感信息，在系统上执行任意代码，造成拒绝服务等。

CNVD收录的相关漏洞包括：Apache Commons Text远程代码执行漏洞、Apache Commons JXPath缓冲区溢出漏洞（CNVD-2022-73687、CNVD-2022-73688、CNVD-2022-73689）、Apache Kafka拒绝服务漏洞、Apache XML Graphics Batik服务器端请求伪造漏洞、Apache SOAP XML外部实体注入漏洞、Apache Airflow信息泄露漏洞（CNVD-2022-73695）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows是美国微软（Microsoft）公司的一种桌面操作系统。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞在目标主机上执行代码。

CNVD收录的相关漏洞包括：Microsoft Windows LDAP远程代码执行漏洞（CNVD-2022-72854、CNVD-2022-72860、CNVD-2022-72853、CNVD-2022-72857、CNVD-2022-72856、CNVD-2022-72855、CNVD-2022-72859、CNVD-2022-72858）。其中，“Microsoft Windows LDAP远程代码执行漏洞（CNVD-2022-72857、CNVD-2022-72856、CNVD-2022-72855、CNVD-2022-72859）”的综合评级为“高危” 。目前，厂商已经发布了上述漏洞的修补程序。

F5产品安全漏洞

F5 BIG-IP是F5公司的一款集成了网络流量编排、负载均衡、智能DNS，远程接入策略管理等功能的应用交付平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前登录用户的上下文中运行JavaScript，导致拒绝服务。

CNVD收录的相关漏洞包括：F5 BIG-IP输入验证错误漏洞（CNVD-2022-72753）、F5 BIG-IP代码问题漏洞（CNVD-2022-72752、CNVD-2022-72755、CNVD-2022-72756、CNVD-2022-72256）、F5 BIG-IP跨站脚本漏洞（CNVD-2022-72758）、F5 BIG-IP资源管理错误漏洞（CNVD-2022-72757、CNVD-2022-72759）。其中，除“F5 BIG-IP跨站脚本漏洞（CNVD-2022-72758）”外，其余漏洞的综合评级为“高危” 。目前，厂商已经发布了上述漏洞的修补程序。

Omron CX-Position越界写入漏洞

Omron CX-Position是日本Omron公司的一个位置控制软件。简化了位置控制的各个方面，从创建/编辑位置控制单元（NC单元）中使用的数据到在线通信和监控操作。上周，Omron CX-Position被披露存在越界写入漏洞。攻击者可利用该漏洞导致越界写入并执行任意代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Linux产品被披露存在多个漏洞，攻击者可利用漏洞通过连接到基于Web的管理界面并请求URLs从而检索敏感信息，提升权限，导致拒绝服务等。此外，Apache、Microsoft、F5等多款产品被披露存在多个漏洞，攻击者可利用漏洞读取任意文件，获取敏感信息，在目标主机上执行代码，导致拒绝服务等。另外，Omron CX-Position被披露存在越界写入漏洞。攻击者可利用漏洞导致越界写入并执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、每日经济新闻、中国证券报·中证网、中国人民银行福州中支、中信银行、贵州银行、桂林银行金融服务报道

责任编辑：韩希宇