登录  免费注册
当前位置:首页 > 周报 > 正文

2019年CNVD漏洞周报第16期(2019年04月15日-2019年04月21日)

2019-04-22 14:54:50

本周漏洞态势研判情况

 

本周信息安全漏洞威胁整体评价级别为

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞230个,其中高危漏洞96个、中危漏洞115个、低危漏洞19个。漏洞平均分值为6.13。本周收录的漏洞中,涉及0day漏洞122个(占53%),其中互联网上出现“ApacheAxis代码执行漏洞、QCMS跨站请求伪造漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1994与上周(1755个)环比增长14%。


图1 CNVD收录漏洞近10周平均分值 分布图


本周漏洞事件处置情况


本周,CNVD向基础电信企业通报漏洞事件26起,向银行、保险、能源等重要行业单位通报漏洞事件38起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件563起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件51起。

此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:

广州齐博网络科技有限公司、安徽华易网络科技有限公司、北京火绒网络科技有限公司、中国建材检验认证集团股份有限公司、黑龙江艺通网络技术开发有限公司、宁波海曙橄榄树计算机科技有限公司、洪湖尔创网联信息技术有限公司、苏州烟火网络科技有限公司、北京动网天下科技有限公司、苏州烟火网络科技有限公司、北京动网天下科技有限公司、上海汉得信息技术股份有限公司、中国大唐集团科学技术研究院有限公司、深圳神州通达网络技术有限公司、山东城通科技有限公司、重庆远秋科技公司、江苏鑫跃科技有限公司、沧州市凡诺广告传媒有限公司、灵宝简好网络科技有限公司、深圳同天下科技有限公司、淄博闪灵网络科技有限公司、上海茸易科技有限公司、深圳市锟铻科技有限公司、华宝证券有限责任公司、湖南潭州教育网络科技有限公司、宁波在线网络信息有限公司、上海五五来客科技股份有限公司、天气网、中国船舶报社、中国经济体制改革研究会、中国通信标准化协会、快范之家、厦门大学附属第一医院、中国建筑工业出版社、浙江深大智能集团、中国测试科技资讯平台、易企CMS、DM建站系统、爱客CMS、鱼跃CMS、Z-Blog、zzzcms、GraphicsMagick Group、phpwind、KUNBUS、SchoolCMS、iCMS、HadSky。

本周,CNVD发布了《Oracle发布2019年2月的安全公告》、《关于Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞的安全公告》。详情参见CNVD网站公告内容。

http://www.cnvd.org.cn/webinfo/show/4987

http://www.cnvd.org.cn/webinfo/show/4989

 

本周漏洞报送情况统计

 

本周报送情况如表1所示。其中,新华三技术有限公司、哈尔滨安天科技集团股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、深信服科技股份有限公司等单位报送公开收集的漏洞数量较多。长春嘉诚信息技术股份有限公司、国瑞数码安全系统股份有限公司(国瑞数码零点实验室)、中新网络信息安全股份有限公司、安徽锋刃信息科技有限公司、任子行网络技术股份有限公司、上海并擎软件科技有限公司、北京圣博润高新技术股份有限公司、山东云天安全技术有限公司、南京联成科技发展股份有限公司、山石网科通信技术股份有限公司、广州竞远安全技术股份有限公司、福建国科信息科技有限公司-漏斗社区、内蒙古奥创科技有限公司、北京信联科汇科技有限公司、成都安美勤信息技术股份有限公司、广州万方计算机科技有限公司、广州昊达信息科技有限公司、广州思迈特软件有限公司、四川虹微技术有限公司(子午攻防实验室)及其他个人白帽子向CNVD提交了1994个以事件型漏洞为主的原创漏洞,其中包括360网神(补天平台)和斗象科技(漏洞盒子)向CNVD共享的白帽子报送的1354条原创漏洞信息。

表1 漏洞报送情况统计表

报送单位或个人

漏洞报送数量

原创漏洞数量

斗象科技(漏洞盒子)

933

933

360网神(补天平台)

421

421

新华三技术有限公司

252

0

哈尔滨安天科技集团股份有限公司

242

0

北京天融信网络安全技术有限公司

210

4

华为技术有限公司

139

0

深信服科技股份有限公司

85

0

北京启明星辰信息安全技术有限公司

79

0

恒安嘉新(北京)科技股份公司

43

0

北京神州绿盟科技有限公司

32

0

中国电信集团系统集成有限责任公司

28

0

北京数字观星科技有限公司

20

0

南京铱迅信息技术股份有限公司

8

0

北京知道创宇信息技术有限公司

6

0

厦门服云信息科技有限公司

5

0

长春嘉诚信息技术股份有限公司

176

176

国瑞数码安全系统股份有限公司(国瑞数码零点实验室)

66

66

中新网络信息安全股份有限公司

51

51

安徽锋刃信息科技有限公司

39

39

任子行网络技术股份有限公司

34

34

上海并擎软件科技有限公司

28

28

北京圣博润高新技术股份有限公司

22

22

山东云天安全技术有限公司

21

21

南京联成科技发展股份有限公司

15

15

山石网科通信技术股份有限公司

5

5

广州竞远安全技术股份有限公司

4

4

福建国科信息科技有限公司-漏斗社区

3

3

内蒙古奥创科技有限公司

2

2

北京信联科汇科技有限公司

1

1

成都安美勤信息技术股份有限公司

1

1

广州万方计算机科技有限公司

1

1

广州昊达信息科技有限公司

1

1

广州思迈特软件有限公司

1

1

四川虹微技术有限公司(子午攻防实验室)

1

1

CNCERT河北分中心

6

6

CNCERT广西分中心

3

3

CNCERT贵州分中心

3

3

CNCERT江苏分中心

3

3

CNCERT吉林分中心

1

1

个人

148

148

报送总计

3139

1994

 

本周漏洞按类型和厂商统计

 

本周,CNVD收录了230个漏洞。WEB应用96个,应用程序88个,操作系统27个,数据库10个,网络设备(交换机、路由器等网络端设备)7个,智能设备(物联网终端设备)漏洞1个,安全产品1个。

表2 漏洞按影响类型统计表

漏洞影响对象类型

漏洞数量

WEB应用

96

应用程序

88

操作系统

27

数据库

10

网络设备(交换机、路由器等网络端设备)

7

智能设备(物联网终端设备)漏洞

1

安全产品

1


图2 本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及Adobe、Microsoft、Joomla!等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

序号

厂商(产品)

漏洞数量

所占比例

1

Adobe

18

8%

2

Microsoft

18

8%

3

Joomla!

18

8%

4

Cisco

11

5%

5

Google

10

4%

6

Oracle

10

4%

7

CloudBees

9

4%

8

UltraVNC

8

3%

9

OpenEMR

7

3%

10

其他

121

53%

 

本周行业漏洞收录情况

 

本周,CNVD收录了14个电信行业漏洞,19个移动互联网行业漏洞,7个工控行业漏洞,(如下图所示)。其中,“Cisco IOS XE任意文件上传漏洞、Siemens SINEMA未经授权访问漏洞、Google Android System远程代码执行漏洞(CNVD-2019-10473)、Cisco IOS XE ETA拒绝服务漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接:http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接:http://mi.cnvd.org.cn/

工控系统行业漏洞链接:http://ics.cnvd.org.cn/


图3 电信行业漏洞统计

 

图4 移动互联网行业漏洞统计


图5 工控系统行业漏洞统计

 

本周重要漏洞安全告警


本周,CNVD整理和发布以下重要安全漏洞信息。

1、Adobe产品安全漏洞

Adobe Bridge是一款免费数字资产管理应用程序。Adobe Shockwave Player是一款多媒体播放器产品。本周,上述产品被披露存在内存错误引用和内存破坏漏洞,攻击者可利用漏洞获取信息,执行任意代码。

CNVD收录的相关漏洞包括:Adobe Bridge CC内存错误引用漏洞、Adobe Shockwave Player内存破坏漏洞(CNVD-2019-10620、CNVD-2019-10621、CNVD-2019-10623、CNVD-2019-10622、CNVD-2019-10625、CNVD-2019-10624、CNVD-2019-10626)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-09858

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10620

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10621

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10623

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10622

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10625

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10624

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10626

2、Microsoft产品安全漏洞

Windows是美国微软公司研发的一套操作系统,Windows采用了图形化模式GUI。Microsoft Internet Explorer(IE)是一款Windows操作系统附带的Web浏览器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码,造成内存破坏。

CNVD收录的相关漏洞包括:Microsoft Windows Win32k权限提升漏洞(CNVD-2019-10041、CNVD-2019-10043、CNVD-2019-10042)、Microsoft InternetExplorer VBScript引擎远程代码执行漏洞、Microsoft InternetExplorer脚本引擎内存破坏漏洞(CNVD-2019-10617、CNVD-2019-10616)、Microsoft InternetExplorer VBScript引擎远程代码执行漏洞(CNVD-2019-10619、CNVD-2019-10618)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10041

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10043

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10042

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10615

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10617

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10616

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10619

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10618

3、Cisco产品安全漏洞

Cisco IOS XE是一个基于Linux内核的模块化操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,以root用户身份执行任意命令或造成拒绝服务。

CNVD收录的相关漏洞包括:Cisco IOS XE命令注入漏洞(CNVD-2019-10454、CNVD-2019-10460、CNVD-2019-10462)、Cisco IOS XE权限提升漏洞(CNVD-2019-10455、CNVD-2019-10463)、Cisco IOS XE ETA拒绝服务漏洞、Cisco IOS XE任意文件上传漏洞、Cisco IOS XE信息泄露漏洞。其中,除“Cisco IOS XE信息泄露漏洞、Cisco IOS XE命令注入漏洞(CNVD-2019-10462)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10454

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10455

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10458

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10459

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10460

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10461

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10462

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10463

4、Oracle产品安全漏洞

Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。本周,该产品被披露存在拒绝服务漏洞,攻击者可利用漏洞造成拒绝服务(挂起或频繁崩溃),影响数据的可用性。

CNVD收录的相关漏洞包括:Oracle MySQL Server拒绝服务漏洞(CNVD-2019-10367、CNVD-2019-10369、CNVD-2019-10368、CNVD-2019-10372、CNVD-2019-10374、CNVD-2019-10373、CNVD-2019-10376、CNVD-2019-10375)。其中,除“Oracle MySQL Server拒绝服务漏洞(CNVD-2019-10367、CNVD-2019-10369、CNVD-2019-10372)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10367

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10369

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10368

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10372

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10374

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10373

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10376

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10375

5、D-Link DI-524跨站脚本漏洞

D-Link DI-524是一款无线路由器。D-Link DI-524被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行客户端代码。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-10325

更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。参考链接:http://www.cnvd.org.cn/flaw/list.htm

表4 部分重要高危漏洞列表

CNVD编号

漏洞名称

综合评级

修复方式

CNVD-2019-09849

Adobe Acrobat和Reader越界写入漏洞(CNVD-2019-09849)

厂商已发布漏洞修复程序,请及时关注更新:

https://helpx.adobe.com/security/products/acrobat/apsb18-41.html

CNVD-2019-10017

Nagios XI SQL注入漏洞(CNVD-2019-10017)

厂商已发布漏洞修复程序,请及时关注更新:

https://www.nagios.com/products/security/

CNVD-2019-10132

libcurl缓冲区溢出漏洞

厂商已发布漏洞修复程序,请及时关注更新:

https://github.com/curl/curl/commit/57d299a499155d4b327e341c6024e293b0418243.patch

CNVD-2019-10145

OpenEMR SQL注入漏洞(CNVD-2019-10145)

厂商已发布了漏洞修复程序,请及时关注更新:

https://github.com/openemr/openemr/pull/1758/files

CNVD-2019-10286

UltraVNC越界访问漏洞(CNVD-2019-10286)

厂商已发布漏洞修复程序,请及时关注更新:

https://www.uvnc.com/

CNVD-2019-10293

UltraVNC堆缓冲区溢出漏洞

厂商已发布漏洞修复程序,请及时关注更新:

https://www.uvnc.com/

CNVD-2019-10448

IBM BigFix Platform未授权操作漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

http://www-01.ibm.com/support/docview.wss?uid=ibm10874666

CNVD-2019-10457

Forcepoint Email Security缓冲区溢出漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://support.forcepoint.com/KBArticle?id=000016621

CNVD-2019-10464

Google Android缓冲区溢出漏洞(CNVD-2019-10464)

厂商已发布了漏洞修复程序,请及时关注更新:

https://source.android.com/security/bulletin/2019-02-01

CNVD-2019-10628

Adobe Acrobat和Reader内存错误引用漏洞(CNVD-2019-10628)

厂商已发布漏洞修复程序,请及时关注更新:

https://helpx.adobe.com/security/products/acrobat/apsb19-17.html

小结:本周,Adobe被披露存在内存错误引用和内存破坏漏洞,攻击者可利用漏洞获取信息,执行任意代码。此外,Microsoft、Cisco、Oracle等多款产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码,造成内存破坏等。另外,D-Link DI-524被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行客户端代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论