登录  免费注册
当前位置:首页 > 周报 > 正文

2018年CNVD漏洞周报第21期(2018年05月21日-2018年05月27日)

2018-05-28 13:53:21

本周漏洞态势研判情况

 

本周信息安全漏洞威胁整体评价级别为

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞335个,其中高危漏洞115个、中危漏洞209个、低危漏洞11个。漏洞平均分值为6.32。本周收录的漏洞中,涉及0day漏洞56个(占17%),其中互联网上出现“Digital Guardian ManagementConsole远程代码执行漏洞、EFS Easy File Sharing WebServer缓冲区溢出漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数458个,与上周(540个)环比下降15%。

图1 CNVD收录漏洞近10周平均分值分布图

 

本周漏洞事件处置情况

 

本周,CNVD向基础电信企业通报漏洞事件4起,向银行、证券、保险、能源等重要行业单位通报漏洞事件13起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件328起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件58起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件6起。

此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:

郑州八度计算机科技有限公司、青岛万物一体网络科技有限公司、湖南梦行科技有限公司、北京杰控科技有限公司、长沙翱云网络科技有限公司、广州国微软件科技有限公司、杭州小北科技有限公司、广州热点软件科技股份有限公司、桂林崇胜网络科技有限公司、猫尚(武汉)科技有限公司、国药控股股份有限公司、极认证、北京亚控科技发展有限公司、花生科技、深圳市乙辰科技股份有限公司、中国铁建股份有限公司、普联技术有限公司、中国水力发电工程学会、电力行业电力规划设计标准化技术委员会、行云海CMS、中国北方车辆研究所。

 

本周漏洞报送情况统计

 

本周报送情况如表1所示。其中,蓝盾信息安全技术有限公司、阿里云计算有限公司、北京天融信网络安全技术有限公司、哈尔滨安天科技股份有限公司、华为技术有限公司等单位报送公开收集的漏洞数量较多。南京联成科技发展股份有限公司、四川虹微技术有限公司(子午攻防实验室)、中新网络信息安全股份有限公司、中国科学院信息工程研究所、任子行网络技术股份有限公司及其他个人白帽子向CNVD提交了458个以事件型漏洞为主的原创漏洞,其中包括360网神(补天平台)和漏洞盒子向CNVD共享的白帽子报送的296条原创漏洞信息。

表1 漏洞报送情况统计表

报送单位或个人

漏洞报送数量

原创漏洞数量

蓝盾信息安全技术有限公司

1207

0

阿里云计算有限公司

478

0

北京天融信网络安全技术有限公司

411

2

哈尔滨安天科技股份有限公司

218

0

360网神(补天平台)

162

162

华为技术有限公司

155

1

北京启明星辰信息安全技术有限公司

150

3

漏洞盒子

134

134

新华三技术有限公司

114

0

北京数字观星科技有限公司

100

0

中国电信集团系统集成有限责任公司

51

0

恒安嘉新(北京)科技股份公司

44

0

北京神州绿盟科技有限公司

44

0

厦门服云信息科技有限公司

21

1

北京无声信息技术有限公司

11

0

北京知道创宇信息技术有限公司

2

1

南京联成科技发展股份有限公司

9

9

四川虹微技术有限公司(子午攻防实验室)

7

7

中新网络信息安全股份有限公司

4

4

中国科学院信息工程研究所

2

2

任子行网络技术股份有限公司

1

1

CNCERT山西分中心

15

15

CNCERT吉林分中心

5

5

CNCERT宁夏分中心

4

4

CNCERT广东分中心

3

3

CNCERT贵州分中心

1

1

CNCERT上海分中心

1

1

个人

102

102

报送总计

3456

458

 

本周漏洞按类型和厂商统计

 

本周,CNVD收录了335个漏洞。其中应用程序漏洞208个,操作系统漏洞64个,WEB应用漏洞30个,网络设备漏洞30个,安全产品漏洞3个。

表2 漏洞按影响类型统计表

漏洞影响对象类型

漏洞数量

应用程序漏洞

208

操作系统漏洞

64

WEB应用漏洞

30

网络设备漏洞

30

安全产品漏洞

3

 

图2 本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及Foxit、Google、Mozilla等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

序号

厂商(产品)

漏洞数量

所占比例

1

Foxit

53

16%

2

Google

34

10%

3

Mozilla

14

4%

4

Apple

14

4%

5

Microsoft

10

3%

6

F5

9

3%

7

Apache

6

2%

8

Linux

6

2%

9

IBM

5

1%

10

其他

184

55%

 

本周行业漏洞收录情况

 

本周,CNVD收录了13个电信行业漏洞,52个移动互联网行业漏洞,10个工控行业漏洞(如下图所示)。其中,“Belkin N750栈缓冲区溢出漏洞、PhoenixContact managed FL SWITCH命令注入漏洞、Apple iOS Telephony缓冲区溢出漏洞、Google Android缓冲区溢出漏洞(CNVD-2018-10124)、Google Android安全绕过漏洞”的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接:http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接:http://mi.cnvd.org.cn/

工控系统行业漏洞链接:http://ics.cnvd.org.cn/

 

图3 电信行业漏洞统计

 

图4 移动互联网行业漏洞统计

 

图5 工控行业漏洞统计

 

本周重要漏洞安全告警


本周,CNVD整理和发布以下重要安全漏洞信息。

1、Google产品安全漏洞

Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。DRM API是其中的一个数字版权管理API(应用程序接口)。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限、执行任意代码或绕过安全限制等。

CNVD收录的相关漏洞包括:Google Android缓冲区溢出漏洞(CNVD-2018-10124)、Google Android缓冲区越边界读取漏洞(CNVD-2018-10035、CNVD-2018-10042)、Google Android内存错误引用漏洞(CNVD-2018-10125)、Google Android权限提升漏洞(CNVD-2018-10119)、Google Android远程代码执行漏洞(CNVD-2018-10120)、Google AndroidDRM API缓冲区越边界读取漏洞、Google Android安全绕过漏洞,上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10124

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10035

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10042

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10125

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10119

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10120

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10069

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09893

2、Microsoft产品安全漏洞

Microsoft Windows 10是一套供个人电脑使用的操作系统,Windows Server2016是一套服务器操作系统。Edge是其中的一个系统附带的默认浏览器。本周,上述产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括:MicrosoftChakraCore和Edge远程代码执行漏洞(CNVD-2018-10201、CNVD-2018-10202、CNVD-2018-10204、CNVD-2018-10205、CNVD-2018-10206、CNVD-2018-10207、CNVD-2018-10208、CNVD-2018-10210)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10201

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10202

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10204

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10205

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10206

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10207

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10208

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10210

3、Apple产品安全漏洞

Apple Safari是美国苹果公司的一款Web浏览器,Apple iOS是为移动设备所开发的一套操作系统;macOS HighSierra是一套专为Mac计算机所开发的专用操作系统。Apple iOS是美国苹果(Apple)公司为移动设备所开发的一套操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用该漏洞执行任意代码或发起拒绝服务攻击等。

CNVD收录的相关漏洞包括:Apple iOSSafari欺骗漏洞、Apple iOS和macOS High Sierra Mail中间人攻击漏洞、Apple iOS和macOS HighSierra PluginKit竞争条件漏洞、Apple Safari WebKit内存破坏漏洞(CNVD-2018-09990)、Apple Safari任意代码执行漏洞(CNVD-2018-09989)、Apple iOSTelephony缓冲区溢出漏洞、Apple iOS Telephony拒绝服务漏洞、多款Apple产品Quick Look竞争条件漏洞。除“Apple iOSSafari欺骗漏洞、Apple iOS和macOS High Sierra Mail中间人攻击漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09967

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09977

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09974

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09990

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09989

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09971

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09970

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09975

4、Mozilla产品安全漏洞

Mozilla Firefox浏览器(火狐)是一个自由的、开放源码的浏览器,适用于Windows、Linux及MacOSX平台。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制发起拒绝服务攻击等。

CNVD收录的相关漏洞包括:MozillaFirefox JavaScript注入漏洞、Mozilla Firefox XSLT缓冲区溢出漏洞、MozillaFirefox堆内存错误引用漏洞、Mozilla Firefox同源保护绕过漏洞、MozillaFirefox未初始化内存使用漏洞、Mozilla Firefox整数溢出漏洞(CNVD-2018-10242)、MozillaFirefox内存错误引用漏洞(CNVD-2018-10245、CNVD-2018-10246)。除“MozillaFirefox JavaScript注入漏洞、Mozilla Firefox XSLT缓冲区溢出漏洞、MozillaFirefox堆内存错误引用漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10243

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10234

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10233

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10244

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10241

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10242

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10245

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10246

5、D-Link DIR-550A和DIR-604M权限获取漏洞

D-Link DIR-550A和DIR-604M都是友讯(D-Link)公司的无线路由器产品。本周,D-Link被披露存在权限获取漏洞,攻击者可通过使用默认的TELNET账户利用该漏洞获取访问权限。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-10000

更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。参考链接:http://www.cnvd.org.cn/flaw/list.htm

表4 部分重要高危漏洞列表

CNVD编号

漏洞名称

综合评级

修复方式

CNVD-2018-10002

GE多款PACSystems产品输入验证错误漏洞

用户可联系供应商获得补丁信息:
https://digitalsupport.ge.com

CNVD-2018-10059

GNU C Library任意代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.gnu.org/software/libc/

CNVD-2018-10151

Phoenix Contact managed FL SWITCH命令注入漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.phoenixcontact.com/

CNVD-2018-10149

Phoenix Contact managed FL SWITCH缓冲区溢出漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.phoenixcontact.com/

CNVD-2018-10156

tinysvcmdns library缓冲区溢出漏洞

厂商已发布了漏洞修复程序,请及时关注更新:
https://bitbucket.org/geekman/tinysvcmdns

CNVD-2018-10216

Foxit Reader任意代码执行漏洞(CNVD-2018-10216)

厂商已发布漏洞修复程序,请及时关注更新:
https://www.foxitsoftware.com/support/security-bulletins.php

CNVD-2018-10303

HP SiteScope未指明未经授权访问漏洞

厂商已发布了漏洞修复程序,请及时关注更新:
https://www.auscert.org.au/bulletins/52758/

CNVD-2018-10332

procps-ng权限提升漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://gitlab.com/procps-ng/procps

CNVD-2018-10334

procps-ng整数溢出漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://gitlab.com/procps-ng/procps

CNVD-2018-10333

procps-ng任意代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://gitlab.com/procps-ng/procps

小结:本周, Google被披露存在多个漏洞,攻击者可利用漏洞提升权限、执行任意代码或绕过安全限制等。此外,Microsoft、Apple、Mozilla等多款产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码、提升权限或发起拒绝服务攻击。另外,D-Link被披露存在权限获取漏洞,攻击者可通过使用默认的TELNET账户利用该漏洞获取访问权限。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。


(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论