國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞345個,互聯(lián)網(wǎng)上出現(xiàn)“PbootCMS SQL注入漏洞(CNVD-2023-11247)��、SEMCMS Ant_Pro.php SQL注入漏洞”等零日代碼攻擊漏洞�,上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網(wǎng)為您梳理過去一周的信息安全行業(yè)要聞并告警重要漏洞���,深入探討信息安全知識�����。
一周行業(yè)要聞速覽
(相關(guān)資料圖)
【消?���!科叽蠓丛p利器 守護您的錢袋子
96110預(yù)警勸阻專線是反詐專用號碼,具有預(yù)警勸阻���、防騙咨詢和涉詐舉報功能�����。如果接到96110來電���,一定要及時接聽并耐心聽取民警的勸阻提示,避免掉入電信詐騙陷阱��。>>詳細(xì)
銀行卡外借��?小心觸犯“幫信罪”��!
近年來�,“幫信罪”案件數(shù)量激增�,已成為各類刑事犯罪中起訴人數(shù)排名第三的罪名�。涉案人即使沒有被刑事追責(zé),也有可能被追究行政責(zé)任�。>>詳細(xì)
工信部:促進網(wǎng)絡(luò)安全保險規(guī)范健康發(fā)展
網(wǎng)絡(luò)安全保險工作組發(fā)起《網(wǎng)絡(luò)安全保險行業(yè)協(xié)同發(fā)展倡議書》,與會工作組成員單位代表紛紛在倡議書上簽字���。>>詳細(xì)
小心有詐���,“轉(zhuǎn)貸降息”風(fēng)險重重!
要合理評估個人或家庭實際情況�����,若有提前還貸或者其他金融業(yè)務(wù)需求�,應(yīng)向銀行等正規(guī)金融機構(gòu)進行咨詢了解相關(guān)情況。要了解金融常識��,保護自身合法權(quán)益���。>>詳細(xì)
《2023上海人工智能安全倫理倡議書》簽署 倡導(dǎo)人工智能開發(fā)者向光而行
《倡議書》以《上海市促進人工智能產(chǎn)業(yè)發(fā)展條例》為指導(dǎo)����,倡導(dǎo)人工智能開發(fā)者向光而行�,確保人工智能行業(yè)朝著公平公正、內(nèi)容安全����、隱私保護、互聯(lián)互通�、共建共享共治方向不斷前進,向上發(fā)展���。>>詳細(xì)
浦發(fā)銀行青島分行多措并舉守護金融安全
浦發(fā)銀行青島分行圍繞普及金融知識�����、防范電信網(wǎng)絡(luò)詐騙��,立足銀行網(wǎng)點��,走進社區(qū)����、學(xué)校���、老年公寓等�����,多形式�、多維度、多層次進行宣教�����,立足各環(huán)節(jié)�,全鏈條、全方位���、全過程防范電信網(wǎng)絡(luò)詐騙�����,守護客戶的“錢袋子”����。>>詳細(xì)
反洗錢宣傳|警惕虛擬貨幣洗錢�,增強風(fēng)險意識
應(yīng)增強風(fēng)險意識,樹立正確的投資理念�����,不貪圖便宜亦不要輕信高利誘惑,拒絕參與虛擬貨幣交易炒作活動�,拒絕盲目跟風(fēng)虛擬貨幣相關(guān)投機行為,謹(jǐn)防個人財產(chǎn)及權(quán)益受損��。>>詳細(xì)
電子銀行安全評估:銀行信息安全工作必選項
電子銀行安全評估一般從電子銀行系統(tǒng)入手�,分別針對安全管理�、技術(shù)安全、業(yè)務(wù)安全三個層面進行剖析����。>>詳細(xì)
安全威脅播報
上周漏洞基本情況
上周(2023年2月20日-26日)信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺(以下簡稱CNVD)上周共收集����、整理信息安全漏洞345個,其中高危漏洞202個��、中危漏洞120個���、低危漏洞23個��。漏洞平均分值為6.64���。上周收錄的漏洞中,涉及0day漏洞293個(占85%),其中互聯(lián)網(wǎng)上出現(xiàn)“PbootCMS SQL注入漏洞(CNVD-2023-11247)�、SEMCMS Ant_Pro.php SQL注入漏洞”等零日代碼攻擊漏洞。
上周重要漏洞安全告警
Google產(chǎn)品安全漏洞
Google TensorFlow是美國谷歌(Google)公司的一套用于機器學(xué)習(xí)的端到端開源平臺�����。上周��,上述產(chǎn)品被披露存在多個漏洞����,攻擊者可利用漏洞觸發(fā)拒絕服務(wù)攻擊。
CNVD收錄的相關(guān)漏洞包括:Google TensorFlow拒絕服務(wù)漏洞(CNVD-2023-10600�、CNVD-2023-10601)、Google TensorFlow CollectiveGather拒絕服務(wù)漏洞��、Google TensorFlow輸入驗證錯誤漏洞(CNVD-2023-10603)�����、Google TensorFlow AvgPoolOp拒絕服務(wù)漏洞�����、Google TensorFlow EmptyTensorList拒絕服務(wù)漏洞�、Google TensorFlow DrawBoundingBoxes拒絕服務(wù)漏洞��、Google TensorFlow Conv2D拒絕服務(wù)漏洞�����。上述漏洞的綜合評級為“高?�!?���。目前����,廠商已經(jīng)發(fā)布了上述漏洞的修補程序�。
IBM產(chǎn)品安全漏洞
IBM Maximo Asset Management是美國國際商業(yè)機器(IBM)公司的一套綜合性資產(chǎn)生命周期和維護管理解決方案。該方案能夠在一個平臺上管理所有類型的資產(chǎn)�,如設(shè)施、交通運輸?shù)?���,并對這些資產(chǎn)實現(xiàn)單點控制。IBM Aspera是美國國際商業(yè)機器(IBM)公司的一套基于IBM FASP協(xié)議構(gòu)建的快速文件傳輸和流解決方案�。IBM InfoSphere Information Server是企業(yè)級信息集成平臺。它能夠幫助客戶理解異構(gòu)系統(tǒng)中的各種復(fù)雜信息��,并且通過清洗和轉(zhuǎn)換生成一致、完整的可信賴信息�,最后將可信賴信息以各種方式交付給各種業(yè)務(wù)系統(tǒng)。IBM Sterling B2B Integrator是美國國際商業(yè)機器(IBM)公司的一套集成了重要的B2B流程�、交易和關(guān)系的軟件。該軟件支持與不同的合作伙伴社區(qū)之間實現(xiàn)復(fù)雜的B2B流程的安全集成����。IBM QRadar SIEM是美國國際商業(yè)機器(IBM)公司的一套利用安全智能保護資產(chǎn)和信息遠離高級威脅的解決方案。該方案提供對整個IT架構(gòu)范圍進行監(jiān)督�、生成詳細(xì)的數(shù)據(jù)訪問和用戶活動報告等功能。IBM WebSphere Application Server(WAS)是美國國際商業(yè)機器(IBM)公司的一款應(yīng)用服務(wù)器產(chǎn)品��。該產(chǎn)品是JavaEE和Web服務(wù)應(yīng)用程序的平臺�,也是IBMWebSphere軟件平臺的基礎(chǔ)。上周���,上述產(chǎn)品被披露存在多個漏洞����,攻擊者可利用漏洞在瀏覽器中返回詳細(xì)的技術(shù)錯誤消息時獲取敏感信息���,在系統(tǒng)上執(zhí)行任意代碼等���。
CNVD收錄的相關(guān)漏洞包括:IBM Maximo Asset Management信息泄露漏洞(CNVD-2023-11691)��、IBM Aspera Faspex反序列化漏洞����、IBM InfoSphere Information Server跨站腳本漏洞(CNVD-2023-11689)����、IBM Aspera Faspex跨站腳本漏洞、IBM Sterling B2B Integrator跨站腳本漏洞(CNVD-2023-11694)��、IBM QRadar SIEM信息泄露漏洞(CNVD-2023-11693)�、IBM Sterling B2B Integrator身份驗證錯誤漏洞、IBM WebSphere Application Server加密問題漏洞��。其中��,“IBM Aspera Faspex反序列化漏洞”漏洞的綜合評級為“高?��!薄D壳?���,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。
Oracle產(chǎn)品安全漏洞
Oracle PeopleSoft Enterprise PeopleTools是美國甲骨文(Oracle)公司的用于為 PeopleSoft 應(yīng)用程序提供與用戶的需求和期望保持同步的技術(shù)�。Oracle Supply Chain Products Suite是美國甲骨文(Oracle)公司的一套供應(yīng)鏈解決方案����。該產(chǎn)品提供價值鏈計劃���、價值鏈執(zhí)行���、產(chǎn)品生命周期管理等功能。Oracle PeopleSoft Enterprise PeopleTools是美國甲骨文(Oracle)公司的用于為PeopleSoft應(yīng)用程序提供與用戶的需求和期望保持同步的技術(shù)�����。Oracle E-Business Suite(電子商務(wù)套件)是美國甲骨文(Oracle)公司的一套全面集成式的全球業(yè)務(wù)管理軟件�����。該軟件提供了客戶關(guān)系管理�、服務(wù)管理、財務(wù)管理等功能��。Oracle VM VirtualBox是美國甲骨文(Oracle)公司的一款虛擬機管理軟件���。Oracle Enterprise Manager Base Platform是美國甲骨文(Oracle)公司的一套本地管理平臺����。該平臺主要用于管理Oracle產(chǎn)品部署。上周��,上述產(chǎn)品被披露存在多個漏洞����,攻擊者可利用漏洞繞過安全限制,在系統(tǒng)上執(zhí)行任意代碼或?qū)е戮芙^服務(wù)等��。
CNVD收錄的相關(guān)漏洞包括Oracle PeopleSoft Enterprise PeopleTools信息泄露漏洞(CNVD-2023-11165����、CNVD-2023-12017)、Oracle Supply Chain信息泄露漏洞(CNVD-2023-11168)�、Oracle PeopleSoft Enterprise PeopleTools跨站腳本漏洞、Oracle Trade Management信息泄露漏洞(CNVD-2023-11172)�、Oracle VM VirtualBox輸入驗證錯誤漏洞(CNVD-2023-11171)、Oracle Enterprise Manager Base Platform輸入驗證錯誤漏洞����、Oracle VM VirtualBox拒絕服務(wù)漏洞(CNVD-2023-11169)�。其中,“Oracle Enterprise Manager Base Platform輸入驗證錯誤漏洞”漏洞的綜合評級為“高?���!?。目前���,廠商已經(jīng)發(fā)布了上述漏洞的修補程序����。
Siemens產(chǎn)品安全漏洞
Siemens Tecnomatix Plant Simulation是面向?qū)ο蟮?、圖形化的、集成的建模���、仿真工具����。上周����,上述產(chǎn)品被披露存在越界寫入漏洞,攻擊者可利用漏洞在當(dāng)前進程的上下文中執(zhí)行代碼�����。
CNVD收錄的相關(guān)漏洞包括:Siemens Tecnomatix Plant Simulation越界寫入漏洞(CNVD-2023-10614�、CNVD-2023-10616、CNVD-2023-10615���、CNVD-2023-10618����、CNVD-2023-10617、CNVD-2023-10620����、CNVD-2023-10619、CNVD-2023-10621)�����。上述漏洞的綜合評級為“高?����!?��。目前�,廠商已經(jīng)發(fā)布了上述漏洞的修補程序����。
OTFCC代碼問題漏洞
OTFCC是Caryll開源的一個C庫和實用程序�。用于解析和編寫OpenType字體文件��。上周�����,OTFCC被披露存在代碼問題漏洞�����。攻擊者可利用該漏洞導(dǎo)致程序拒絕服務(wù)����。目前����,廠商尚未發(fā)布上述漏洞的修補程序。
小結(jié)
上周�����,Google產(chǎn)品被披露存在多個漏洞����,攻擊者可利用漏洞觸發(fā)拒絕服務(wù)攻擊。此外,IBM���、Oracle�����、Siemens等多款產(chǎn)品被披露存在多個漏洞���,攻擊者可利用漏洞在瀏覽器中返回詳細(xì)的技術(shù)錯誤消息時獲取敏感信息,在系統(tǒng)上執(zhí)行任意代碼等�。另外,OTFCC被披露存在代碼問題漏洞�����。攻擊者可利用該漏洞導(dǎo)致程序拒絕服務(wù)���。建議相關(guān)用戶隨時關(guān)注上述廠商主頁���,及時獲取修復(fù)補丁或解決方案。
中國電子銀行網(wǎng)綜合CNVD����、中國證券報·中證網(wǎng)��、中國農(nóng)業(yè)銀行�����、中信銀行、浦發(fā)銀行�、微眾銀行報道
關(guān)鍵詞:
拒絕服務(wù)
信息安全
人工智能
營業(yè)執(zhí)照公示信息