支付业变局：5月1日起全面关闭金融IC卡降级交易

采宝2017.03.15 14:33:00来源：本站转载

国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞229个，互联网上出现“NetgearDGN2201 dnslookup.cgi远程命令执行漏洞、WordPress Kama插件Click CounterSQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，并特约中国金融认证中心（CFCA）信息安全专家对漏洞风险作出点评和建议。

一周信息安全要闻速览

巨变：传统手刷或遭淘汰非接功能手刷将被热捧！

“降级交易”始终属于过度，央妈觉得过渡期已经够长的了，于是2016年6月13日，央行下发特急文件《中国人民银行关于进一步加强银行卡风险管理的通知》，通知中规定：自2017年5月1日起，全面关闭芯片磁条复合卡的磁条交易。各商业银行应采取换卡不换号、实时发卡等措施加快存量磁条卡更换为金融IC卡的进度。>>详细

央行发文规范聚合支付这四方面是核心

严格规范聚合支付服务商业务合作，收单机构和聚合支付服务商等外包服务机构开展业务合作的，应当严格执行《中国人民银行关于加强银行卡收单业务外包管理的通知》（银发〔2015〕199号）相关规定。收单机构应当对聚合支付服务商进行全面尽职调查并审慎选择合作机构，通过协议禁止并采取有效措施防止业务转让或转包。>>详细

银联二维码互联互通银行支付格局或将大变

从消费者角度看，应用服务方是银联二维码支付安全上至关重要的一环。应用服务方在开展二维码业务前，需要通过银联指定机构认证，并且完成业务开通测试。在绑卡环节中，通过特定的持卡人身份验证方式完成实名认证，也必须确保实名认证用户和绑定银联卡持卡人的一致性。>>详细

Trustwave：中国制GSM语音网关存在Root权限后门

负责向用户发送challenge的代码就位于设备ROM中的“sbin/login”下，通过对这些代码的逆向分析，安全人员发现只要有challenge的值，黑客就可以计算出对应的MD5哈希值，做出response，完成登录。而challenge完全可以通过一些自动脚本获取。一旦完成以上步骤，黑客就会拥有对设备的完全控制，可以监听流量，或利用其发起DDoS一类的攻击。>>详细

金融行业应用区块链技术面临的安全威胁与防范

区块链是一个公开的链式账本，其中存储的数据向网络中所有用户公开。而在金融业务场景中，业务规则和监管机构要求保护相关数据的隐私性、完整性等。在存储、传输相应数据时，应该使用哈希函数、同态加密、数字签名等技术保护数据。>>详细

SHA-1碰撞攻击将会对我们产生怎样的现实影响？

证据表明，攻击者必须在拥有原始文件和已知哈希的情况下才能完成碰撞攻击，另外，由于攻击利用了定向编辑，不是每次编辑都会有效。换句话说，即使是破解了SSH或TLS的认证证书，也都不可能实现，需要对原始文件进行一些非常细微的定向更改才能保证碰撞攻击成功。>>详细

安全漏洞周报

上周漏洞基本情况

上周信息安全漏洞威胁整体评价级别为中。

上周共收集、整理信息安全漏洞229个，其中高危漏洞115个、中危漏洞101个、低危漏洞13个。漏洞平均分值为6.28。本周收录的漏洞中，涉及0day漏洞73个（占32%）。其中互联网上出现“NetgearDGN2201 dnslookup.cgi远程命令执行漏洞、WordPress Kama插件Click CounterSQL注入漏洞”等零日代码攻击漏洞，请使用相关产品的用户注意加强防范。

上周重要漏洞安全告警

1、Google产品安全漏洞

Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。Mediaserver是其中的一个多媒体服务组件。Google Chrome是一款流行的Web 浏览器。上周，上述产品被披露存在拒绝服务、跨站脚本和堆溢出代码执行漏洞，攻击者可利用漏洞发起拒绝服务攻击或执行任意代码。

相关漏洞包括：Google AndroidMediaserver拒绝服务漏洞（ CNVD-2017-02255 ）、Google Chrome Blink通用跨站脚本漏洞、Google ChromeBlink通用跨站脚本漏洞（CNVD-2017-02108、CNVD-2017-02109、CNVD-2017-02111）、Google ChromeFFmpeg堆溢出代码执行漏洞、Google Chrome FFmpeg堆溢出代码执行漏洞（CNVD-2017-02110）、Google ChromeSkia 堆溢出代码执行漏洞。其中，“Google Android Mediaserver拒绝服务漏洞（CNVD-2017-02255）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。再此，提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

2、IBM存在产品安全漏洞

IBM Maximo AssetManagement是美国IBM公司的一款资产管理生命周期和工作流过程管理系统。IBM Development Packagefor Apache Spark是一款软件开发包。IBM iNotes是美国一套基于Web的电子邮件软件。IBMIntegration Bus是一款企业服务总线（ESB）产品。IBM WebSphereMessage Broker是一款企业服务总线产品。IBM Rational DOORS Next Generation是一款需求管理解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞泄露敏感信息、进行跨站脚本攻击或发起拒绝服务攻击等。

相关漏洞包括：IBMDevelopment Package for Apache Spark拒绝服务漏洞、IBM iNotes跨站脚本漏洞（CNVD-2017-02343）、IBMIntegration Bus和WebSphere Message Broker XML外部实体注入漏洞、IBM RationalDOORS Next Generation信息泄露漏洞、IBM Rational Rhapsody Design Manager XML外部实体注入漏洞、IBM WebSphereMessage Broker点击劫持漏洞、多款IBM产品本地信息泄露漏洞、多款IBM产品跨站脚本漏洞（CNVD-2017-02280）。其中，“IBMIntegration Bus和WebSphere Message Broker XML外部实体注入漏洞、IBM RationalRhapsody Design Manager XML外部实体注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。再此，提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

3、Joomla产品安全漏洞

Joomla是一款开放源码的内容管理系统(CMS)。上周，该产品被披露存在SQL注入漏洞，攻击者可利用漏洞访问或修改数据库数据。

相关漏洞包括：Joomlacom_civicrm组件"id"参数SQL注入漏洞、Joomlacom_comprofiler组件SQL注入漏洞、Joomla com_fsf组件"catid"参数SQL注入漏洞、Joomlacom_glossary组件"id"参数SQL注入漏洞、Joomlacom_jajobboard组件SQL注入漏洞、Joomla com_jumi组件SQL注入漏洞、Joomla com_k2组件"id"参数SQL注入漏洞、Joomlacom_sgpprojects组件SQL注入漏洞。上述漏洞的综合评级为“高危”。目前，厂商尚未发布该漏洞的修补程序。再此，提醒广大用户随时关注厂商主页，以获取最新版本。

4、tcpdump产品安全漏洞

tcpdump是Tcpdump团队开发的一套运行在命令行下的嗅探工具。上周，该产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞执行任意代码。

相关漏洞包括：tcpdump缓冲区溢出漏洞（CNVD-2017-02235、CNVD-2017-02236、CNVD-2017-02237、CNVD-2017-02238、CNVD-2017-02239、CNVD-2017-02240、CNVD-2017-02241、CNVD-2017-02242）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。再此，提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

5、WordPress Kama插件Click Counter SQL注入漏洞

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。上周，WordPress被披露存在SQL注入漏洞，攻击者可利用该漏洞访问或修改数据，泄露敏感信息。目前，厂商尚未发布该漏洞的修补程序。再此，提醒广大用户随时关注厂商主页，以获取最新版本。

专家点评和建议

中国电子银行网特约中国金融认证中心（CFCA）信息安全专家，对漏洞风险作出如下小结：上周，Google被披露存在拒绝服务、跨站脚本和堆溢出代码执行漏洞，攻击者可利用漏洞发起拒绝服务攻击或执行任意代码。此外，IBM、Joomla、tcpdump等多款产品被披露存在多个漏洞，攻击者利用漏洞可泄露敏感信息、进行跨站脚本攻击、执行任意代码或发起拒绝服务攻击等。另外，WordPress被披露存在SQL注入漏洞，攻击者可利用该漏洞访问或修改数据，泄露敏感信息。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。