登录  免费注册
当前位置:首页 > 周报 > 正文

2018年CNVD漏洞周报第22期(2018年05月28日-2018年06月03日)

2018-06-04 13:44:10

本周漏洞态势研判情况

 

本周信息安全漏洞威胁整体评价级别为

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞309个,其中高危漏洞127个、中危漏洞165个、低危漏洞17个。漏洞平均分值为6.31。本周收录的漏洞中,涉及0day漏洞81个(占26%),其中互联网上出现“D-Link DSL-3782 Login Panel未授权操作漏洞、Samsung S7 Edge整数溢出漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数465个,与上周(458个)环比增长2%。

图1 CNVD收录漏洞近10周平均分值分布图

 

本周漏洞事件处置情况

 

本周,CNVD向基础电信企业通报漏洞事件2起,向银行、证券、保险、能源等重要行业单位通报漏洞事件20起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件233起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件91起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件10起。

此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:

中国铁建股份有限公司、上海茸易科技有限公司、太原迅易科技有限公司、浙江宇视科技有限公司、广州凡科互联网科技股份有限公司、济南泰创软件科技有限公司、北京腾控科技有限公司、北京天亚科创软件有限公司、北京四方继保自动化股份有限公司、上海锦豹网络科技有限公司、北京如易行科技有限公司、北京网笑信息技术有限公司、广州国微软件科技有限公司、深圳市乐宜科技有限公司、北京友缘在线网络科技股份有限公司、深圳市掌动科技有限公司、中视前卫影视传媒有限公司、海南创想未来文化传媒有限公司、快范之家、中国疾病预防控制中心、中国林学会、校无忧科技、phpaacms、中国教科文卫体工会全国委员会。

 

本周漏洞报送情况统计

 

本周报送情况如表1所示。其中,蓝盾信息安全技术有限公司、沈阳东软系统集成工程有限公司、哈尔滨安天科技股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司等单位报送公开收集的漏洞数量较多。南京联成科技发展股份有限公司、四川虹微技术有限公司(子午攻防实验室)、中新网络信息安全股份有限公司、上海观安信息技术股份有限公司、广州万方计算机科技有限公司、济南三泽信息安全测评有限公司、北京明朝万达科技股份有限公司(安元实验室)、山东省网络与信息安全测评中心及其他个人白帽子向CNVD提交了465个以事件型漏洞为主的原创漏洞,其中包括360网神(补天平台)和漏洞盒子向CNVD共享的白帽子报送的183条原创漏洞信息。

表1 漏洞报送情况统计表

 报送单位或个人

漏洞报送数量

原创漏洞数量

蓝盾信息安全技术有限公司

688

0

沈阳东软系统集成工程有限公司

428

0

哈尔滨安天科技股份有限公司

214

0

360网神(补天平台)

196

196

北京天融信网络安全技术有限公司

187

3

华为技术有限公司

150

0

新华三技术有限公司

98

0

北京神州绿盟科技有限公司

68

0

恒安嘉新(北京)科技股份公司

62

0

北京数字观星科技有限公司

55

0

中国电信集团系统集成有限责任公司

55

0

漏洞盒子

47

47

北京启明星辰信息安全技术有限公司

40

0

杭州安恒信息技术有限公司

23

0

厦门服云信息科技有限公司

22

0

北京无声信息技术有限公司

7

0

北京知道创宇信息技术有限公司

1

1

南京联成科技发展股份有限公司

28

28

四川虹微技术有限公司(子午攻防实验室)

14

14

中新网络信息安全股份有限公司

7

7

上海观安信息技术股份有限公司

3

3

广州万方计算机科技有限公司

3

3

济南三泽信息安全测评有限公司

3

3

北京明朝万达科技股份有限公司(安元实验室)

2

2

山东省网络与信息安全测评中心

1

1

CNCERT上海分中心

11

11

CNCERT山西分中心

9

9

CNCERT甘肃分中心

7

7

CNCERT河北分中心

6

6

CNCERT湖南分中心

6

6

CNCERT宁夏分中心

5

5

CNCERT广东分中心

5

5

CNCERT天津分中心

5

5

CNCERT吉林分中心

2

2

CNCERT贵州分中心

1

1

个人

100

100

报送总计

2559

465

 

本周漏洞按类型和厂商统计

 

本周,CNVD收录了309个漏洞。其中应用程序漏洞194个,WEB应用漏洞53个,操作系统漏洞31个,网络设备漏洞18个,数据库漏洞10个,安全产品漏洞3个。

表2 漏洞按影响类型统计表

漏洞影响对象类型

漏洞数量

应用程序漏洞

194

WEB应用漏洞

53

操作系统漏洞

31

网络设备漏洞

18

数据库漏洞

10

安全产品漏洞

3

 

图2 本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及Microsoft、IBM、Google等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

序号

厂商(产品)

漏洞数量

所占比例

1

Microsoft

29

9%

2

IBM

23

7%

3

Google

22

7%

4

Adobe

16

5%

5

Foxit

12

4%

6

WordPress

8

3%

7

Cisco

6

2%

8

Oracle

6

2%

9

Trend Micro

6

2%

10

其他

181

59%

 

本周行业漏洞收录情况

 

本周,CNVD收录了12个电信行业漏洞,28个移动互联网行业漏洞,16个工控行业漏洞(如下图所示)。其中,“DCCE MAC1100PLC存在远程代码上传漏洞、Advantech WebAccess栈缓冲区溢出漏洞(CNVD-2018-10713)、Google AndroidSystem权限提升漏洞(CNVD-2018-10692)、eVestigator ForensicPenTester远程代码执行漏洞、IBM DB2 for Linux、UNIX和Windows缓冲区溢出漏洞”的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接:http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接:http://mi.cnvd.org.cn/

工控系统行业漏洞链接:http://ics.cnvd.org.cn/

 

图3 电信行业漏洞统计

 

图4 移动互联网行业漏洞统计

 

图5 工控行业漏洞统计

 

本周重要漏洞安全告警


本周,CNVD整理和发布以下重要安全漏洞信息。

1、Google产品安全漏洞

Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在权限提升漏洞,攻击者可利用漏洞提升权限。

CNVD收录的相关漏洞包括:Google AndroidQualcomm组件权限提升漏洞(CNVD-2018-10681、CNVD-2018-10682、CNVD-2018-10683、CNVD-2018-10684、CNVD-2018-10685、CNVD-2018-10686、CNVD-2018-10687、CNVD-2018-10688),上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10681

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10682

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10683

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10684

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10685

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10686

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10687

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10688

2、Microsoft产品安全漏洞

MicrosoftExchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序。MicrosoftOffice 2010 SP2是一款办公软件套件产品。Excel 2010 SP2是Office套件中的一套电子表格处理软件。Microsoft Edge是一款流行的WEB浏览器。本周,上述产品被披露存在远程代码执行、内存破坏和权限提升漏洞,攻击者可利用漏洞执行任意代码、提升权限等。

CNVD收录的相关漏洞包括:MicrosoftOffice远程代码执行漏洞(CNVD-2018-10431、CNVD-2018-10439、CNVD-2018-10440)、MicrosoftExcel远程代码执行漏洞(CNVD-2018-10432、CNVD-2018-10433)、Microsoft Edge脚本引擎远程内存破坏漏洞(CNVD-2018-10735、CNVD-2018-10736)、MicrosoftExchange Server权限提升漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10431

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10439

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10440

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10432

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10433

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10735

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10736

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10434

3、Adobe产品安全漏洞

Adobe Reader是美国Adobe公司开发的一款PDF文件阅读软件。Adobe Acrobat是由Adobe公司开发的一款PDF编辑软件。本周,上述产品被披露存在内存错误引用漏洞,攻击者可利用该漏洞执行任意代码。

CNVD收录的相关漏洞包括:AdobeAcrobat/Reader内存错误引用漏洞(CNVD-2018-10460、CNVD-2018-10461、CNVD-2018-10462、CNVD-2018-10463、CNVD-2018-10464、CNVD-2018-10465、CNVD-2018-10466、CNVD-2018-10467)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10460

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10461

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10462

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10463

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10464

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10465

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10466

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10467

4、IBM产品安全漏洞

IBM FlashSystem产品是将数据存储在闪存上的企业计算机数据存储系统。 IBM DB2是美国IBM公司的一套关系型数据库管理系统。IBM UrbanCodeDeploy(UCD)是美国IBM公司的一套应用自动化部署工具。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息或执行任意代码等。

CNVD收录的相关漏洞包括:IBM DB2 for Linux、UNIX和Windows缓冲区溢出漏洞、IBM DB2缓冲区溢出漏洞(CNVD-2018-10801、CNVD-2018-10804、CNVD-2018-10805)、IBMFlashSystem任意文件覆盖漏洞、IBM Security QRadar SIEM SQL注入漏洞(CNVD-2018-10458)、IBM SecurityQRadar SIEM目录遍历漏洞(CNVD-2018-10457)、IBM UrbanCode Deploy信息泄露漏洞(CNVD-2018-10455),上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10563

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10801

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10804

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10805

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10704

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10458

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10457

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10455

5、Apache Hadoop权限提升漏洞(CNVD-2018-10426)

Apache Hadoop是美国阿帕奇(Apache)软件基金会的一套开源的分布式系统基础架构。本周,Apache被披露存在权限提升漏洞,攻击者可利用漏洞升级为yarn 用户的用户,并以root用户身份运行任意命令。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-10426

更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。参考链接:http://www.cnvd.org.cn/flaw/list.htm

表4 部分重要高危漏洞列表

CNVD编号

漏洞名称

综合评级

修复方式

CNVD-2018-10427

Quassel代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://quassel-irc.org/taxonomy/term/7

CNVD-2018-10651

Moodle代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://moodle.org/mod/forum/discuss.php?d=371199

CNVD-2018-10663

Octopus Deploy安全限制绕过漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/OctopusDeploy/Issues/issues/4454

CNVD-2018-10671

selenium-download代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/groupon/selenium-download/releases

CNVD-2018-10673

sequelize SQL注入漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/sequelize/sequelize/issues/5671

CNVD-2018-10672

aerospike代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.npmjs.com/package/aerospike

CNVD-2018-10674

waterline-sequel SQL注入漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/balderdashy/waterline-sequel/pull/66

CNVD-2018-10699

Fortinet FortiWLC硬编码账户漏洞(CNVD-2018-10699)

厂商已发布漏洞修复程序,请及时关注更新:
https://fortiguard.com/psirt/FG-IR-17-274

CNVD-2018-10700

Fortinet FortiWLC硬编码账户漏洞

厂商已发布漏洞修复程序,请及时关注更新:
https://fortiguard.com/psirt/FG-IR-17-274

CNVD-2018-10794

Git任意代码执行漏洞(CNVD-2018-10794)

厂商已发布了漏洞修复程序,请及时关注更新:
https://git-scm.com/

小结:本周, Google被披露存在权限提升漏洞,攻击者可利用漏洞提升权限。此外,Microsoft、Adobe、IBM等多款产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、执行任意代码或提升权限等。另外,Apache被披露存在权限提升漏洞,攻击者可利用漏洞升级为yarn 用户的用户,并以root用户身份运行任意命令。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。


(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论