登录  免费注册
当前位置:首页 > 周报 > 正文

2018年CNVD漏洞周报第20期(2018年05月14日-2018年05月20日)

2018-05-21 14:26:32

本周漏洞态势研判情况

 

本周信息安全漏洞威胁整体评价级别为

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞353个,其中高危漏洞149个、中危漏洞189个、低危漏洞15个。漏洞平均分值为6.37。本周收录的漏洞中,涉及0day漏洞83个(占24%),其中互联网上出现“Nagios XI admin/commandline.phpSQL注入漏洞、Foscam C1 Indoor HD Camera固件恢复未签名图像漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数540个,与上周(614个)环比下降12%。

图1 CNVD收录漏洞近10周平均分值

 

本周漏洞事件处置情况

 

本周,CNVD向基础电信企业通报漏洞事件7起,向银行、证券、保险、能源等重要行业单位通报漏洞事件30起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件311起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件49起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件13起。

此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:

思科系统(中国)网络技术有限公司、四平市九州易通科技有限公司、广州国微软件科技有限公司、上海欢尚电子商务有限公司、常州新才网络科技有限公司、中国出版集团公司、广州星梦动漫设计有限公司、广州联享信息科技有限公司、山西龙采科技有限公司、上海卓卓网络科技有限公司、厦门科汛软件有限公司、华硕电脑(上海)有限公司、中国外运物流发展有限公司、大连理工计算机控制工程有限公司、南昌蓝智科技有限公司、用友网络科技股份有限公司、天合光能集团、郑州八度计算机科技有限公司、尼康映像仪器销售(中国)有限公司、3S-Smart Software Solutions GmbH、UQCMS、中国环境报理事会、中华全国工商业联合会、中国教育新闻网。

 

本周漏洞报送情况统计

 

本周报送情况如表1所示。其中,蓝盾信息安全技术有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、哈尔滨安天科技股份有限公司、北京神州绿盟科技有限公司等单位报送公开收集的漏洞数量较多。四川虹微技术有限公司(子午攻防实验室)、中新网络信息安全股份有限公司、山石网科通信技术有限公司、上海银基信息安全技术股份有限公司、南京联成科技发展股份有限公司、济南三泽信息安全测评有限公司、北京明朝万达科技股份有限公司(安元实验室)、安徽锋刃信息科技有限公司、福建省海峡信息技术有限公司及其他个人白帽子向CNVD提交了540个以事件型漏洞为主的原创漏洞,其中包括360网神(补天平台)和漏洞盒子向CNVD共享的白帽子报送的359条原创漏洞信息。

表1 漏洞报送情况统计表

报送单位或个人

漏洞报送数量

原创漏洞数量

蓝盾信息安全技术有限公司

406

0

北京天融信网络安全技术有限公司

363

3

华为技术有限公司

234

0

360网神(补天平台)

286

286

哈尔滨安天科技股份有限公司

203

0

北京神州绿盟科技有限公司

147

0

中国电信集团系统集成有限责任公司

144

0

北京数字观星科技有限公司

97

0

新华三技术有限公司

95

0

漏洞盒子

73

73

恒安嘉新(北京)科技股份公司

19

0

厦门服云信息科技有限公司

32

0

北京无声信息技术有限公司

15

0

深圳市腾讯计算机系统有限公司(玄武实验室)

10

10

四川虹微技术有限公司(子午攻防实验室)

12

12

中新网络信息安全股份有限公司

7

7

山石网科通信技术有限公司

6

6

上海银基信息安全技术股份有限公司

3

3

南京联成科技发展股份有限公司

3

3

济南三泽信息安全测评有限公司

3

3

北京明朝万达科技股份有限公司(安元实验室)

2

2

安徽锋刃信息科技有限公司

2

2

福建省海峡信息技术有限公司

1

1

CNCERT吉林分中心

6

6

CNCERT上海分中心

3

3

CNCERT贵州分中心

2

2

CNCERT河北分中心

1

1

CNCERT浙江分中心

1

1

个人

116

116

报送总计

2292

540

 

本周漏洞按类型和厂商统计

 

本周,CNVD收录了353个漏洞。其中应用程序漏洞183个,WEB应用漏洞60个,操作系统漏洞54个,网络设备漏洞41个,安全产品漏洞15个。

表2 漏洞按影响类型统计表

漏洞影响对象类型

漏洞数量

应用程序漏洞

183

WEB应用漏洞

60

操作系统漏洞

54

网络设备漏洞

41

安全产品漏洞

15

 

图2 本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及Google、Apple、Cisco等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

序号

厂商(产品)

漏洞数量

所占比例

1

Google

31

9%

2

Apple

18

5%

3

Cisco

17

5%

4

Microsoft

15

4%

5

2345安全卫士

8

2%

6

F5

8

2%

7

Nagios

8

2%

8

Pivotal Software

7

2%

9

Exiv2

6

2%

10

其他

235

67%

 

本周行业漏洞收录情况

 

本周,CNVD收录了24个电信行业漏洞,50个移动互联网行业漏洞,5个工控行业漏洞(如下图所示)。其中,“Moxa EDR-810拒绝服务漏洞、BuffaloWZR-1750DHP2任意代码执行漏洞、MyScript SDK for Android反序列化代码执行漏洞、SiemensSIMATIC S7-400拒绝服漏洞、多款ASUS产品任意代码执行漏洞”的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接:http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接:http://mi.cnvd.org.cn/

工控系统行业漏洞链接:http://ics.cnvd.org.cn/

 

图3 电信行业漏洞统计

 

图4 移动互联网行业漏洞统计

 

图5 工控行业漏洞统计

 

本周重要漏洞安全告警


本周,CNVD整理和发布以下重要安全漏洞信息。

1、Google产品安全漏洞

Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在权限提升、拒绝服务和缓冲区溢出漏洞,攻击者可利用漏洞提升权限、执行任意代码或造成拒绝服务。

CNVD收录的相关漏洞包括:Google Androidmnh驱动程序提权漏洞、Google Android pci sysfs权限提升漏洞、Google AndroidSystem(system ui)拒绝服务漏洞、Google Android缓冲区溢出漏洞(CNVD-2018-09703、CNVD-2018-09752、CNVD-2018-09755、CNVD-2018-09778)、Google Android缓冲区越边界读取漏洞,上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09571

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09572

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09465

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09703

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09752

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09755

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09778

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09705

2、Microsoft产品安全漏洞

Microsoft Windows 7和MicrosoftWindows Server 2012都是美国微软(Microsoft)公司发布的一系列操作系统。InternetExplorer(IE)是其中的一款Windows操作系统附带的Web浏览器。MicrosoftSharePoint Enterprise Server 2016是一套企业业务协作平台。MicrosoftOffice是微软公司开发的一套基于Windows操作系统的办公软件套装。MicrosoftExcel 2010 SP2是其中一套电子表格处理软件。本周,上述产品被披露存在权限提升和远程代码执行漏洞,攻击者可利用漏洞执行任意代码或提升权限。

CNVD收录的相关漏洞包括:Microsoft Edge任意代码执行漏洞(CNVD-2018-09476)、MicrosoftExcel远程代码执行漏洞(CNVD-2018-09644、CNVD-2018-09655)、MicrosoftInternet Explorer远程代码执行漏洞(CNVD-2018-09474)、MicrosoftOffice远程代码执行漏洞(CNVD-2018-09645、CNVD-2018-09646)、MicrosoftSharePoint特权提升漏洞、Microsoft Windows VBScript引擎远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09476

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09644

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09655

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09474

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09645

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09646

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09660

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09636

3、Apple产品安全漏洞

macOS High Sierra是美国苹果(Apple)公司的一套专为Mac计算机所开发的专用操作系统;Apple iOS是为移动设备所开发的一套操作系统;tvOS是一套智能电视操作系统;watchOS是一套智能手表操作系统。本周,上述产品被披露存在内存破坏和安全绕过漏洞,攻击者可利用该漏洞绕过安全限制或执行任意代码。

CNVD收录的相关漏洞包括:Apple iOS WebApp安全绕过漏洞、Apple iOS、tvOS和watchOS Graphics Driver内存破坏漏洞、Apple macOSDisk Management密码截断漏洞、Apple macOS High Sierra Security代码执行漏洞、Apple macOSHigh Sierra Touch Bar Support内存破坏漏洞、多款Apple产品CFNetworkSession内存破坏漏洞、多款Apple产品CoreAnimation内存破坏漏洞、多款Apple产品System Preferences安全绕过漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09815

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09804

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09803

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09790

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09793

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09791

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09789

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09812

4、Cisco产品安全漏洞

Cisco Digital NetworkArchitecture Center(DNA Center)是美国思科(Cisco)公司的一套数字网络体系结构解决方案。Cisco IdentityServices Engine(ISE)是一款基于身份的环境感知平台。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限、泄露敏感信息或发起拒绝服务攻击等。

CNVD收录的相关漏洞包括:Cisco AdaptiveSecurity Appliance Software和Firepower Threat Defense Software Transport LayerSecurity库输入验证漏洞、Cisco ASR 5700系列路由器输入验证漏洞、Cisco DigitalNetwork Architecture (DNA) Center安全绕过漏洞 、Cisco DigitalNetwork Architecture (DNA) Center权限提升漏洞、Cisco DigitalNetwork Architecture (DNA) Center信息泄露漏洞、Cisco IdentityServices Engine配置错误漏洞、多款Cisco Industrial Ethernet交换机跨站请求伪造漏洞、多款Cisco产品AdaptiveSecurity Appliance和Firepower Threat Defense Software拒绝服务漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09396

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09782

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09723

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09721

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09722

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09383

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09787

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09673

5、Foscam C1 Indoor HDCamera固件恢复未签名图像漏洞

Foscam C1 Indoor HDCamera是中国福斯康姆(Foscam)公司的一款无线高清IP摄像机。本周,Foscam被披露存在恢复未签名图像漏洞,攻击者可通过使用自定义图像恢复固件利用该漏洞完全控制设备。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-09719

更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。参考链接:http://www.cnvd.org.cn/flaw/list.htm

表4 部分重要高危漏洞列表

CNVD编号

漏洞名称

综合评级

修复方式

CNVD-2018-09401

Vaultize Enterprise File Sharing文件创建漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
http://www.vaultize.com/

CNVD-2018-09477

Buffalo WZR-1750DHP2任意代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://buffalo.jp/support_s/s20180328.html

CNVD-2018-09541

Red Hat DHCP客户端命令执行漏洞

用户可联系供应商获得补丁信息:
https://access.redhat.com/security/vulnerabilities/3442151

CNVD-2018-09554

Silex SD-320AN和GE MobileLink远程代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.silextechnology.com/

CNVD-2018-09575

runV for Docker util.c文件权限提升漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://github.com/hyperhq/runv

CNVD-2018-09587

Pivotal Greenplum Command Center SQL注入漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://pivotal.io/security/cve-2018-1280

CNVD-2018-09600

Pivotal Spring-integration-zip任意文件写入漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://pivotal.io/security/cve-2018-1261

CNVD-2018-09639

MyScript SDK for Android反序列化代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.myscript.com/sdk/

CNVD-2018-09806

多款ASUS产品任意代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.asus.com

CNVD-2018-09817

Mautic CSV注入漏洞

厂商已发布漏洞修复程序,请及时关注更新:
https://github.com/mautic/mautic/releases/tag/2.13.0

小结:本周, Google被披露存在多个漏洞,攻击者可利用漏洞提升权限、执行任意代码或造成拒绝服务等。此外,Microsoft、Apple、Cisco等多款产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码、提升权限或发起拒绝服务攻击。另外,Foscam被披露存在恢复未签名图像漏洞,攻击者可通过使用自定义图像恢复固件利用该漏洞完全控制设备。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。


(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论