登录  免费注册
当前位置:首页 > 周报 > 正文

2019年CNVD漏洞周报第4期(2019年01月21日-2019年01月27日)

2019-01-28 14:54:15

本周漏洞态势研判情况

 

本周信息安全漏洞威胁整体评价级别为

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞177个,其中高危漏洞65个、中危漏洞94个、低危漏洞18个。漏洞平均分值为6.01。本周收录的漏洞中,涉及0day漏洞46个(占26%),其中互联网上出现“D-LinkDIR-818LW Rev.A和DIR-860L Rev.B操作系统命令注入漏洞、Webmin远程命令执行漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1638个,与上周(1501个)环比增长9%。


图1 CNVD收录漏洞近10周平均分值分布图


本周漏洞事件处置情况

 

本周,CNVD向基础电信企业通报漏洞事件8起,向银行、保险、能源等重要行业单位通报漏洞事件44起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件353起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件549起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件15起。

此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:

飞利浦(中国)投资有限公司、西安摩高互动科技有限公司、厦门正航软件科技有限公司、青岛商至信网络科技有限公司、宝简好网络科技有限公司、浙江宇视科技有限公司、厦门服云信息科技有限公司、淄博闪灵网络科技有限公司、淮南市银泰软件科技有限公司、上海商创网络科技有限公司、长城宽带网络服务有限公司北京分公司、中国知网、企炬中国、御宅男工作室、亿渡留言管理系统、梦想CMS、LaySNS、CLTPHP、zzcms、EasyCMS和Joomla。

 

本周漏洞报送情况统计

 

本周报送情况如表1所示。其中,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、华为技术有限公司、新华三技术有限公司、北京神州绿盟科技有限公司等单位报送公开收集的漏洞数量较多。天津市国瑞数码安全系统股份有限公司、山东云天安全技术有限公司、安徽锋刃信息科技有限公司、中新网络信息安全股份有限公司、任子行网络技术股份有限公司、北京国舜科技股份有限公司、河南信安世纪科技有限公司、北京山石网科信息技术有限公司、广州竞远安全技术股份有限公司、南京联成科技发展股份有限公司、普华永道商务咨询(上海)有限公司广州分公司、上海零盾网络科技有限公司及其他个人白帽子向CNVD提交了1638个以事件型漏洞为主的原创漏洞,其中包括360网神(补天平台)和斗象科技(漏洞盒子)向CNVD共享的白帽子报送的1043条原创漏洞信息。

表1 漏洞报送情况统计表

报送单位或个人

漏洞报送数量

原创漏洞数量

斗象科技(漏洞盒子)

599

599

360网神(补天平台)

444

444

北京天融信网络安全技术有限公司

226

14

哈尔滨安天科技集团股份有限公司

161

0

华为技术有限公司

153

0

新华三技术有限公司

72

0

北京神州绿盟科技有限公司

69

0

中国电信集团系统集成有限责任公司

69

2

北京数字观星科技有限公司

66

0

北京启明星辰信息安全技术有限公司

49

0

恒安嘉新(北京)科技股份公司

19

0

深信服科技股份有限公司

4

4

北京知道创宇信息技术有限公司

3

0

天津市国瑞数码安全系统股份有限公司

248

248

山东云天安全技术有限公司

50

50

安徽锋刃信息科技有限公司

48

48

中新网络信息安全股份有限公司

43

43

任子行网络技术股份有限公司

19

19

北京国舜科技股份有限公司

9

9

河南信安世纪科技有限公司

9

9

北京山石网科信息技术有限公司

4

4

广州竞远安全技术股份有限公司

3

3

南京联成科技发展股份有限公司

3

3

普华永道商务咨询(上海)有限公司广州分公司

1

1

上海零盾网络科技有限公司

1

1

CNCERT湖南分中心

4

4

CNCERT贵州分中心

3

3

CNCERT河北分中心

2

2

CNCERT吉林分中心

2

2

个人

126

126

报送总计

2509

1638

 

本周漏洞按类型和厂商统计

 

本周,CNVD收录了177个漏洞。应用程序漏洞121个,网络设备漏洞20个,操作系统漏洞17个,WEB应用漏洞17个,安全产品漏洞2个。

表2 漏洞按影响类型统计表

漏洞影响对象类型

漏洞数量

应用程序漏洞

121

网络设备漏洞

20

操作系统漏洞

17

WEB应用漏洞

17

安全产品漏洞

2

图2 本周漏洞按影响类型分布


CNVD整理和发布的漏洞涉及Microsoft、Cisco、FFmpeg等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

序号

厂商(产品)

漏洞数量

所占比例

1

Microsoft

22

13%

2

Cisco

16

9%

3

FFmpeg

11

6%

4

Red Hat

11

6%

5

xkbcommon

11

6%

6

Apache

9

5%

7

Apple

8

5%

8

Intel

7

4%

9

D-Link

6

3%

10

其他

76

43%

 

本周行业漏洞收录情况

 

本周,CNVD收录了11个电信行业漏洞,10个移动互联网行业漏洞,7个工控行业漏洞(如下图所示)。其中,“LCDS LAquis SCADA代码注入漏洞、多款Apple产品越界读取漏洞(CNVD-2019-02759)、Cisco Small Business RV320和RV325信息泄露漏洞、LAquis SCADA输入验证漏洞、多款Apple产品沙盒绕过漏洞、Cisco Small Business RV320和RV325命令注入漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接:http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接:http://mi.cnvd.org.cn/

工控系统行业漏洞链接:http://ics.cnvd.org.cn/


图3 电信行业漏洞统计


图4 移动互联网行业漏洞统计


图5 工控系统行业漏洞统计

 

本周重要漏洞安全告警


本周,CNVD整理和发布以下重要安全漏洞信息。

1、Microsoft产品安全漏洞

Microsoft Windows 7 SP1是一套个人电脑使用的操作系统。Microsoft Windows 10是一套供个人电脑使用的操作系统.Windows Server 2016是一套服务器操作系统。Windows Server 2008 SP2是一套服务器操作系统。Microsoft Windows Server 2012 R2等都是美国微软(Microsoft)公司发布的一系列服务器操作系统。Microsoft Project是一套适用于项目组合管理(PPM)和日常工作的项目管理解决方案。该方案支持为任务分配资源、进度跟踪和预算管理等。Microsoft InternetExplorer(IE)是一款Web浏览器。Office 2010 SP2是一套办公套件。Microsoft MSHTML engine是其中的一个用于解析HTML语言的引擎。Microsoft Excel是微软公司的办公软件Microsoft office的组件之一,是由Microsoft为Windows和Apple Macintosh操作系统的电脑而编写和运行的一款试算表软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括:Microsoft DirectX权限提升漏洞(CNVD-2019-02495)、Microsoft Windows跨站脚本漏洞(CNVD-2019-02770)、Microsoft Graphics远程代码执行漏洞、Microsoft Windows权限提升漏洞(CNVD-2019-02775)、Microsoft Project远程代码执行漏洞、Microsoft MSHTML引擎输入验证漏洞、Microsoft Excel远程代码执行漏洞(CNVD-2019-02780、CNVD-2019-02784)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02495

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02770

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02768

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02775

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02776

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02777

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02780

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02784

2、Cisco产品安全漏洞

Cisco Small Business RV320和RV325都是美国思科(Cisco)公司的企业级路由器。Cisco SD-WAN Solution是运行在思科系统上的一套网络扩展解决方案。Cisco Webex Business Suite WBS32 sites等都是美国思科(Cisco)公司的视频会议解决方案。Cisco Webex Network Recording Player和WebexPlayer都是其中的用于播放视频会议记录的播放器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码。

CNVD收录的相关漏洞包括:Cisco Small Business RV320和RV325命令注入漏洞、Cisco Small Business RV320和RV325信息泄露漏洞、Cisco SD-WAN Solution缓冲区溢出漏洞、Cisco Webex Network Recording Player和Webex Player for Windows缓冲区溢出漏洞(CNVD-2019-02786、CNVD-2019-02787、CNVD-2019-02788、CNVD-2019-02789、CNVD-2019-02790)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02747

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02748

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02754

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02786

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02787

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02788

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02789

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02790

3、Apple产品安全漏洞

Apple iOS是为移动设备所开发的一套操作系统;Safari是一款Web浏览器,是Mac OS X和iOS操作系统附带的默认浏览器;tvOS是一套智能电视操作系统;watchOS是一套智能手表操作系统;iCloud for Windows是一款基于Windows平台的云服务。macOS Mojave是一套为Mac计算机所开发的专用操作系统。Apple macOS High Sierra是美国苹果(Apple)公司的一套专为Mac计算机所开发的专用操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过沙盒限制,注入任意的Web脚本或HTML,提升权限,执行任意代码(内存破坏)。

CNVD收录的相关漏洞包括:多款Apple产品内存破坏漏洞(CNVD-2019-02753)、多款Apple产品沙盒绕过漏洞、多款Apple产品跨站脚本漏洞(CNVD-2019-02756)、多款Apple产品沙盒绕过漏洞(CNVD-2019-02757)、多款Apple产品越界读取漏洞(CNVD-2019-02758、CNVD-2019-02759、CNVD-2019-02760、CNVD-2019-02761)。其中,除“多款Apple产品跨站脚本漏洞(CNVD-2019-02756)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02753

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02755

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02756

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02757

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02758

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02759

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02760

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02761

4、Red Hat产品安全漏洞

Red Hat 389 Directory Server(前称Fedora Directory Server)是一款企业级的Linux目录服务器。Red Hat Gluster是一套开源的分布式文件系统。Red Hat Gluster Storage是一个用于软件的横向扩展存储软件包,它能够提供非结构化的数据存储方式。Red Hat Ceph Storage是一套可扩展的、开放性的软件定义存储平台。Red Hat PolicyKit(又名Polkit)是一个用于在Unix兼容系统中对应用程序进行权限控制的工具。Red Hat Ceph是一套Linux PB级分布式文件系统。Red Hat Virtualization是推出的一套针对服务器和桌面的虚拟化管理解决方案(企业虚拟化平台),它可提供实时迁移、负载平衡等功能。Red Hat VirtualizationHost是一款虚拟主机。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞绕过保护机制,执行未授权操作,执行任意命令,发起拒绝服务攻击。

CNVD收录的相关漏洞包括:Red Hat 389 DirectoryServer拒绝服务漏洞(CNVD-2019-02473)、Red Hat Gluster未授权操作漏洞、Red Hat Gluster Storageglusterfs server拒绝服务漏洞、Red Hat Ceph Storage ceph-isci-cli包远程命令注入漏洞、Red Hat PolicyKit未授权访问漏洞、Red Hat Ceph未授权访问漏洞、Red Hat Ceph拒绝服务漏洞(CNVD-2019-02480)、Red Hat Virtualization和Virtualization Host拒绝服务漏洞。其中,“Red Hat 389 Directory Server拒绝服务漏洞(CNVD-2019-02473)、Red Hat Gluster未授权操作漏洞、Red Hat Ceph Storage ceph-isci-cli包远程命令注入漏洞”的综合评级为“高危”。目前,除“Red Hat 389 DirectoryServer拒绝服务漏洞(CNVD-2019-02473)”外,厂商已经发布了其余漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02473

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02475

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02476

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02477

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02478

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02479

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02480

http://www.cnvd.org.cn/flaw/show/CNVD-2019-02507

5、Apache HTTP Server拒绝服务漏洞

Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。本周,Apache HTTP Server被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-02938

更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。参考链接:http://www.cnvd.org.cn/flaw/list.htm

表4 部分重要高危漏洞列表

CNVD编号

漏洞名称

综合评级

修复方式

CNVD-2019-02383

Huawei PCManager权限提升漏洞

用户可参考如下供应商提供的安全公告获得补丁信息:

https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20190109-01-pcmanager-cn

CNVD-2019-02384

LAquis SCADA输入验证漏洞

厂商已发布了漏洞修复程序,请及时关注更新:

https://laquisscada.com/

CNVD-2019-02492

Google gVisor文件重命名漏洞

厂商已发布漏洞修复程序,请及时关注更新:

https://github.com/google/gvisor/commit/001a4c2493b13a43d62c7511fb509a959ae4abc2#diff-9432119b0a3f6b9808390d4102b65e90

CNVD-2019-02500

多款Fuji Xerox产品命令注入漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://securitydocs.business.xerox.com/wp-content/uploads/2018/12/cert_Security_Mini_Bulletin_XRX18AL_for_ALB80xx-C80xx_v1.1.pdf

CNVD-2019-02506

HPE Intelligent Management Center缓冲区溢出漏洞

厂商已发布漏洞修复程序,请及时关注更新:

https://support.hpe.com/hpsc/doc/public/display?docId=hpesbhf03906en_us

CNVD-2019-02509

Intel PROSet/Wireless WiFi Software权限提升漏洞

厂商已发布漏洞修复程序,请及时关注更新:

https://downloadcenter.intel.com/product/72252/Intel-PROSet-Wireless-Software

CNVD-2019-02521

Devellion CubeCart SQL注入漏洞

厂商已发布了漏洞修复程序,请及时关注更新:

https://www.cubecart.com/

CNVD-2019-02524

WordPress Automattic WooCommerce插件文件删除漏洞

厂商已发布了漏洞修复程序,请及时关注更新:

https://automattic.com/wordpress-plugins/

CNVD-2019-02530

PgpoolAdmin未授权访问漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://pgpool.net/mediawiki/index.php/Main_Page

CNVD-2019-02752

Linux apt/apt-get远程代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://security-tracker.debian.org/tracker/CVE-2019-3462

小结:本周,Microsoft被披露存在多个漏洞,攻击者可利用漏洞执行任意代码。此外,Cisco、Apple、Red Hat等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,绕过沙盒限制,执行未授权操作,注入任意的Web脚本或HTML,提升权限,执行任意代码(内存破坏),发起拒绝服务攻击等。另外,Apache HTTP Server被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论