国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞345个,互联网上出现“PbootCMS SQL注入漏洞(CNVD-2023-11247)、SEMCMS Ant_Pro.php SQL注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
(资料图片仅供参考)
一周行业要闻速览
【消保】七大反诈利器 守护您的钱袋子
96110预警劝阻专线是反诈专用号码,具有预警劝阻、防骗咨询和涉诈举报功能。如果接到96110来电,一定要及时接听并耐心听取民警的劝阻提示,避免掉入电信诈骗陷阱。>>详细
银行卡外借?小心触犯“帮信罪”!
近年来,“帮信罪”案件数量激增,已成为各类刑事犯罪中起诉人数排名第三的罪名。涉案人即使没有被刑事追责,也有可能被追究行政责任。>>详细
工信部:促进网络安全保险规范健康发展
网络安全保险工作组发起《网络安全保险行业协同发展倡议书》,与会工作组成员单位代表纷纷在倡议书上签字。>>详细
小心有诈,“转贷降息”风险重重!
要合理评估个人或家庭实际情况,若有提前还贷或者其他金融业务需求,应向银行等正规金融机构进行咨询了解相关情况。要了解金融常识,保护自身合法权益。>>详细
《2023上海人工智能安全伦理倡议书》签署 倡导人工智能开发者向光而行
《倡议书》以《上海市促进人工智能产业发展条例》为指导,倡导人工智能开发者向光而行,确保人工智能行业朝着公平公正、内容安全、隐私保护、互联互通、共建共享共治方向不断前进,向上发展。>>详细
浦发银行青岛分行多措并举守护金融安全
浦发银行青岛分行围绕普及金融知识、防范电信网络诈骗,立足银行网点,走进社区、学校、老年公寓等,多形式、多维度、多层次进行宣教,立足各环节,全链条、全方位、全过程防范电信网络诈骗,守护客户的“钱袋子”。>>详细
反洗钱宣传|警惕虚拟货币洗钱,增强风险意识
应增强风险意识,树立正确的投资理念,不贪图便宜亦不要轻信高利诱惑,拒绝参与虚拟货币交易炒作活动,拒绝盲目跟风虚拟货币相关投机行为,谨防个人财产及权益受损。>>详细
电子银行安全评估:银行信息安全工作必选项
电子银行安全评估一般从电子银行系统入手,分别针对安全管理、技术安全、业务安全三个层面进行剖析。>>详细
安全威胁播报
上周漏洞基本情况
上周(2023年2月20日-26日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞345个,其中高危漏洞202个、中危漏洞120个、低危漏洞23个。漏洞平均分值为6.64。上周收录的漏洞中,涉及0day漏洞293个(占85%),其中互联网上出现“PbootCMS SQL注入漏洞(CNVD-2023-11247)、SEMCMS Ant_Pro.php SQL注入漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Google产品安全漏洞
Google TensorFlow是美国谷歌(Google)公司的一套用于机器学习的端到端开源平台。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞触发拒绝服务攻击。
CNVD收录的相关漏洞包括:Google TensorFlow拒绝服务漏洞(CNVD-2023-10600、CNVD-2023-10601)、Google TensorFlow CollectiveGather拒绝服务漏洞、Google TensorFlow输入验证错误漏洞(CNVD-2023-10603)、Google TensorFlow AvgPoolOp拒绝服务漏洞、Google TensorFlow EmptyTensorList拒绝服务漏洞、Google TensorFlow DrawBoundingBoxes拒绝服务漏洞、Google TensorFlow Conv2D拒绝服务漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
IBM产品安全漏洞
IBM Maximo Asset Management是美国国际商业机器(IBM)公司的一套综合性资产生命周期和维护管理解决方案。该方案能够在一个平台上管理所有类型的资产,如设施、交通运输等,并对这些资产实现单点控制。IBM Aspera是美国国际商业机器(IBM)公司的一套基于IBM FASP协议构建的快速文件传输和流解决方案。IBM InfoSphere Information Server是企业级信息集成平台。它能够帮助客户理解异构系统中的各种复杂信息,并且通过清洗和转换生成一致、完整的可信赖信息,最后将可信赖信息以各种方式交付给各种业务系统。IBM Sterling B2B Integrator是美国国际商业机器(IBM)公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。IBM QRadar SIEM是美国国际商业机器(IBM)公司的一套利用安全智能保护资产和信息远离高级威胁的解决方案。该方案提供对整个IT架构范围进行监督、生成详细的数据访问和用户活动报告等功能。IBM WebSphere Application Server(WAS)是美国国际商业机器(IBM)公司的一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台,也是IBMWebSphere软件平台的基础。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在浏览器中返回详细的技术错误消息时获取敏感信息,在系统上执行任意代码等。
CNVD收录的相关漏洞包括:IBM Maximo Asset Management信息泄露漏洞(CNVD-2023-11691)、IBM Aspera Faspex反序列化漏洞、IBM InfoSphere Information Server跨站脚本漏洞(CNVD-2023-11689)、IBM Aspera Faspex跨站脚本漏洞、IBM Sterling B2B Integrator跨站脚本漏洞(CNVD-2023-11694)、IBM QRadar SIEM信息泄露漏洞(CNVD-2023-11693)、IBM Sterling B2B Integrator身份验证错误漏洞、IBM WebSphere Application Server加密问题漏洞。其中,“IBM Aspera Faspex反序列化漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Oracle产品安全漏洞
Oracle PeopleSoft Enterprise PeopleTools是美国甲骨文(Oracle)公司的用于为 PeopleSoft 应用程序提供与用户的需求和期望保持同步的技术。Oracle Supply Chain Products Suite是美国甲骨文(Oracle)公司的一套供应链解决方案。该产品提供价值链计划、价值链执行、产品生命周期管理等功能。Oracle PeopleSoft Enterprise PeopleTools是美国甲骨文(Oracle)公司的用于为PeopleSoft应用程序提供与用户的需求和期望保持同步的技术。Oracle E-Business Suite(电子商务套件)是美国甲骨文(Oracle)公司的一套全面集成式的全球业务管理软件。该软件提供了客户关系管理、服务管理、财务管理等功能。Oracle VM VirtualBox是美国甲骨文(Oracle)公司的一款虚拟机管理软件。Oracle Enterprise Manager Base Platform是美国甲骨文(Oracle)公司的一套本地管理平台。该平台主要用于管理Oracle产品部署。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制,在系统上执行任意代码或导致拒绝服务等。
CNVD收录的相关漏洞包括Oracle PeopleSoft Enterprise PeopleTools信息泄露漏洞(CNVD-2023-11165、CNVD-2023-12017)、Oracle Supply Chain信息泄露漏洞(CNVD-2023-11168)、Oracle PeopleSoft Enterprise PeopleTools跨站脚本漏洞、Oracle Trade Management信息泄露漏洞(CNVD-2023-11172)、Oracle VM VirtualBox输入验证错误漏洞(CNVD-2023-11171)、Oracle Enterprise Manager Base Platform输入验证错误漏洞、Oracle VM VirtualBox拒绝服务漏洞(CNVD-2023-11169)。其中,“Oracle Enterprise Manager Base Platform输入验证错误漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Siemens产品安全漏洞
Siemens Tecnomatix Plant Simulation是面向对象的、图形化的、集成的建模、仿真工具。上周,上述产品被披露存在越界写入漏洞,攻击者可利用漏洞在当前进程的上下文中执行代码。
CNVD收录的相关漏洞包括:Siemens Tecnomatix Plant Simulation越界写入漏洞(CNVD-2023-10614、CNVD-2023-10616、CNVD-2023-10615、CNVD-2023-10618、CNVD-2023-10617、CNVD-2023-10620、CNVD-2023-10619、CNVD-2023-10621)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
OTFCC代码问题漏洞
OTFCC是Caryll开源的一个C库和实用程序。用于解析和编写OpenType字体文件。上周,OTFCC被披露存在代码问题漏洞。攻击者可利用该漏洞导致程序拒绝服务。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Google产品被披露存在多个漏洞,攻击者可利用漏洞触发拒绝服务攻击。此外,IBM、Oracle、Siemens等多款产品被披露存在多个漏洞,攻击者可利用漏洞在浏览器中返回详细的技术错误消息时获取敏感信息,在系统上执行任意代码等。另外,OTFCC被披露存在代码问题漏洞。攻击者可利用该漏洞导致程序拒绝服务。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、中国证券报·中证网、中国农业银行、中信银行、浦发银行、微众银行报道
