登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2018年第10期

2018-11-01 14:28:20

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞817个,其中高危漏洞323个,中危漏洞457个,低危漏洞37个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有735个。


1. 本月漏洞信息


1.1 重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

1

Foxit多款产品存在安全漏洞

CNVD编号

CNVD-2018-20706、CNVD-2018-20707

CNVD-2018-20708、CNVD-2018-20709

CNVD-2018-20710、CNVD-2018-20711

CNVD-2018-20712、CNVD-2018-20713

CNVD-2018-20714、CNVD-2018-20715

本月,Foxit多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码。本月漏洞包括:Foxit PDF Reader JavaScript引擎远程代码执行漏洞(CNVD-2018-20706、CNVD-2018-20707、CNVD-2018-20708、CNVD-2018-20709、CNVD-2018-20710、CNVD-2018-20711、CNVD-2018-20712、CNVD-2018-20713、CNVD-2018-20714、CNVD-2018-20715)等。

其他编号

CVE-2018-3945、CVE-2018-3942

CVE-2018-3941、CVE-2018-3940

CVE-2018-3967、CVE-2018-3966

CVE-2018-3965、CVE-2018-3964

CVE-2018-3946、CVE-2018-3996

发布时间

2018/10/12

影响产品

Foxit PDF Reader

2

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2018-20736、CNVD-2018-20739

CNVD-2018-20737、CNVD-2018-20740

CNVD-2018-20874、CNVD-2018-20961

CNVD-2018-21204、CNVD-2018-21206

CNVD-2018-21207、CNVD-2018-21211

10月9日,微软发布了2018年10月份的月度例行安全公告,修复了其多款产品存在的118个安全漏洞。受影响的产品包括Windows 10 v1809 and WindowsServer 2019(19个)、Windows 10 v1803 Windows Serverv1803(21个)、Windows 10 v1709 Windows Serverv1709(21个)、Windows 8.1 and Windows Server2012 R2(15个)、Windows Server 2012(14个)、Windows 7 and Windows Server 2008R2(14个)和Windows Server 2008(14个)。攻击者可以提升权限,绕过安全功能限制,获取敏感信息,执行远程代码或发起拒绝服务攻击等。本月漏洞包括:Microsoft Internet Explorer远程内存破坏漏洞(CNVD-2018-20736)、Microsoft Windows Graphics组件远程执行代码漏洞(CNVD-2018-20739)、Microsoft Windows Theme API远程执行代码漏洞、Microsoft Windows MS XML远程执行代码漏洞、Microsoft Windows Shell远程执行代码漏洞(CNVD-2018-20874)、Microsoft JET Database Engine远程执行代码漏洞、Microsoft ChakraCore Scripting Engine远程内存破坏漏洞(CNVD-2018-21204)、Microsoft Jet Database Engine缓冲区溢出漏洞(CNVD-2018-21206)、Microsoft Internet Explorer远程内存破坏漏洞(CNVD-2018-21207)、Microsoft Edge远程内存破坏漏洞(CNVD-2018-21211)等。

其他编号

CVE-2018-8460、CVE-2018-8432

CVE-2018-8413、CVE-2018-8494

CVE-2018-8495、CVE-2018-8423

CVE-2018-8367、CVE-2018-8392

CVE-2018-8461、CVE-2018-8509

发布时间

2018/10/12

影响产品

Microsoft Office Compatibility Pack

Microsoft PowerPoint Viewer 2007

Microsoft Windows Server 2019

Microsoft Windows Server 2016

Microsoft Windows Server 2012

Microsoft Windows Server 2008

Microsoft Office 2016 for Mac

Microsoft Office 365 ProPlus

Microsoft Office Word Viewer

Microsoft Excel Viewer 2007

Microsoft Internet Explorer

Microsoft Windows RT 8.1

Microsoft Windows Server

Microsoft Office 2019

Microsoft Windows 8.1

Microsoft Windows 10

Microsoft ChakraCore

Microsoft Windows 7

Microsoft Edge

3

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2018-20398、CNVD-2018-20666

CNVD-2018-20685、CNVD-2018-20779

CNVD-2018-21192、CNVD-2018-21195

CNVD-2018-21254、CNVD-2018-21257

CNVD-2018-21481、CNVD-2018-21739

本月,Cisco多款产品存在安全漏洞。攻击者可以利用漏洞绕过证书检测,获取敏感信息并以root权限执行任意命令。本月漏洞包括:Cisco Prime Infrastructure任意文件上传漏洞、Cisco Hosted Collaboration Mediation Fulfillment跨站请求伪造漏洞(CNVD-2018-20666)、Cisco IOS XE Software数字签名验证绕过漏洞、Cisco IOS XE Software CLI解析器输入验证漏洞、Cisco Wireless LAN Controller Software GUI权限提升漏洞、Cisco Wireless LAN Controller Software目录遍历漏洞、Cisco SD-WAN证书验证安全绕过漏洞、Cisco Identity Services Engine WEB管理接口任意命令执行漏洞、Cisco Wireless LAN Controller拒绝服务漏洞(CNVD-2018-21481)、Cisco Webex Meetings Desktop App Update Service命令注入漏洞等。

其他编号

CVE-2018-15379、CVE-2018-15401

CVE-2018-15374、CVE-2018-15368

CVE-2018-0417、CVE-2018-0420

CVE-2018-15387、CVE-2018-15425

CVE-2018-0443、CVE-2018-15442

发布时间

2018/10/18

影响产品

Cisco Hosted Collaboration Mediation Fulfillment

Cisco vManage Network Management Software

Cisco Webex Productivity Tools Releases

Cisco vEdge Cloud Router Platform

Cisco vBond Orchestrator Software

Cisco vEdge 5000 Series Routers

Cisco vEdge 2000 Series Routers

Cisco vSmart Controller Software

Cisco Wireless LAN Controllers

Cisco vEdge 100 Series Routers

Cisco Identity Services Engine

Cisco Webex Meetings Desktop App

Cisco Prime Infrastructure

Cisco IOS XE Software

4

IBM多款产品存在漏洞

CNVD编号

CNVD-2018-20570、CNVD-2018-20668

CNVD-2018-20669、CNVD-2018-20782

CNVD-2018-20783、CNVD-2018-21187

CNVD-2018-21191、CNVD-2018-21242

CNVD-2018-22089、CNVD-2018-22090

本月,IBM多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,发起拒绝服务攻击。本月漏洞包括:IBM Networking Operating System信息泄露漏洞、IBM Security Key Lifecycle Manager信息泄露漏洞(CNVD-2018-20668)、IBM Security Key Lifecycle Manager拒绝服务漏洞、IBM Spectrum Symphony和Platform Symphony XML外部实体注入漏洞、IBM Spectrum Symphony和Platform Symphony开放重定向漏洞、IBM BigFix Platform信息泄露漏洞(CNVD-2018-21187)、IBM FileNet Content Manager信息泄露漏洞、IBM Security Key Lifecycle Manager信息泄露漏洞(CNVD-2018-21242)、IBM WebSphere Commerce开放重定向漏洞、IBM WebSphere Commerce信息泄露漏洞(CNVD-2018-22090)等。

其他编号

CVE-2013-0570、CVE-2018-1742

CVE-2018-1741、CVE-2018-1702

CVE-2018-1704、CVE-2017-1231

CVE-2018-1844、CVE-2018-1747

CVE-2018-1807、CVE-2018-1806

发布时间

2018/10/29

影响产品

IBM Networking Operating System

IBM Security Key Lifecycle Manager

IBM FileNet Content Manager

IBM Security Key Lifecycle

IBM Websphere Commerce

IBM Platform Symphony

IBM BigFix platform

5

Oracle多款产品存在漏洞

CNVD编号

CNVD-2018-21087、CNVD-2018-21253

CNVD-2018-21335、CNVD-2018-21471

CNVD-2018-21472、CNVD-2018-21469

CNVD-2018-21474、CNVD-2018-21475

CNVD-2018-21478、CNVD-2018-21477

本月,Oracle多款产品存在安全漏洞。攻击者可利用漏洞影响数据的保密性,完整性和可用性。本月漏洞包括:Oracle WebLogic Server远程代码执行漏洞(CNVD-2015-07707)、Oracle Retail Applications MICROS Retail-J组件越权访问漏洞、Oracle Sun Systems Products Suite Solaris存在拒绝服务漏洞、Oracle MySQL Server拒绝服务漏洞(CNVD-2018-21471、CNVD-2018-21472、CNVD-2018-21469、CNVD-2018-21474、CNVD-2018-21475、CNVD-2018-21478、CNVD-2018-21477)等。

其他编号

CVE-2018-3245、CVE-2018-2887

CVE-2018-3172、CVE-2018-3173

CVE-2018-3200、CVE-2018-3283

CVE-2018-3170、CVE-2018-3212

CVE-2018-3251、CVE-2018-3280

发布时间

2018/10/23

影响产品

Oracle Retail Applications MICROS Retail-J

Oracle Retail Applications Back Office

Oracle Sun Systems Products Suite

Oracle WebLogic Server

Oracle MySQL Server

6

Adobe多款产品存在漏洞

CNVD编号

CNVD-2018-21093、CNVD-2018-21094

CNVD-2018-21095、CNVD-2018-21096

CNVD-2018-21097、CNVD-2018-21098

CNVD-2018-21099、CNVD-2018-21100

CNVD-2018-21101、CNVD-2018-21102

本月,Adobe多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码(越界写入)。本月漏洞包括:Adobe Acrobat和Reader任意代码执行漏洞(CNVD-2018-21093、CNVD-2018-21094、CNVD-2018-21095、CNVD-2018-21096、CNVD-2018-21097、CNVD-2018-21098、CNVD-2018-21099、CNVD-2018-21100、CNVD-2018-21101、CNVD-2018-21102)等。

其他编号

CVE-2018-12868、CVE-2018-15928

CVE-2018-15929、CVE-2018-15933

CVE-2018-15934、CVE-2018-15935

CVE-2018-12861、CVE-2018-12862

CVE-2018-12864、CVE-2018-12865

发布时间

2018/10/17

影响产品

Adobe Acrobat Reader 2017(Classic 2017)

Adobe Acrobat Reader DC(Classic 2015)

Adobe Acrobat Reader DC(Continuous)

Adobe Acrobat 2017(Classic 2017)

Adobe Acrobat DC(Classic 2015)

Adobe Acrobat DC(Continuous)

7

Mozilla多款产品存在漏洞

CNVD编号

CNVD-2018-21814、CNVD-2018-21815

CNVD-2018-21816、CNVD-2018-21817

CNVD-2018-21819、CNVD-2018-21820

CNVD-2018-21821、CNVD-2018-21822

CNVD-2018-21847、CNVD-2018-21850

本月,Mozilla多款产品存在安全漏洞。攻击者可利用漏洞获取内存地址,执行任意代码,造成拒绝服务(崩溃)。本月漏洞包括:Mozilla Firefox和Firefox ESR内存破坏漏洞(CNVD-2018-21814)、Mozilla Firefox内存错误引用漏洞(CNVD-2018-21815、CNVD-2018-21816)、Mozilla Firefox和Firefox ESR栈越界读取漏洞、Mozilla Firefox内存破坏漏洞(CNVD-2018-21819)、Mozilla Firefox代码执行漏洞(CNVD-2018-21820)、Mozilla Firefox和Firefox ESR类型混淆漏洞(CNVD-2018-21821、CNVD-2018-21822)、Mozilla Firefox拒绝服务漏洞(CNVD-2018-21847)、Mozilla Firefox整数溢出漏洞(CNVD-2018-21850)等。

其他编号

CVE-2018-12376、CVE-2018-12377

CVE-2018-12378、CVE-2018-12387

CVE-2018-12375、CVE-2018-12388

CVE-2018-12386、CVE-2018-12392

CVE-2018-12401、CVE-2018-12393

发布时间

2018/10/26

影响产品

Mozilla Thunderbird

Mozilla Firefox ESR

Mozilla Firefox

8

Apache多款产品存在漏洞

CNVD编号

CNVD-2018-20302、CNVD-2018-20305

CNVD-2018-20566、CNVD-2018-20684

CNVD-2018-20787、CNVD-2018-20790

CNVD-2018-20791、CNVD-2018-21788

CNVD-2018-21853、CNVD-2018-22086

本月,Apache多款产品存在安全漏洞。攻击者利用漏洞获取敏感信息,使应用程序崩溃或执行任意代码等。本月漏洞包括:Apache Tomcat开放重定向漏洞、Apache PDFBox parser拒绝服务漏洞、Apache CouchDB任意代码执行漏洞、Apache Tika拒绝服务漏洞(CNVD-2018-20684)、Apache Mesos信息泄露漏洞、Apache Tika拒绝服务漏洞、Apache Ranger UnixAuthenticationService缓冲区溢出漏洞、Apache Pony Mail信息泄露漏洞、Apache Spark信息泄露漏洞、Apache Impala权限获取漏洞等。

其他编号

CVE-2018-11784、CVE-2018-11797

CVE-2018-8007、CVE-2018-11796

CVE-2018-8023、CVE-2018-8017

CVE-2018-11778、CVE-2017-5658

CVE-2018-11804、CVE-2018-11792

发布时间

2018/10/08

影响产品

Apache Spark Maven-based build

Apache Tomcat

Apache PDFBox

Apache CouchDB

Apache Mesos

Apache Tika

Apache Ranger

Apache Pony Mail

Apache Impala

表1 本月重要漏洞信息

1.2 漏洞分类统计

根据漏洞影响对象的类型,漏洞可分为Web应用漏洞、应用程序漏洞、网络设备漏洞(如路由器、交换机等)、数据库漏洞、安全产品漏洞(如防火墙、入侵检测系统等)和操作系统漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前9个月相比,本月数据库漏洞的数量处于高位,操作系统漏洞、应用程序漏洞、web应用漏洞、网络设备漏洞和安全产品漏洞的数量处于低位。


图1 漏洞类型分布

     1.3 漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

EyouCms v1.0.8前台存在命令执行漏洞

CNVD-2018-19304

2018/10/19

2

POSCMS存在文件上传漏洞

CNVD-2018-19303

2018/10/19

3

EyouCms v1.0.8存在信息泄露漏洞

CNVD-2018-19305

2018/10/10

4

海通区块链交易平台存在SQL注入漏洞

CNVD-2018-19301

2018/10/20

5

WordPress插件tajer任意文件上传漏洞

CNVD-2018-21336

2018/10/19

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是EyouCmsv1.0.8前台存在命令执行漏洞,其访问量达到4311次以上。攻击者可利用漏洞远程写入恶意PHP文件,获取服务器权限。

   

 1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞817个,与前9个月平均收录数量1265个相比,处于低位;本月高危漏洞323个,与前9个月高危漏洞平均收录数量420个相比,处于低位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月12日发布的安全漏洞数量最多,高达141个,主要是因为收录了Foxit、Cisco等多款产品存在的多个漏洞。


2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,新华三技术有限公司、北京天融信网络安全技术有限公司、哈尔滨安天科技股份有限公司、北京神州绿盟科技有限公司、华为技术有限公司等单位报送公开收集的漏洞数量较多。山东云天安全技术有限公司、北京圣博润高新技术股份有限公司、远江盛邦(北京)网络安全科技股份有限公司、任子行网络技术股份有限公司、中新网络信息安全股份有限公司、山石网科通信技术有限公司、河南信安世纪科技有限公司、内蒙古奥创科技有限公司、北京明朝万达科技股份有限公司(安元实验室)、广州竞远安全技术股份有限公司、南京联成科技发展股份有限公司、新疆海狼科技有限公司、北京国舜科技股份有限公司、安徽锋刃信息科技有限公司、北京智游网安科技有限公司、北京市电子产品质量检测中心、国家互联网应急中心研究所,北京同余科技有限公司、江苏省信息安全测评中心及其他个人白帽子向CNVD提交了3709个以事件型漏洞为主的原创漏洞。其中包括360网神(补天平台)和漏洞盒子向CNVD共享的白帽子报送的3300条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

漏洞盒子

1181

1181

360网神(补天平台)

938

938

新华三技术有限公司

901

0

北京天融信网络安全技术有限公司

705

43

哈尔滨安天科技股份有限公司

685

0

北京神州绿盟科技有限公司

482

0

华为技术有限公司

476

0

蓝盾信息安全技术有限公司

411

0

中国电信集团系统集成有限责任公司

384

0

北京数字观星科技有限公司

349

0

北京启明星辰信息安全技术有限公司

202

11

恒安嘉新(北京)科技股份公司

143

0

北京知道创宇信息技术有限公司

134

118

深信服科技股份有限公司

123

0

北京无声信息技术有限公司

7

0

山东云天安全技术有限公司

332

332

北京圣博润高新技术股份有限公司

92

92

远江盛邦(北京)网络安全科技股份有限公司

79

79

任子行网络技术股份有限公司

60

60

中新网络信息安全股份有限公司

38

38

山石网科通信技术有限公司

14

14

河南信安世纪科技有限公司

14

14

内蒙古奥创科技有限公司

6

6

北京明朝万达科技股份有限公司(安元实验室)

5

5

广州竞远安全技术股份有限公司

5

5

南京联成科技发展股份有限公司

5

5

新疆海狼科技有限公司

5

5

北京国舜科技股份有限公司

4

4

安徽锋刃信息科技有限公司

2

2

北京智游网安科技有限公司

1

1

北京市电子产品质量检测中心

1

1

国家互联网应急中心研究所,北京同余科技有限公司

1

1

江苏省信息安全测评中心

1

1

个人

344

344

总计

817(去重)

3300

表3 单位和个人上报漏洞统计

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论