登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2019年第1期

2019-02-02 19:27:14

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞1057个,其中高危漏洞336个,中危漏洞626个,低危漏洞95个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有953个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Google多款产品存在安全漏洞

CNVD编号

CNVD-2019-00122、CNVD-2019-00124

CNVD-2019-00123、CNVD-2019-00126

CNVD-2019-00125、CNVD-2019-00127

CNVD-2019-00128、CNVD-2019-00129

CNVD-2019-00130、CNVD-2019-00131

本月,Google多款产品存在安全漏洞。攻击者可利用漏洞提升权限,执行任意代码,发起拒绝服务攻击,造成内存破坏等。本月漏洞包括:Google Android Qualcomm组件权限提升漏洞(CNVD-2019-00122、CNVD-2019-00123)、Google Android Qualcomm组件缓冲区溢出漏洞(CNVD-2019-00124、CNVD-2019-00125、CNVD-2019-00127)、Google Android System拒绝服务漏洞(CNVD-2019-00128)、Google Android Kernel组件权限提升漏洞(CNVD-2019-00129、CNVD-2019-00130、CNVD-2019-00131、CNVD-2019-00126)等。

 
 
 
 
 

其他编号

CVE-2018-5905、CVE-2018-5910

CVE-2018-5904、CVE-2018-9464

CVE-2018-5909、CVE-2018-5908

CVE-2018-9447、CVE-2018-9462

CVE-2018-9439、CVE-2018-9463

 
 
 
 
 

发布时间

2019/01/02

 

影响产品

Google Android

 
 
 
 
 
 
 
 

2

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2019-00243、CNVD-2019-00351

CNVD-2019-00354、CNVD-2019-00631

CNVD-2019-00635、CNVD-2019-00760

CNVD-2019-00761、CNVD-2019-00763

CNVD-2019-00804、CNVD-2019-00967

本月,Microsoft多款产品存在安全漏洞。攻击者可以利用漏洞提取权限,执行任意代码,破坏内存,造成拒绝服务(系统崩溃)等。本月漏洞包括:Microsoft Internet Explorer脚本引擎远程代码执行漏、Microsoft Windows SMB服务器拒绝服务漏洞、Microsoft Jet Database Engine缓冲区溢出漏洞(CNVD-2019-00354)、Microsoft DirectX Graphics Kernel本地权限提升漏洞(CNVD-2019-00631)、Microsoft Excel远程代码执行漏洞(CNVD-2019-00635)、Microsoft Chakra Scripting Engine远程内存破坏漏洞、Microsoft Edge Chakra Scripting Engine远程内存破坏漏洞(CNVD-2019-00761)、Microsoft Edge远程内存破坏漏洞(CNVD-2019-00763)、Microsoft PowerPoint远程代码执行漏洞(CNVD-2019-00804)、Microsoft Exchange Server远程执行代码漏洞等。

 
 
 
 
 

其他编号

CVE-2018-8653、CVE-2018-8335

CVE-2018-8393、CVE-2018-8484

CVE-2018-8502、CVE-2019-0539

CVE-2019-0567、CVE-2019-0565

CVE-2018-8501、CVE-2018-8265

 
 
 
 
 

发布时间

2019/01/09

 

影响产品

Microsoft Office PowerPoint Viewer

Microsoft Exchange Server 2016

Microsoft Exchange Server 2013

Microsoft Windows Server 2016

Microsoft Windows Server 2012

Microsoft Windows Server 2008

Microsoft Office 365 ProPlus

Microsoft Internet Explorer

Microsoft PowerPoint 2010

Microsoft PowerPoint 2013

Microsoft PowerPoint 2016

Microsoft Windows Server

Microsoft Windows RT 8.1

Microsoft Office 2013 RT

Microsoft Excel 2013 RT

Microsoft ChakraCore

Microsoft Office 2019

Microsoft Office 2016

Microsoft Office 2010

Microsoft Office 2013

Microsoft Excel 2013

Microsoft Excel 2010

Microsoft Excel 2016

Microsoft Windows 8.1

Microsoft Windows 10

Microsoft Windows 7

Microsoft Edge

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Apple多款产品存在安全漏洞

CNVD编号

CNVD-2019-02758、CNVD-2019-02759

CNVD-2019-02760、CNVD-2019-02761

CNVD-2019-03295、CNVD-2019-03296

CNVD-2019-03314、CNVD-2019-03315

CNVD-2019-03316、CNVD-2019-03317

本月,Apple多款产品存在安全漏洞。攻击者可利用漏洞提取权限,执行任意代码(内存破坏)等。本月漏洞包括:多款Apple产品越界读取漏洞(CNVD-2019-02758、CNVD-2019-02759、CNVD-2019-02760、CNVD-2019-02761)、多款Apple产品WebKit内存破坏漏洞(CNVD-2019-03295、CNVD-2019-03296、CNVD-2019-03315、CNVD-2019-03316、CNVD-2019-03317)、多款Apple产品WebKit类型混淆漏洞(CNVD-2019-03314)等。

 
 
 
 
 

其他编号

CVE-2019-6200、CVE-2019-6202

CVE-2019-6221、CVE-2019-6231

CVE-2019-6233、CVE-2019-6234

CVE-2019-6215、CVE-2019-6216

CVE-2019-6217、CVE-2019-6226

 
 
 
 
 

发布时间

2019/01/30

 

影响产品

Apple iCloud for Windows

Apple macOS High Sierra

Apple macOS Mojave

Apple watchOS

Apple Safari

Apple tvOS

Apple IOS

 
 
 
 
 
 
 
 

4

Adobe多款产品存在漏洞

CNVD编号

CNVD-2019-01912、CNVD-2019-01913

CNVD-2019-01914、CNVD-2019-01915

CNVD-2019-01916、CNVD-2019-01917

CNVD-2019-01918、CNVD-2019-01919

CNVD-2019-01920、CNVD-2019-01921

本月,Adobe多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息等。本月漏洞包括:Adobe Acrobat和Reader越界读取漏洞(CNVD-2019-01912、CNVD-2019-01913、CNVD-2019-01914、CNVD-2019-01915、CNVD-2019-01916、CNVD-2019-01917、CNVD-2019-01918、CNVD-2019-01919、CNVD-2019-01920、CNVD-2019-01921)等。

 
 
 
 
 

其他编号

CVE-2018-12875、CVE-2018-12878

CVE-2018-12879、CVE-2018-12880

CVE-2018-15922、CVE-2018-15923

CVE-2018-15925、CVE-2018-15926

CVE-2018-15927、CVE-2018-15932

 
 
 
 
 

发布时间

2019/01/18

 

影响产品

Adobe Acrobat Reader 2017(Classic 2017)

Adobe Acrobat Reader DC(Classic 2015)

Adobe Acrobat Reader DC(Continuous)

Adobe Acrobat 2017(Classic 2017)

Adobe Acrobat DC(Classic 2015)

Adobe Acrobat DC(Continuous)

 

5

Cisco多款产品存在漏洞

CNVD编号

CNVD-2019-01904、CNVD-2019-01903

CNVD-2019-01928、CNVD-2019-02747

CNVD-2019-02748、CNVD-2019-02787

CNVD-2019-02788、CNVD-2019-02789

CNVD-2019-02790、CNVD-2019-02813

本月,Cisco多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,执行任意代码,造成拒绝服务(设备崩溃)等。本月漏洞包括:Cisco Adaptive Security Appliance Software和Cisco Firepower Threat Defense Software拒绝服务漏洞、Cisco IOS和IOS XE Software拒绝服务漏洞(CNVD-2019-01903)、Cisco IOS Access Points Software拒绝服务漏洞、Cisco Small Business RV320和RV325命令注入漏洞、Cisco Small Business RV320和RV325信息泄露漏洞、Cisco Webex Network Recording Player和Webex Player for Windows缓冲区溢出漏洞(CNVD-2019-02787、CNVD-2019-02788、CNVD-2019-02789、CNVD-2019-02790)、Cisco Identity Services Engine Admin portal信息泄露漏洞等。

 
 
 
 
 

其他编号

CVE-2018-15397、CVE-2018-15369

CVE-2018-0441、CVE-2019-1652

CVE-2019-1653、CVE-2019-1637

CVE-2019-1639、CVE-2019-1640

CVE-2019-1641、CVE-2018-0187

 
 
 
 
 

发布时间

2019/01/25

 

影响产品

Cisco Aironet 1524 Lightweight Outdoor Mesh Access Point

Cisco Adaptive Security Appliance (ASA) Software

Cisco 1522 Lightweight Outdoor Mesh Access Point

Cisco Firepower Threat Defense (FTD) Software

Cisco Industrial Wireless 3702 Access Point

Cisco Aironet 1572EAC Outdoor Access Point

Cisco Aironet 1800 Series Access Points

Cisco Aironet 1572IC Outdoor Access Point

Cisco Aironet 1572EC Outdoor Access Point

Cisco Aironet 1552WU Outdoor Access Point

Cisco Aironet 1552S Outdoor Access Point

Cisco Aironet 1552I Outdoor Access Point

Cisco Aironet 1530i Outdoor Access Point

Cisco Aironet 1530e Outdoor Access Point

Cisco Aironet 3700 Series Access Points

Cisco Aironet 1040 Series Access Point

Cisco WebEx Network Recording Player

Cisco AP803 Integrated Access Point

Cisco AP803 Access Point Module

Cisco Aironet 702W Access Point

Cisco Aironet 702i Access Point

Cisco Aironet 3600i Access Point

Cisco Aironet 3500i Access Point

Cisco Aironet 3500e Access Point

Cisco Aironet 2700e Access Point

Cisco Aironet 1700i Access Points

Cisco Aironet 1600i Access Point

Cisco Aironet 1600e Access Point

Cisco Aironet 1260 Access Point

Cisco Aironet 1140 Access Point

Cisco Cisco Small Business RV320

Cisco Cisco Small Business RV325

Cisco Identity Services Engine

Cisco IOS XE Software

Cisco IOS Software

Cisco WebEx Player

Cisco IOS

 

6

Apache多款产品存在安全漏洞

CNVD编号

CNVD-2019-00360、CNVD-2019-00640

CNVD-2019-00641、CNVD-2019-02392

CNVD-2019-02671、CNVD-2019-02936

CNVD-2019-02941、CNVD-2019-02937

CNVD-2019-02944、CNVD-2019-02942

本月,Apache多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,绕过安全限制,注入命令,发起拒绝服务攻击等。本月漏洞包括:Apache NetBeans远程命令执行漏洞、Apache Thrift Java client library授权问题漏洞、Apache Thrift Node.js static web服务器访问控制错误漏洞、Apache OpenOffice整数溢出漏洞、Apache Subversion拒绝服务漏洞(CNVD-2019-02671)、Apache Airflow SSL证书验证漏洞、Apache Airflow信息泄露漏洞、Apache Airflow远程代码执行漏洞、Apache Karaf  XML外部实体注入漏洞、Apache Airflow跨站请求伪造漏洞等。

 
 
 
 
 

其他编号

CVE-2018-17191、CVE-2018-1320

CVE-2018-11798、CVE-2018-11790

CVE-2018-11803、CVE-2018-20245

CVE-2017-17836、CVE-2017-15720

CVE-2018-11788、CVE-2017-17835

 
 
 
 
 

发布时间

2019/01/27

 

影响产品

Apache Thrift Node.js static web服务器

Apache Thrift Java client library

Apache NetBeans(incubating)

Apache OpenOffice

Apache Subversion

Apache Airflow

Apache Karaf

 

7

Red Hat多款产品存在漏洞

CNVD编号

CNVD-2019-00374、CNVD-2019-00373

CNVD-2019-00375、CNVD-2019-01669

CNVD-2019-02476、CNVD-2019-02477

CNVD-2019-02478、CNVD-2019-02479

CNVD-2019-02480、CNVD-2019-02507

本月,Red Hat多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,执行任意代码,发起拒绝服务攻击等。本月漏洞包括:Red Hat glusterfs任意代码执行漏洞、Red Hat keycloak拒绝服务漏洞、Red Hat glusterfs 'setxattr(2)'函数拒绝服务漏洞、Red Hat Ceph Storage信息泄露漏洞、Red Hat Gluster Storage glusterfs server拒绝服务漏洞、Red Hat Ceph Storage ceph-isci-cli包远程命令注入漏洞、Red Hat PolicyKit未授权访问漏洞、Red Hat Ceph未授权访问漏洞、Red Hat Ceph拒绝服务漏洞(CNVD-2019-02480)、Red Hat Virtualization和Virtualization Host拒绝服务漏洞等。

 
 
 
 
 

其他编号

CVE-2018-14651、CVE-2018-14637

CVE-2018-14660、CVE-2018-16889

CVE-2018-14661、CVE-2018-14649

CVE-2019-6133、CVE-2018-14662

CVE-2018-16846、CVE-2018-1114

 
 
 
 
 

发布时间

2019/01/22

 

影响产品

Red Hat Gluster Storage glusterfs server

Red Hat Virtualization Host

Red Hat Virtualization

Red Hat Ceph Storage

Red Hat glusterfs

Red Hat keycloak

Red Hat glusterfs

Red Hat PolicyKit

Red Hat Ceph

 

8

IBM多款产品存在漏洞

CNVD编号

CNVD-2019-00559、CNVD-2019-00560

CNVD-2019-00561、CNVD-2019-00994

CNVD-2019-01331、CNVD-2019-01334

CNVD-2019-01333、CNVD-2019-01573

CNVD-2019-01574、CNVD-2019-02958

本月,IBM多款产品存在安全漏洞。攻击者利用漏洞获取敏感信息,向Web UI中注入任意JavaScript代码,上传任意文件等。本月漏洞包括:IBM API Connect信息泄露漏洞(CNVD-2019-00559)、IBM Publishing Engine跨站脚本漏洞(CNVD-2019-00560、CNVD-2019-00561)、IBM Security Guardium信息泄露漏洞(CNVD-2019-00994)、IBM Security Identity Manager文件上传漏洞、IBM Security Identity Manager跨站脚本漏洞(CNVD-2019-01334)、IBM SPSS Analytic Server跨站脚本漏洞、多款IBM产品信息泄露漏洞(CNVD-2019-01573、CNVD-2019-01574)、IBM Jazz Reporting Service Report Builder越权访问漏洞等。

 
 
 
 
 

其他编号

CVE-2018-1932、CVE-2018-1951

CVE-2018-1657、CVE-2018-1501

CVE-2018-1969、CVE-2018-1967

CVE-2018-1772、CVE-2018-1694

CVE-2018-1606、CVE-2018-1639

 
 
 
 
 

发布时间

2019/01/15

 

影响产品

IBM Rational Software Architect Design Manager

IBM Rational Engineering Lifecycle Manager

IBM Rational Rhapsody Design Manager

IBM Rational DOORS Next Generation

IBM Jazz Reporting Service(JRS)

IBM Rational Publishing Engine

IBM Security Identity Manager

IBM Rational Quality Manager

IBM Rational Team Concert

IBM SPSS Analytic Server

IBM Security Guardium

IBM API Connect

 
表1 本月重要漏洞信息

    1.2漏洞分类统计

根据漏洞影响对象的类型,漏洞可分为Web应用漏洞、应用程序漏洞、网络设备漏洞(如路由器、交换机等)、数据库漏洞、安全产品漏洞(如防火墙、入侵检测系统等)和操作系统漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与2018年12个月相比,本月应用程序漏洞、数据库漏洞、网络设备漏洞和安全产品漏洞的数量处于高位,操作系统漏洞和web应用漏洞的数量基本持平。


图1 漏洞类型分布


     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

HansCMS V6.0.0存在SQL注入漏洞

CNVD-2018-25894

2019/01/11

2

zzzcms V1.5.7php正式版后台存在代码执行漏洞(CNVD-2018-25899)

CNVD-2018-25899

2019/01/11

3

zzzcms V1.5.7php正式版前台in***.php页面存在SQL注入漏洞

CNVD-2018-25897

2019/01/11

4

zzzcms V1.5.7php正式版后台存在文件上传漏洞

CNVD-2018-25898

2019/01/11

5

ShopsN单商户b2c商城系统v2.3.6存在SQL注入漏洞

CNVD-2018-25895

2019/01/11

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是HansCMSV6.0.0存在SQL注入漏洞,其访问量达到1877次以上。攻击者可利用该漏洞获取数据库敏感信息。

     

     1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞1507个,与2018年每月平均收录数量1184个相比,处于低位;本月高危漏洞336个,与2018年每月高危漏洞平均收录数量408个相比,处于低位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月15日发布的安全漏洞数量最多,高达120个,主要是因为收录了Apple、PHPMyWind等多款产品存在的多个漏洞。

   

     2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、华为技术有限公司、新华三技术有限公司、北京启明星辰信息安全技术有限公司等单位报送公开收集的漏洞数量较多。天津市国瑞数码安全系统股份有限公司、中新网络信息安全股份有限公司、安徽锋刃信息科技有限公司、山东云天安全技术有限公司、任子行网络技术股份有限公司、远江盛邦(北京)网络安全科技股份有限公司、南京联成科技发展股份有限公司、北京国舜科技股份有限公司、北京圣博润高新技术股份有限公司、河南信安世纪科技有限公司、北京山石网科信息技术有限公司、广州竞远安全技术股份有限公司、上海观安信息技术股份有限公司、上海零盾网络科技有限公司、四川博全科技有限公司、新疆海狼科技有限公司、江苏博智软件科技股份有限公司、北京安华金和科技有限公司、北京安信天行科技有限公司、广州万方计算机科技有限公司、江苏百达智慧网络科技有限公司(含光实验室)、普华永道商务咨询(上海)有限公司广州分公司及其他个人白帽子向CNVD提交了8460个以事件型漏洞为主的原创漏洞。其中包括360网神(补天平台)和漏洞盒子向CNVD共享的白帽子报送的5850条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

360网神(补天平台)

1919

1919

漏洞盒子

3931

3931

北京天融信网络安全技术有限公司

936

43

哈尔滨安天科技集团股份有限公司

922

0

华为技术有限公司

633

0

新华三技术有限公司

516

0

北京启明星辰信息安全技术有限公司

300

5

北京神州绿盟科技有限公司

259

0

北京数字观星科技有限公司

259

0

中国电信集团系统集成有限责任公司

266

9

恒安嘉新(北京)科技股份公司

136

0

深信服科技股份有限公司

106

4

北京知道创宇信息技术有限公司

13

4

厦门服云信息科技有限公司

5

0

杭州安恒信息技术股份有限公司

1

1

天津市国瑞数码安全系统股份有限公司

916

916

中新网络信息安全股份有限公司

235

235

安徽锋刃信息科技有限公司

206

206

山东云天安全技术有限公司

205

205

任子行网络技术股份有限公司

100

100

远江盛邦(北京)网络安全科技股份有限公司

37

37

南京联成科技发展股份有限公司

31

31

北京国舜科技股份有限公司

27

27

北京圣博润高新技术股份有限公司

23

23

河南信安世纪科技有限公司

18

18

北京山石网科信息技术有限公司

14

14

广州竞远安全技术股份有限公司

13

13

上海观安信息技术股份有限公司

8

8

上海零盾网络科技有限公司

2

2

四川博全科技有限公司

2

2

新疆海狼科技有限公司

2

2

江苏博智软件科技股份有限公司

1

1

北京安华金和科技有限公司

1

1

北京安信天行科技有限公司

1

1

广州万方计算机科技有限公司

1

1

江苏百达智慧网络科技有限公司(含光实验室)

1

1

普华永道商务咨询(上海)有限公司广州分公司

1

1

个人

699

699

总计

1057(去重)

8460

表3 单位和个人上报漏洞统计

 

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论