国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞229个,互联网上出现“Lead Management System SQL注入漏洞(CNVD-2023-05741)、Courier Management System SQL注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
(资料图片仅供参考)
【防诈骗】警惕!有人在电话或网上让你做这几件事,很可能是骗子
涉及钱财需谨慎,请仔细核对并确认收款人、收款账户信息无误再进行转账,不要轻信所谓的“安全账户”。>>详细
【反诈干货】教你识别假币骗局,练就“火眼金睛”
如果误收了假币,请不要再继续使用,应上缴当地银行或公安机关。如果知道是谁向你支付了这张假币,可以向公安机关报告,由公安机关进行后续处理。>>详细
【信用卡】金融知识小课堂第三期
若发生金融纠纷,消费者可以通过银行客服热线反映诉求,也可以通过银行业保险业调解组织热线、监管部门公布的官方渠道反映诉求。>>详细
郑州银行带你了解《郑州市假币犯罪举报奖励办法(试行)》
凡向郑州市公安机关举报郑州市辖区内假币犯罪,经查证属实并对案件侦查工作起到重要作用的自然人、法人或其他组织,为举报有功人员。>>详细
供应链金融数字化转型,安全风险如何防范?
CFCA已与多家知名大型供应链金融平台达成合作,为其提供成熟的解决方案,实现了核心企业资金回笼加快、上下游企业粘性提升、融资平台现有发展模式突破。>>详细
北京市场监管局:警惕“元宇宙”等炒作 防范新型非法集资
切勿相信所谓“稳赚不赔”“高收益、零风险”的谎言,谨记高收益必然伴随着高风险。>>详细
民生银行:警银联动机智劝阻 “养老”不“坑老”
近日,民生银行天津西站支行成功堵截一起养老诈骗,为客户避免30万元资金损失。>>详细
深圳农商银行成功拦截电信诈骗案,以实际行动守护客户资金安全
民警到达网点后,与理财经理一起对龙先生进行了劝阻,龙先生才恍然大悟,意识到遭遇了诈骗,放弃了转账,成功避免了24万元的经济损失。>>详细
这场“温情”骗局被识穿 贵阳银行世纪城社区支行为客户挽回10万元
2月6日上午,贵阳银行世纪城社区支行成功堵截了一起网络诈骗,及时为客户挽回经济损失10万元。>>详细
安全威胁播报
上周漏洞基本情况
上周(2023年1月30日-2月5日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞229个,其中高危漏洞106个、中危漏洞114个、低危漏洞9个。漏洞平均分值为6.59。上周收录的漏洞中,涉及0day漏洞115个(占50%),其中互联网上出现“Lead Management System SQL注入漏洞(CNVD-2023-05741)、Courier Management System SQL注入漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
IBM产品安全漏洞
IBM Sterling B2B Integrator是美国国际商业机器(IBM)公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。IBM Spectrum Virtualize是美国国际商业机器(IBM)公司的一个块存储虚拟化系统。可提高新的和现有存储基础架构的数据价值、安全性和简单性。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在Web UI中嵌入任意JavaScript代码,从而改变预期的功能,导致可信会话中的凭证泄露,发送特制的SQL语句,查看、添加、修改或删除后端数据库中的信息等。
CNVD收录的相关漏洞包括:IBM Sterling B2B Integrator SQL注入漏洞(CNVD-2023-05240)、IBM Sterling B2B Integrator权限提升漏洞(CNVD-2023-05239)、IBM Sterling B2B Integrator跨站脚本漏洞(CNVD-2023-05238、CNVD-2023-05245)、IBM Sterling B2B Integrator信息泄露漏洞(CNVD-2023-05244、CNVD-2023-05241)、IBM Spectrum Virtualize信息泄露漏洞、IBM Sterling B2B Integrator Standard Edition跨站脚本漏洞(CNVD-2023-05243)。其中,“IBM Sterling B2B Integrator SQL注入漏洞(CNVD-2023-05240)、IBM Sterling B2B Integrator权限提升漏洞(CNVD-2023-05239)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Adobe产品安全漏洞
Adobe InCopy是美国奥多比(Adobe)公司的一款用于创作的文本编辑软件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过ASLR等缓解措施,导致敏感内存泄露,在当前用户的上下文中任意执行代码等。
CNVD收录的相关漏洞包括:Adobe InCopy缓冲区溢出漏洞(CNVD-2023-05227、CNVD-2023-05231)、Adobe InCopy越界写入漏洞(CNVD-2023-05226、CNVD-2023-05230)、Adobe InCopy输入验证错误漏洞、Adobe InCopy释放后使用漏洞、Adobe InCopy越界读取漏洞(CNVD-2023-05234、CNVD-2023-05225)。其中,除“Adobe InCopy越界读取漏洞(CNVD-2023-05225、CNVD-2023-05234)、Adobe InCopy释放后使用漏洞”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Apache产品安全漏洞
Apache Superset是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。Apache James是美国阿帕奇(Apache)基金会的一个完全用Java编写的开源Smtp和Pop3 邮件传输代理和Nntp新闻服务器。Apache Calcite是一个动态数据管理框架,它具备很多典型数据库管理系统的功能,比如SQL解析、SQL校验、SQL查询优化、SQL生成以及数据连接查询等。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致跨站脚本攻击,提交特殊的请求,可以应用程序上下文执行任意命令等。
CNVD收录的相关漏洞包括:Apache Superset跨站脚本漏洞(CNVD-2023-05220、CNVD-2023-05219、CNVD-2023-05218)、Apache Superset访问控制错误漏洞(CNVD-2023-05217)、 Apache Airflow命令注入漏洞(CNVD-2023-05224)、Apache James信息泄露漏洞、Apache James授权问题漏洞、Apache Calcite点击劫持漏洞。其中“Apache Superset跨站请求伪造漏洞、 Apache Airflow命令注入漏洞(CNVD-2023-05224)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Mozilla产品安全漏洞
Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞能够读取和修改数据,绕过iframe沙箱并在任意窗口的上下文中执行任意JavaScript代码等。
CNVD收录的相关漏洞包括:Mozilla Firefox安全特征问题漏洞(CNVD-2023-05205、CNVD-2023-05206)、Mozilla Firefox信任管理问题漏洞(CNVD-2023-05204)、Mozilla Firefox资源管理错误漏洞(CNVD-2023-05208)、Mozilla Firefox代码问题漏洞(CNVD-2023-05207)、Mozilla Firefox权限许可和访问控制问题漏洞(CNVD-2023-05212、CNVD-2023-05211)、Mozilla Firefox竞争条件漏洞。其中,除“Mozilla Firefox代码问题漏洞(CNVD-2023-05207)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Online Food Ordering System任意文件上传漏洞(CNVD-2023-06523)
Online Food Ordering System是一个在线食品订购系统。上周,Online Food Ordering System被披露存在文件上传漏洞。攻击者可利用该漏洞上传恶意文件从而远程执行任意代码。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,IBM产品被披露存在多个漏洞,攻击者可利用漏洞在Web UI中嵌入任意JavaScript代码,从而改变预期的功能,导致可信会话中的凭证泄露,发送特制的SQL语句,查看、添加、修改或删除后端数据库中的信息等。此外,Adobe、Apache、Mozilla等多款产品被披露存在多个漏洞,攻击者可利用漏洞绕过ASLR等缓解措施,导致敏感内存泄露,在当前用户的上下文中任意执行代码,读取和修改数据,绕过iframe沙箱并在任意窗口的上下文中执行任意JavaScript代码等。另外,Online Food Ordering System被披露存在任意文件上传漏洞。攻击者可利用该漏洞上传恶意文件从而远程执行任意代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、第一财经、中国工商银行客户服务、民生银行、上海银行、郑州银行、贵阳银行、深圳农商银行报道