首页 > 安全钻研 > 安全传递 > 安全简讯

2020版《网上银行系统信息安全通用规范》；Apache Tomcat文件蕴含缝隙（CVE-2020-1938）

颁布功夫 2020-02-21

1.中国人民银行颁布2020版《网上银行系统信息安全通用规范》

GA黄金甲·(中国区)官方网站

中国人民银行下发《关于<网上银行系统信息安全通用规范>行业尺度的通知》（银发[2020]35号），颁布新版《网上银行系统信息安全通用规范》(JR/T 0068-2020)，该版本是2012版规范(JR/T 0068-2012)的代替订正版本。新版规范有三个沉点订正内容：1、针对新技术出现和利用提出了新的安全要求（例如增长了虚构化、云推算安全有关要求，增长国密SM系列算法有关的安全要求，增长对安全单元和移动终端支付可信环境有关要求）；2、就新的业务和监管要求进行了补充和明确（例如增长了条码支付、买卖安全锁和Ⅱ、Ⅲ类账户的有关要求）；3、沉新梳理并提升关于业务陆续性与苦难复原、安全事务与应急响应的安全要求。

原文链接：

https://www.cebnet.com.cn/20200219/102639904.html

2.思科智能软件治理器特权账户和静态密码，建议马上建复

GA黄金甲·(中国区)官方网站

思科建复其智能软件治理器（SSM）中的特权账户静态密码缝隙，该缝隙（CVE-2020-3158）的CVSS评分为9.8分，它可能允许远程攻击者使用特权较高的帐户接见系统的敏感部门。思科暗示，“该缝隙是由于某系统账户拥有默认和静态密码且并不受系统治理员节造而造成的。”SSM On-Prem系统只有在启用了高可用性（HA）职能时才易受攻击，但该职能默认未启用。思科忠告称，攻击者不必要有效的登录就能够提议攻击，并且能够使用高特权默认帐户来衔接易受攻击的系统，获得对系统数据的读写接见权限，并更改其设置。

原文链接：

https://www.zdnet.com/article/cisco-critical-bug-static-password-in-smart-software-manager-patch-now-says-cisco/

3.Adobe颁布垂危安全更新，建复两个代码执行缝隙

GA黄金甲·(中国区)官方网站

Adobe颁布垂危安全更新，建复其产品中的两个代码执行缝隙。第一个缝隙（CVE-2020-3764）是可导致肆意代码执行的越界写缝隙，该缝隙影响了Windows平台上的Adobe Media Encoder 14.0及更早版本。第二个缝隙（CVE-2020-3765）也是由越界写导致的代码执行缝隙，但攻击只能在当前用户的高低文中进行，该缝隙影响了Windows平台上的Adobe After Effects版本16.1.2及更早版本。

原文链接：

https://www.zdnet.com/article/adobe-releases-out-of-schedule-fixes-for-critical-vulnerabilities/

4.Apache Tomcat文件蕴含缝隙（CVE-2020-1938）

GA黄金甲·(中国区)官方网站

Apache Tomcat服务器存在文件蕴含缝隙（CVE-2020-1938），攻击者可利用该缝隙读取或蕴含Tomcat上所有webapp目录下的肆意文件，如：webapp配置文件或源代码等。该缝隙与Tomcat AJP和谈有关，Tomcat AJP Connector默认配置下即为开启状态，并且监听端口8009。该缝隙影响了Tomcat 6/7/8/9全版本，Apache官方已颁布9.0.31、8.5.51及7.0.100版本针对此缝隙进行建复，建议用户下载使用。由于Tomcat 6已经终场守护，建议用户升级到最新受支持的Tomcat版本以免遭逢攻击。

原文链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487

5.美国参议员提出新数据�；しò�，建议成立数据�；ぞ�

GA黄金甲·(中国区)官方网站

美国纽约州参议员吉尔斯布兰德（Kirsten Gillibrand）上周颁布了一项立法草案，该法案将成立一个独立的联国机构，即数据�；ぞ�，旨在界说、仲裁和执行数据�；す娑�。这位参议员以为，《联国业务委员会法》并未解决数据�；し矫娴奶粽�，而美国在应对数据�；ぬ粽胶褪质逼诘暮芏嗥渌粽椒矫媛浜�，美国也没有一个专门的机构来执行数据隐衷规定。若是该法案获得通过，将合用于任何收入超过2500万美元，或治理5万或更多人的幼我数据的公司。

原文链接：

https://cyware.com/news/us-senator-proposes-new-data-protection-bill-37232e0b

6.哥伦比亚Community Care遭勒索攻击，患者数据可能泄露

GA黄金甲·(中国区)官方网站

哥伦比亚首都地域最大的独立医疗机构Community Care患者数据可能泄露，该事务是由其管帐师事务所BST遭到勒索软件攻击导致的。BST于2019年12月7日发现蕴含客户管帐和税收数据在内的部门网络习染了勒索病毒，但该公司可能使用备份还原文件。在之后的调查中，该公司于2月5日确认部门患者的信息可能泄露，这些信息蕴含姓名、生日、条款号码和帐单代码，但不蕴含银行帐号、社会安全号码和病历信息。BST或Community Care都没有泄漏受影响的患者人数。

原文链接：

https://dailygazette.com/article/2020/02/19/data-breach-community-Care-physicians

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

2020版《网上银行系统信息安全通用规范》；Apache Tomcat文件蕴含缝隙（CVE-2020-1938）

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

2020版《网上银行系统信息安全通用规范》；Apache Tomcat文件蕴含缝隙（CVE-2020-1938）

7*24幼时服务热线

2020版《网上银行系统信息安全通用规范》；Apache Tomcat文件蕴含缝隙（CVE-2020-1938）