登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2018年第11期

2018-12-05 09:58:27

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞810个,其中高危漏洞308个,中危漏洞449个,低危漏洞53个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有700个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

1

Google多款产品存在安全漏洞

CNVD编号

CNVD-2018-22761、CNVD-2018-22760

CNVD-2018-22762、CNVD-2018-22763

CNVD-2018-22764、CNVD-2018-22766

CNVD-2018-22765、CNVD-2018-22767

CNVD-2018-22769、CNVD-2018-22768

本月,Google多款产品存在安全漏洞。攻击者可利用漏洞提升权限。本月漏洞包括:Google Android Framework权限提升漏洞(CNVD-2018-22761、CNVD-2018-22760、CNVD-2018-22762、CNVD-2018-22763、CNVD-2018-22764、CNVD-2018-22766、CNVD-2018-22765)、Google Android Media framework权限提升漏洞(CNVD-2018-22767、CNVD-2018-22769、CNVD-2018-22768)等。

其他编号

CVE-2018-9525、CVE-2018-9523

CVE-2018-9524、CVE-2018-9522

CVE-2018-9471、CVE-2018-9469

CVE-2018-9470、CVE-2018-9539

CVE-2018-9536、CVE-2018-9537

发布时间

2018/11/08

影响产品

Google Android

2

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2018-22368、CNVD-2018-22371

CNVD-2018-22375、CNVD-2018-22538

CNVD-2018-22923、CNVD-2018-22925

CNVD-2018-22926、CNVD-2018-23253

CNVD-2018-23916、CNVD-2018-24388

本月,IBM多款产品存在安全漏洞。攻击者可以利用漏洞获取数据库敏感信息,提升权限,执行任意代码。本月漏洞包括:IBM WebSphere Application Server Liberty OpenID Connect代码执行漏洞、IBM Kenexa LCMS Premier on Cloud SQL注入漏洞、多款IBM产品GUI权限提升漏洞、IBM Robotic Process Automation with Automation Anywhere远程代码执行漏洞、IBM DB2权限访问控制漏洞、IBM DB2提权漏洞(CNVD-2018-22925、CNVD-2018-22926)、IBM Rational Quality Manager权限提升漏洞、IBM Cloud Private信息泄露漏洞、IBM DB2 db2pdcfg缓冲区溢出漏洞等。

其他编号

CVE-2018-1851、CVE-2017-1797

CVE-2018-1822、CVE-2018-1552

CVE-2018-1802、CVE-2018-1780

CVE-2018-1781、CVE-2017-1738

CVE-2018-1841、CVE-2018-1897

发布时间

2018/11/03

影响产品

IBM Robotic Process Automation with Automation Anywhere Enterprise

IBM Robotic Process Automation with Automation Anywhere

IBM WebSphere Application Server Liberty OpenID Connect

IBM Spectrum Symphony  IBM Platform Symphony

IBM FlashSystem 840 MTMs 9840-AE1

IBM Kenexa LCMS Premier on Cloud

IBM Networking Operating System

IBM Rational Quality Manager

IBM Cloud Private

IBM DB2

3

Oracle多款产品存在安全漏洞

CNVD编号

CNVD-2018-24111、CNVD-2018-24133

CNVD-2018-24134、CNVD-2018-24140

CNVD-2018-24142、CNVD-2018-24143

CNVD-2018-24149、CNVD-2018-24312

CNVD-2018-24313、CNVD-2018-24314

本月,Oracle多款产品存在安全漏洞。攻击者可利用漏洞影响数据的保密性、完整性和可用性。本月漏洞包括:Oracle E-Business Suite信息泄露漏洞、Oracle FLEXCUBE Universal Banking信息泄露漏洞(CNVD-2018-24133、CNVD-2018-24134、CNVD-2018-24140)、Oracle Banking Payments信息泄露漏洞(CNVD-2018-24142、CNVD-2018-24143)、Oracle Banking Payments拒绝服务漏洞、Oracle WebLogic Server存在未明漏洞(CNVD-2018-24312、CNVD-2018-24313、CNVD-2018-24314)。

其他编号

CVE-2018-2994、CVE-2018-2982

CVE-2018-2975、CVE-2018-2979

CVE-2018-3025、CVE-2018-3021

CVE-2018-3022、CVE-2018-3197

CVE-2018-3201、CVE-2018-3252

发布时间

2018/11/28

影响产品

Oracle Corporation WebLogic Server

Oracle FLEXCUBE Universal Banking

Oracle E-Business Suite

Oracle Banking Payments

Oracle WebLogic Server

4

Apple多款产品存在漏洞

CNVD编号

CNVD-2018-22950、CNVD-2018-22952

CNVD-2018-22951、CNVD-2018-22953

CNVD-2018-22955、CNVD-2018-22954

CNVD-2018-22956、CNVD-2018-22958

CNVD-2018-22957、CNVD-2018-22959

本月,Apple多款产品存在安全漏洞。攻击者可利用漏洞以系统权限执行任意代码。本月漏洞包括:Apple macOS内存破坏漏洞(CNVD-2018-22950、CNVD-2018-22952、CNVD-2018-22951、CNVD-2018-22953、CNVD-2018-22955、CNVD-2018-22954、CNVD-2018-22956、CNVD-2018-22958、CNVD-2018-22957、CNVD-2018-22959)等。

其他编号

CVE-2018-4419、CVE-2018-4401

CVE-2018-4340、CVE-2018-4354

CVE-2018-4402、CVE-2018-4341

CVE-2018-4408、CVE-2018-4394

CVE-2018-4350、CVE-2018-4331

发布时间

2018/11/12

影响产品

Apple macOS High Sierra

Apple macOS Sierra

Apple macOS Mojave

5

Foxit多款产品存在漏洞

CNVD编号

CNVD-2018-22404、CNVD-2018-22405

CNVD-2018-22406、CNVD-2018-22407

CNVD-2018-22408、CNVD-2018-22410

CNVD-2018-22409、CNVD-2018-23219

CNVD-2018-23220、CNVD-2018-23224

本月,Foxit多款产品存在安全漏洞。攻击者可利用漏洞在当前进程的上下文中执行代码。本月漏洞包括:Foxit Reader和Foxit PhantomPDF for Windows内存错误引用漏洞(CNVD-2018-22404、CNVD-2018-22405、CNVD-2018-22406、CNVD-2018-22407、CNVD-2018-22408、CNVD-2018-22410、CNVD-2018-22409、CNVD-2018-23219、CNVD-2018-23220、CNVD-2018-23224)等。

其他编号

CVE-2018-17678、CVE-2018-17667

CVE-2018-17687、CVE-2018-17668

CVE-2018-17691、CVE-2018-17666

CVE-2018-17669、CVE-2018-17664

CVE-2018-17665、CVE-2018-17680

发布时间

2018/11/15

影响产品

Foxit PhantomPDF

Foxit Reader

6

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2018-23153、CNVD-2018-23152

CNVD-2018-23218、CNVD-2018-23262

CNVD-2018-23263、CNVD-2018-23749

CNVD-2018-23753、CNVD-2018-23924

CNVD-2018-24092、CNVD-2018-24151

本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码,破坏内存。本月漏洞包括:Microsoft Outlook远程代码执行漏洞(CNVD-2018-23153、CNVD-2018-23152)、Microsoft Edge Chakra脚本引擎内存破坏漏洞(CNVD-2018-23218、CNVD-2018-23262、CNVD-2018-23263)、Microsoft Excel远程代码执行漏洞(CNVD-2018-23749)、Microsoft Word远程代码执行漏洞(CNVD-2018-23753)、Microsoft Internet Explorer远程内存破坏漏洞(CNVD-2018-23924)、Microsoft Excel远程代码执行漏洞(CNVD-2018-24092)、Microsoft Team Foundation Server代码执行漏洞等。

其他编号

CVE-2018-8522、CVE-2018-8524

CVE-2018-8541、CVE-2018-8588

CVE-2018-8557、CVE-2018-8574

CVE-2018-8573、CVE-2018-8570

CVE-2018-8577、CVE-2018-8529

发布时间

2018/11/23

影响产品

Microsoft Excel Services(Microsoft SharePoint Server 2010 SP2)

Microsoft Office Web Apps Server 2013

Microsoft Team Foundation Server 2018

Microsoft Office Compatibility Pack

Microsoft Windows Server 2008

Microsoft Office 2016 for Mac

Microsoft Office 2019 for Mac

Microsoft Office 365 ProPlus

Microsoft Internet Explorer

Microsoft Excel Viewer 2007

Microsoft Office 2013 RT

Microsoft Excel 2013 RT

Microsoft Office 2019

Microsoft Office 2016

Microsoft Office 2010

Microsoft Office 2013

Microsoft Excel 2016

Microsoft Excel 2010

Microsoft Word 2013

Microsoft Word 2016

Microsoft Word 2010

Microsoft Windows 7

Microsoft Outlook

Microsoft Edge

7

Huawei多款产品存在漏洞

CNVD编号

CNVD-2018-22278、CNVD-2018-22641

CNVD-2018-22640、CNVD-2018-23257

CNVD-2018-23259、CNVD-2018-23258

CNVD-2018-23260、CNVD-2018-23261

CNVD-2018-23897、CNVD-2018-24196

本月,Huawei多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,绕过权限校验执行特定操作,发起拒绝服务攻击等。本月漏洞包括:Huawei手表权限控制漏洞、多款Huawei手机认证绕过漏洞、Huawei Emily-AL00A手机锁屏绕过漏洞、Huawei智能手机FRP绕过漏洞、华为eSpace产品使用短秘钥漏洞、华为eSpace产品 SRTP标识显示漏洞、华为eSace产品使用匿名TLS算法套漏洞、Huawei FusionSphere OpenStack信息泄露漏洞、Huawei Honor 7A和Honor 9 Lite信息泄露漏洞、Huawei P20内存写越界漏洞等。

其他编号

CVE-2018-7926、CVE-2018-7910

CVE-2018-7925、CVE-2018-7988

CVE-2018-7959、CVE-2018-7960

CVE-2018-7958、CVE-2018-7977

CVE-2018-7946、CVE-2018-7987

发布时间

2018/11/16

影响产品

Huawei FusionSphere OpenStack

Huawei Honor 9 Lite

Huawei Emily-AL00A

Huawei Nova 2 Plus

Huawei eSpace 7950

Huawei Mate 9 Pro

Huawei 华为手表2

Huawei ALP-AL00B

Huawei ALP-TL00B

Huawei BLA-AL00B

Huawei BLA-L09C

Huawei BLA-L29C

Huawei BLA-L29C

Huawei Honor 7A

Huawei P20

8

Linux多款产品存在漏洞

CNVD编号

CNVD-2018-22315、CNVD-2018-24031

CNVD-2018-24029、CNVD-2018-24296

CNVD-2018-24381、CNVD-2018-24382

CNVD-2018-24386、CNVD-2018-24384

CNVD-2018-24385、CNVD-2018-24387

本月,Linux多款产品存在安全漏洞。攻击者利用漏洞获取敏感信息,提升权限或造成拒绝服务等。本月漏洞包括:Linux kernel 'cdrom_ioctl_select_disc'函数信息泄露漏洞、Linux kernel 'mm/vmacache.c'本地权限提升漏洞、Linux Kernel 'fs/proc/base.c'本地信息泄露漏洞、Linux kernel信息泄露漏洞(CNVD-2018-24296)、Linux kernel越界访问漏洞(CNVD-2018-24381、CNVD-2018-24382)、Linux kernel内存错误引用漏洞(CNVD-2018-24386、CNVD-2018-24384)、Linux kernel越界访问漏洞(CNVD-2018-24385)、Linux kernel内存错误引用漏洞(CNVD-2018-24387)等。

其他编号

CVE-2018-18710、CVE-2018-17182

CVE-2018-17972、CVE-2018-16862

CVE-2018-10877、CVE-2018-10881

CVE-2018-10879、CVE-2018-14611

CVE-2018-14610、CVE-2018-10876

发布时间

2018/11/30

影响产品

Linux kernel

表1 本月重要漏洞信息

1.2漏洞分类统计

根据漏洞影响对象的类型,漏洞可分为Web应用漏洞、应用程序漏洞、网络设备漏洞(如路由器、交换机等)、数据库漏洞、安全产品漏洞(如防火墙、入侵检测系统等)和操作系统漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前10个月相比,本月操作系统漏洞的数量处于高位,应用程序漏洞、web应用漏洞、网络设备漏洞和安全产品漏洞的数量处于低位,数据库漏洞的数量处于基本持平。


图1 漏洞类型分布

     1.3漏洞被关注情况

       根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

鸿庭金融CRM客户管理软件存在SQL注入漏洞

CNVD-2018-22140

2018/11/25

2

JEESNS存在XSS漏洞

CNVD-2018-22163

2018/11/17

3

梦行商企建站系统存在SQL注入漏洞

CNVD-2018-22135

2018/11/26

4

Huawei智能手机FRP绕过漏洞

CNVD-2018-23257

2018/11/16

5

华为eSpace产品SRTP标识显示漏洞

CNVD-2018-23258

2018/11/16

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是鸿庭金融CRM客户管理软件存在SQL注入漏洞,其访问量达到2428次以上。攻击者可利用该漏洞获取数据库敏感信息。

  

     1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞810个,与前10个月平均收录数量1220个相比,处于低位;本月高危漏洞308个,与前10个月高危漏洞平均收录数量411个相比,处于低位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月28日发布的安全漏洞数量最多,高达103个,主要是因为收录了Oracle、TIBCO等多款产品存在的多个漏洞。

   

     2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,哈尔滨安天科技集团股份有限公司、北京天融信网络安全技术有限公司、新华三技术有限公司、华为技术有限公司、沈阳东软系统集成工程有限公司等单位报送公开收集的漏洞数量较多。山东云天安全技术有限公司、北京圣博润高新技术股份有限公司、远江盛邦(北京)网络安全科技股份有限公司、中新网络信息安全股份有限公司、任子行网络技术股份有限公司、南京联成科技发展股份有限公司、安徽锋刃信息科技有限公司、北京信联科汇科技有限公司、广州竞远安全技术股份有限公司、北京国舜科技股份有限公司、河北盾安科技有限公司、河南信安世纪科技有限公司、内蒙古奥创科技有限公司、山石网科通信技术有限公司、上海启疆信息科技有限公司、长春嘉诚信息技术股份有限公司、浙江鹏信信息科技股份有限公司、上海揆安网络科技有限公司、海南神州希望网络有限公司、上海启疆信息科技有限公司、北京明朝万达科技股份有限公司(安元实验室)、北京安码科技有限公司、北京长亭科技有限公司、江苏省信息安全测评中心、上海银基信息安全技术股份有限公司及其他个人白帽子向CNVD提交了5649个以事件型漏洞为主的原创漏洞。其中包括360网神(补天平台)和漏洞盒子向CNVD共享的白帽子报送的4232条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

360网神(补天平台)

2344

2344

漏洞盒子

1888

1888

哈尔滨安天科技集团股份有限公司

893

0

北京天融信网络安全技术有限公司

882

41

新华三技术有限公司

758

0

华为技术有限公司

644

0

沈阳东软系统集成工程有限公司

500

5

北京启明星辰信息安全技术有限公司

348

34

中国电信集团系统集成有限责任公司

292

0

北京神州绿盟科技有限公司

252

0

北京数字观星科技有限公司

233

0

深信服科技股份有限公司

169

0

恒安嘉新(北京)科技股份公司

133

1

北京知道创宇信息技术有限公司

26

8

四川无声信息技术有限公司

5

0

沈阳东软系统集成工程有限公司

5

5

杭州安恒信息技术股份有限公司

2

2

山东云天安全技术有限公司

400

400

北京圣博润高新技术股份有限公司

103

103

远江盛邦(北京)网络安全科技股份有限公司

72

72

中新网络信息安全股份有限公司

55

55

任子行网络技术股份有限公司

32

32

南京联成科技发展股份有限公司

18

18

安徽锋刃信息科技有限公司

15

15

北京信联科汇科技有限公司

15

15

广州竞远安全技术股份有限公司

13

13

北京国舜科技股份有限公司

12

12

河北盾安科技有限公司

9

9

河南信安世纪科技有限公司

7

7

内蒙古奥创科技有限公司

7

7

山石网科通信技术有限公司

4

4

上海启疆信息科技有限公司

4

4

长春嘉诚信息技术股份有限公司

4

4

浙江鹏信信息科技股份有限公司

3

3

上海揆安网络科技有限公司

2

2

海南神州希望网络有限公司

1

1

上海启疆信息科技有限公司

1

1

北京明朝万达科技股份有限公司(安元实验室)

1

1

北京安码科技有限公司

1

1

北京长亭科技有限公司

1

1

江苏省信息安全测评中心

1

1

上海银基信息安全技术股份有限公司

1

1

个人

539

539

总计

810(去重)

5649

表3 单位和个人上报漏洞统计
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论