國家信息安全漏洞共享平臺上周共收集���、整理信息安全漏洞531個��,互聯(lián)網(wǎng)上出現(xiàn)“TP-Link TL-WR841N跨站腳本漏洞�、Online Diagnostic Lab Management System SQL注入漏洞(CNVD-2023-04335)”等零日代碼攻擊漏洞�����,上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網(wǎng)為您梳理過去一周的信息安全行業(yè)要聞并告警重要漏洞����,深入探討信息安全知識。
一周行業(yè)要聞速覽
【資料圖】
小心有“詐”��,反詐秘笈幫你通關(guān)����!
遇到“熟人”以各種理由讓你轉(zhuǎn)賬����,一定要直接找到當(dāng)事人了解情況,確定本人操作及真實情況后�����,再做決定���?��?傊?����,遇到任何涉及大金額金錢交易的情況�,務(wù)必直接電聯(lián)對方����,問清情況確認無誤。>>詳細
“高額回報”多騙局�����,投資加盟需謹慎
不要過于相信招商廣告���,加盟需要仔細考察��,深入交流���,不要被夸大的經(jīng)營利潤迷惑雙眼,落入“高收益�、無風(fēng)險”的圈套。>>詳細
熟知春節(jié)電詐套路 警惕新年網(wǎng)絡(luò)陷阱
姣姣在此提醒大家���,提高安全意識�����,警惕網(wǎng)絡(luò)陷阱��,防范未然����,見招拆招!>>詳細
普及|開工返程����,這些詐騙陷阱要警惕�����!
返崗開工切記這“三不”:不輕信陌生人的電話�����、短信����,不點擊不明鏈接,不隨意安裝來源不明的軟件��,警惕電信詐騙,保護“錢袋子”����。>>詳細
反詐預(yù)警!春節(jié)后謹防詐騙回潮�����!
被害人防騙意識薄弱是多數(shù)電信網(wǎng)絡(luò)詐騙最終得逞的直接原因�����,因此提高大家的防范意識及自我保護能力��,是防騙避損的核心應(yīng)對之策���。>>詳細
【以案說險】金融消費者如何防范非法代理維權(quán)
一些不法分子以“代理退?����!薄按砭S權(quán)”名義招攬生意�����,聲稱可幫助消費者“全額退?!毙迯?fù)征信”“解決債務(wù)”“全額免息”,慫恿或誘騙消費者委托其辦理退保����,免息等事項。>>詳細
【消?���!苛私鈧€人信用報告 保持良好征信記錄
個人信用報告是一個人的“經(jīng)濟身份證”,是個人信用歷史的客觀記錄�,小到分期購物、信用卡審批����、銀行貸款申請,大到任職資格審查�����、企業(yè)融資����、商務(wù)合作都需要用到它����。>>詳細
【消保小講堂】謹防虛假游戲交易詐騙
在互聯(lián)網(wǎng)上交易游戲裝備或游戲賬號時�����,一定要使用游戲官方經(jīng)營或授權(quán)的平臺進行交易�����,避免在不規(guī)范的平臺進行交易����,造成財產(chǎn)損失�。>>詳細
安全威脅播報
上周漏洞基本情況
上周(2023年1月16日-29日)信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺(以下簡稱CNVD)上周共收集�、整理信息安全漏洞531個,其中高危漏洞255個�、中危漏洞242個、低危漏洞34個���。漏洞平均分值為6.55���。上周收錄的漏洞中,涉及0day漏洞410個(占77%)�����,其中互聯(lián)網(wǎng)上出現(xiàn)“TP-Link TL-WR841N跨站腳本漏洞、Online Diagnostic Lab Management System SQL注入漏洞(CNVD-2023-04335)”等零日代碼攻擊漏洞��。
上周重要漏洞安全告警
Apache產(chǎn)品安全漏洞
Apache OFBiz是美國阿帕奇(Apache)基金會的一套企業(yè)資源計劃(ERP)系統(tǒng)����。該系統(tǒng)提供了一整套基于Java的Web應(yīng)用程序組件和工具。Apache Traffic Server(ATS)是一套可擴展的HTTP代理和緩存服務(wù)器���。上周���,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞請求安全資源���,執(zhí)行任意代碼等���。
CNVD收錄的相關(guān)漏洞包括:Apache OFBiz代碼注入漏洞(CNVD-2023-03919、CNVD-2023-03918)����、Apache OFBiz代碼問題漏洞(CNVD-2023-03920)��、Apache Traffic Server輸入驗證錯誤漏洞(CNVD-2023-03923、CNVD-2023-03927����、CNVD-2023-03926、CNVD-2023-03925����、CNVD-2023-03924)。上述漏洞的綜合評級為“高?!薄D壳?���,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。
Google產(chǎn)品安全漏洞
Google TensorFlow是美國谷歌(Google)公司的一套用于機器學(xué)習(xí)的端到端開源平臺����。Google Chrome是一款Web瀏覽器。Google Android是一套以Linux為基礎(chǔ)的開源操作系統(tǒng)����。上周,上述產(chǎn)品被披露存在多個漏洞���,攻擊者可利用漏洞繞過安全限制����,提升權(quán)限,在系統(tǒng)上執(zhí)行任意代碼�,導(dǎo)致越界內(nèi)存讀取或崩潰等。
CNVD收錄的相關(guān)漏洞包括:Google TensorFlow緩沖區(qū)溢出漏洞(CNVD-2023-03935�、CNVD-2023-03936)、Google Chrome安全繞過漏洞(CNVD-2023-04547)���、Google Android權(quán)限提升漏洞(CNVD-2023-04551�����、CNVD-2023-04552���、CNVD-2023-04553)、Google Chrome Forms代碼執(zhí)行漏洞�����、Google Chrome Extensions代碼執(zhí)行漏洞(CNVD-2023-04555)�。上述漏洞的綜合評級為“高危”����。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序��。
Mozilla產(chǎn)品安全漏洞
Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器��。上周�,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞使腳本在無效對象狀態(tài)下執(zhí)行導(dǎo)致繞過安全限制��,執(zhí)行任意代碼��,造成瀏覽器崩潰等����。
CNVD收錄的相關(guān)漏洞包括:Mozilla Firefox緩沖區(qū)溢出漏洞(CNVD-2023-03061、CNVD-2023-03062��、CNVD-2023-03064�����、CNVD-2023-03066)�����、Mozilla Firefox資源管理錯誤漏洞(CNVD-2023-03067��、CNVD-2023-03063)、Mozilla Firefox代碼問題漏洞(CNVD-2023-03065)�����、Mozilla Firefox訪問控制錯誤漏洞(CNVD-2023-03068)����。上述漏洞的綜合評級為“高危”����。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序����。
SAP產(chǎn)品安全漏洞
SAP Host Agent是德國思愛普(SAP)公司的一套支持操作系統(tǒng)監(jiān)視、數(shù)據(jù)庫監(jiān)視和系統(tǒng)實例監(jiān)視等多項生命周期管理任務(wù)的代理程序�。SAP BusinessObjects Business Intelligence Platform是一款完備的商務(wù)分析平臺。該平臺集市場領(lǐng)先的 SAP 數(shù)據(jù)整合產(chǎn)品�、數(shù)據(jù)管理產(chǎn)品和商務(wù)智能 (BI) 產(chǎn)品于一身,可消除系統(tǒng)集成難題�,快速、輕松地部署高性能的商務(wù)分析軟件���。SAP NetWeaver AS是一款SAP網(wǎng)絡(luò)應(yīng)用服務(wù)器����。它不僅能提供網(wǎng)絡(luò)服務(wù),且還是SAP軟件的基本平臺����。SAP Bank Account Management是一個銀行賬戶管理系統(tǒng)����。SAP BPC MS是一個業(yè)務(wù)規(guī)劃與整合應(yīng)用程序。提供規(guī)劃���、預(yù)算����、預(yù)測和財務(wù)合并功能���。上周��,上述產(chǎn)品被披露存在多個漏洞��,攻擊者可利用漏洞獲取敏感信息�,執(zhí)行非法SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù)��,導(dǎo)致跨站腳本攻擊,任意代碼執(zhí)行等�。
CNVD收錄的相關(guān)漏洞包括:SAP Host Agent訪問控制錯誤漏洞、SAP BusinessObjects Business Intelligence Platform跨站腳本漏洞(CNVD-2023-03049)�、SAP BusinessObjects Business Intelligence Platform CMC application跨站腳本漏洞、SAP NetWeaver AS訪問控制錯誤漏洞��、SAP Bank Account Management信息泄露漏洞�、SAP BusinessObjects Analysis(Edition For Olap)代碼注入漏洞、SAP BPC MS SQL注入漏洞�����、SAP NetWeaver Application Server跨站腳本漏洞(CNVD-2023-04301)����。其中,“SAP BusinessObjects Business Intelligence Platform CMC application跨站腳本漏洞����、SAP NetWeaver AS訪問控制錯誤漏洞、SAP BusinessObjects Analysis(Edition For Olap)代碼注入漏洞���、SAP BPC MS SQL注入漏洞”的綜合評級為“高?�!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序���。
WordPress plugin LetsRecover SQL注入漏洞
WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品�。WordPress是一套使用PHP語言開發(fā)的博客平臺����。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站����。WordPress plugin是一個應(yīng)用插件。上周�����,WordPress plugin LetsRecover被披露存在SQL注入漏洞���。攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息����。目前���,廠商尚未發(fā)布上述漏洞的修補程序�����。
小結(jié)
上周�����,Apache產(chǎn)品被披露存在多個漏洞���,攻擊者可利用漏洞請求安全資源�,執(zhí)行任意代碼等���。此外�����,Google���、Mozilla、SAP等多款產(chǎn)品被披露存在多個漏洞���,攻擊者可利用漏洞獲取敏感信息��,繞過安全限制���,提升權(quán)限�����,在系統(tǒng)上執(zhí)行任意代碼����,導(dǎo)致越界內(nèi)存讀取���,跨站腳本攻擊或崩潰等���。另外�����,WordPress plugin LetsRecover被披露存在SQL注入漏洞��。攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息����。建議相關(guān)用戶隨時關(guān)注上述廠商主頁,及時獲取修復(fù)補丁或解決方案。
中國電子銀行網(wǎng)綜合CNVD�����、交通銀行�、中國郵政儲蓄銀行、中信銀行�����、遇見浦發(fā)�����、渤海銀行�����、桂林銀行金融服務(wù)�、江西轄內(nèi)農(nóng)商銀行、廣東農(nóng)信報道
關(guān)鍵詞:
信息安全
修補程序
營業(yè)執(zhí)照公示信息