国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞531个,互联网上出现“TP-Link TL-WR841N跨站脚本漏洞、Online Diagnostic Lab Management System SQL注入漏洞(CNVD-2023-04335)”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
【资料图】
小心有“诈”,反诈秘笈帮你通关!
遇到“熟人”以各种理由让你转账,一定要直接找到当事人了解情况,确定本人操作及真实情况后,再做决定。总之,遇到任何涉及大金额金钱交易的情况,务必直接电联对方,问清情况确认无误。>>详细
“高额回报”多骗局,投资加盟需谨慎
不要过于相信招商广告,加盟需要仔细考察,深入交流,不要被夸大的经营利润迷惑双眼,落入“高收益、无风险”的圈套。>>详细
熟知春节电诈套路 警惕新年网络陷阱
姣姣在此提醒大家,提高安全意识,警惕网络陷阱,防范未然,见招拆招!>>详细
普及|开工返程,这些诈骗陷阱要警惕!
返岗开工切记这“三不”:不轻信陌生人的电话、短信,不点击不明链接,不随意安装来源不明的软件,警惕电信诈骗,保护“钱袋子”。>>详细
反诈预警!春节后谨防诈骗回潮!
被害人防骗意识薄弱是多数电信网络诈骗最终得逞的直接原因,因此提高大家的防范意识及自我保护能力,是防骗避损的核心应对之策。>>详细
【以案说险】金融消费者如何防范非法代理维权
一些不法分子以“代理退保”“代理维权”名义招揽生意,声称可帮助消费者“全额退保”修复征信”“解决债务”“全额免息”,怂恿或诱骗消费者委托其办理退保,免息等事项。>>详细
【消保】了解个人信用报告 保持良好征信记录
个人信用报告是一个人的“经济身份证”,是个人信用历史的客观记录,小到分期购物、信用卡审批、银行贷款申请,大到任职资格审查、企业融资、商务合作都需要用到它。>>详细
【消保小讲堂】谨防虚假游戏交易诈骗
在互联网上交易游戏装备或游戏账号时,一定要使用游戏官方经营或授权的平台进行交易,避免在不规范的平台进行交易,造成财产损失。>>详细
安全威胁播报
上周漏洞基本情况
上周(2023年1月16日-29日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞531个,其中高危漏洞255个、中危漏洞242个、低危漏洞34个。漏洞平均分值为6.55。上周收录的漏洞中,涉及0day漏洞410个(占77%),其中互联网上出现“TP-Link TL-WR841N跨站脚本漏洞、Online Diagnostic Lab Management System SQL注入漏洞(CNVD-2023-04335)”等零日代码攻击漏洞。
上周重要漏洞安全告警
Apache产品安全漏洞
Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache Traffic Server(ATS)是一套可扩展的HTTP代理和缓存服务器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞请求安全资源,执行任意代码等。
CNVD收录的相关漏洞包括:Apache OFBiz代码注入漏洞(CNVD-2023-03919、CNVD-2023-03918)、Apache OFBiz代码问题漏洞(CNVD-2023-03920)、Apache Traffic Server输入验证错误漏洞(CNVD-2023-03923、CNVD-2023-03927、CNVD-2023-03926、CNVD-2023-03925、CNVD-2023-03924)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Google产品安全漏洞
Google TensorFlow是美国谷歌(Google)公司的一套用于机器学习的端到端开源平台。Google Chrome是一款Web浏览器。Google Android是一套以Linux为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制,提升权限,在系统上执行任意代码,导致越界内存读取或崩溃等。
CNVD收录的相关漏洞包括:Google TensorFlow缓冲区溢出漏洞(CNVD-2023-03935、CNVD-2023-03936)、Google Chrome安全绕过漏洞(CNVD-2023-04547)、Google Android权限提升漏洞(CNVD-2023-04551、CNVD-2023-04552、CNVD-2023-04553)、Google Chrome Forms代码执行漏洞、Google Chrome Extensions代码执行漏洞(CNVD-2023-04555)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Mozilla产品安全漏洞
Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞使脚本在无效对象状态下执行导致绕过安全限制,执行任意代码,造成浏览器崩溃等。
CNVD收录的相关漏洞包括:Mozilla Firefox缓冲区溢出漏洞(CNVD-2023-03061、CNVD-2023-03062、CNVD-2023-03064、CNVD-2023-03066)、Mozilla Firefox资源管理错误漏洞(CNVD-2023-03067、CNVD-2023-03063)、Mozilla Firefox代码问题漏洞(CNVD-2023-03065)、Mozilla Firefox访问控制错误漏洞(CNVD-2023-03068)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
SAP产品安全漏洞
SAP Host Agent是德国思爱普(SAP)公司的一套支持操作系统监视、数据库监视和系统实例监视等多项生命周期管理任务的代理程序。SAP BusinessObjects Business Intelligence Platform是一款完备的商务分析平台。该平台集市场领先的 SAP 数据整合产品、数据管理产品和商务智能 (BI) 产品于一身,可消除系统集成难题,快速、轻松地部署高性能的商务分析软件。SAP NetWeaver AS是一款SAP网络应用服务器。它不仅能提供网络服务,且还是SAP软件的基本平台。SAP Bank Account Management是一个银行账户管理系统。SAP BPC MS是一个业务规划与整合应用程序。提供规划、预算、预测和财务合并功能。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行非法SQL命令窃取数据库敏感数据,导致跨站脚本攻击,任意代码执行等。
CNVD收录的相关漏洞包括:SAP Host Agent访问控制错误漏洞、SAP BusinessObjects Business Intelligence Platform跨站脚本漏洞(CNVD-2023-03049)、SAP BusinessObjects Business Intelligence Platform CMC application跨站脚本漏洞、SAP NetWeaver AS访问控制错误漏洞、SAP Bank Account Management信息泄露漏洞、SAP BusinessObjects Analysis(Edition For Olap)代码注入漏洞、SAP BPC MS SQL注入漏洞、SAP NetWeaver Application Server跨站脚本漏洞(CNVD-2023-04301)。其中,“SAP BusinessObjects Business Intelligence Platform CMC application跨站脚本漏洞、SAP NetWeaver AS访问控制错误漏洞、SAP BusinessObjects Analysis(Edition For Olap)代码注入漏洞、SAP BPC MS SQL注入漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
WordPress plugin LetsRecover SQL注入漏洞
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。上周,WordPress plugin LetsRecover被披露存在SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Apache产品被披露存在多个漏洞,攻击者可利用漏洞请求安全资源,执行任意代码等。此外,Google、Mozilla、SAP等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,绕过安全限制,提升权限,在系统上执行任意代码,导致越界内存读取,跨站脚本攻击或崩溃等。另外,WordPress plugin LetsRecover被披露存在SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、交通银行、中国邮政储蓄银行、中信银行、遇见浦发、渤海银行、桂林银行金融服务、江西辖内农商银行、广东农信报道