国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞536个,互联网上出现“Microfinance Management System SQL注入漏洞、Radare2缓冲区溢出漏洞(CNVD-2022-81355)”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
防诈骗!新市民之个人信息保护
新市民个人信息非常重要,如果泄露会带来很多麻烦,轻则接到骚扰电话,重则遭受财产损失,甚至威胁到人身安全。>>详细
【提示】网购骗局花样多,支付安全要牢记!
转账需谨慎,保持冷静的思考,提高防范意识,不要轻易相信别人,避免受骗的事情发生。>>详细
普及金融小常识 | 这些理性消费热词你get到了吗?
随着生活水平的不断提高,消费方式也越来越多元化,现在年轻人冲动,盲目消费的现象时有发生,那么如何树立理性的消费观呢?让小湖带大家来学习吧。>>详细
电信网络诈骗花招多 防诈锦囊请收好
诈骗手段千千万,提高警惕可防范,诈骗剧本时常翻新,让人防不胜防,这4个防诈骗锦囊请您收下,保持警惕,守好“钱袋子”。>>详细
止损226万!谨防假“客服”伸向你钱包的“魔爪”
不要随意下载陌生APP,不要轻易开启会议类APP中的“屏幕共享”功能,因为“屏幕共享”后对方可以看到你手机显示的所有信息,包括各类密码和短信验证码。>>详细
警惕冒充“公检法”来电,避免落入电信诈骗圈套
下载国家反诈中心APP,智能识别骗子身份并及时预警提示,及时接听96110来电,有疑问时,应及时向正规金融机构求助或拨打110,以免掉入不法分子设下的陷阱!>>详细
警惕|非法买卖银行卡,害人害己祸无穷
《刑法》规定:明知他人利用信息网络实时犯罪,为其犯罪提供支付结算帮助,情节严重的,处3年以下有期徒期或者拘役,并处或者单处罚金。>>详细
多家机构首批通过“个人金融信息保护能力”认证,金融行业个人信息保护怎么做?
随着《数据安全法》、《个人信息保护法》的发布,以及金融行业出台众多个人金融信息、数据安全相关标准,各金融机构在多方监管要求下逐步加强对个人信息和数据安全的重视。>>详细
安全威胁播报
上周漏洞基本情况
上周(2022年11月21日-27日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞536个,其中高危漏洞193个、中危漏洞261个、低危漏洞82个。漏洞平均分值为5.95。上周收录的漏洞中,涉及0day漏洞344个(占64%),其中互联网上出现“Microfinance Management System SQL注入漏洞、Radare2缓冲区溢出漏洞(CNVD-2022-81355)”等零日代码攻击漏洞。
上周重要漏洞安全告警
Adobe产品安全漏洞
Adobe Dimension是美国Adobe公司的一套2D和3D合成设计工具。Adobe InDesign是一套排版编辑应用程序。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码。
CNVD收录的相关漏洞包括:Adobe Dimension内存错误引用漏洞(CNVD-2022-78869)、Adobe Dimension越界读取漏洞(CNVD-2022-78868)、Adobe InDesign越界读取漏洞(CNVD-2022-79424、CNVD-2022-79423)、Adobe InDesign堆缓冲区溢出漏洞(CNVD-2022-79412、CNVD-2022-79422、CNVD-2022-79425)、Adobe InDesign越界写入漏洞(CNVD-2022-79413)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Apache产品安全漏洞
Apache SOAP是美国阿帕奇(Apache)基金会的一个可用作客户端库来调用其他地方可用的SOAP服务,也可以用作服务器端工具来实现SOAP可访问服务。Apache Airflow是一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache DolphinScheduler是一个分布式的基于DAG可视化的工作流任务调度系统。Apache InLong是一站式的海量数据集成框架,提供自动化、安全、可靠的数据传输能力。Apache MINA是一款网络应用程序框架,该产品主要用于开发高性能和高可伸缩性的网络应用程序。Apache Dubbo是一款基于Java的轻量级RPC(远程过程调用)框架,该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。Velocity Engine是用于Web开发的基于Java的模板引擎。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞触发DAGs,通过手动提供run_id参数执行任意命令,通过日志服务器读取任何文件等。
CNVD收录的相关漏洞包括:Apache SOAP身份验证错误漏洞、Apache Airflow信息泄露漏洞(CNVD-2022-78863)、Apache Airflow代码注入漏洞、Apache DolphinScheduler路径遍历漏洞、Apache InLong反序列化漏洞、Apache MINA反序列化漏洞、Apache Dubbo反序列化漏洞、Apache Velocity Engine代码执行漏洞。其中,除“Apache DolphinScheduler路径遍历漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Google产品安全漏洞
Google TensorFlow是美国谷歌(Google)公司的一套用于机器学习的端到端开源平台。Google Chrome是一款Web浏览器。Google Android是一套以Linux为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致程序崩溃,任意代码执行,蓝牙设置中的权限升级等。
CNVD收录的相关漏洞包括:Google TensorFlow缓冲区溢出漏洞(CNVD-2022-80680、CNVD-2022-80683)、Google TensorFlow代码问题漏洞(CNVD-2022-80685)、Google Chrome资源管理错误漏洞(CNVD-2022-81239、CNVD-2022-81238、CNVD-2022-81243)、Google Android权限提升漏洞(CNVD-2022-81237)、Google Chrome Internals堆缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
F5产品安全漏洞
F5 BIG-IP和F5 BIG-IP Guided Configuration(GC)都是美国F5公司的产品。F5 BIG-IP是一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP Guided Configuration是一个配置模板。F5 BIG-IP AFM是一款用于防护DDos攻击的高级防火墙产品。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在BIG-IP系统上造成拒绝服务,在当前登录用户的上下文中运行JavaScript,上传恶意制作的文件,执行任意命令等。
CNVD收录的相关漏洞包括:F5 BIG-IP输入验证错误漏洞(CNVD-2022-79943)、F5 BIG-IP代码问题漏洞(CNVD-2022-79944、CNVD-2022-79947)、F5 BIG-IP多款产品跨站脚本漏洞、F5 BIG-IP日志信息泄露漏洞、F5 BIG-IP资源管理错误漏洞(CNVD-2022-79953)、F5 BIG-IP安全特征问题漏洞、F5 BIG-IP AFM代码问题漏洞。目前,厂商已经发布了上述漏洞的修补程序。
D-Link DIR-823G命令执行漏洞
D-Link DIR-823G是中国友讯(D-Link)公司的一款无线路由器。上周,D-Link DIR-823G被披露存在命令执行漏洞。攻击者可利用该漏洞导致任意命令执行。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Adobe产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码。此外,Apache、Google、F5等多款产品被披露存在多个漏洞,攻击者可利用漏洞导致程序崩溃,上传恶意制作的文件,执行任意命令,通过日志服务器读取任何文件等。另外,D-Link DIR-823G被披露存在命令执行漏洞。攻击者可利用该漏洞导致任意命令执行。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、中国邮政储蓄银行、杭州银行微讯、湖北银行、广东南粤银行、广东农信、广州农村商业银行、重庆农村商业银行报道
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。