登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2019年第2期

2019-03-02 13:28:46

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞777个,其中高危漏洞243个,中危漏洞450个,低危漏洞84个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有708个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Google多款产品存在安全漏洞

CNVD编号

CNVD-2019-03708、CNVD-2019-03710

CNVD-2019-03711、CNVD-2019-05111

CNVD-2019-05113、CNVD-2019-05112

CNVD-2019-05114、CNVD-2019-05115

CNVD-2019-05117、CNVD-2019-05116

本月,Google多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,实现权限提升,造成拒绝服务。本月漏洞包括:Google Android System拒绝服务漏洞(CNVD-2019-03708)、Google Android System组件权限提升漏洞(CNVD-2019-03710、CNVD-2019-03711)、Google Android System组件信息泄露漏洞(CNVD-2019-05111、CNVD-2019-05113、CNVD-2019-05112、CNVD-2019-05114、CNVD-2019-05115、CNVD-2019-05117、CNVD-2019-05116)等。

 
 
 
 
 

其他编号

CVE-2018-9456、CVE-2018-9586

CVE-2018-9585、CVE-2018-9594

CVE-2018-9592、CVE-2018-9593

CVE-2018-9591、CVE-2018-9590

CVE-2018-9588、CVE-2018-9589

 
 
 
 
 

发布时间

2019/02/25

 

影响产品

Google Android

 
 
 
 
 
 
 
 

2

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2019-03924、CNVD-2019-03927

CNVD-2019-04150、CNVD-2019-04151

CNVD-2019-04152、CNVD-2019-04153

CNVD-2019-04157、CNVD-2019-04182

CNVD-2019-04184、CNVD-2019-04443

本月,Microsoft多款产品存在安全漏洞。攻击者可以利用漏洞获取敏感信息,提升权限,欺骗,绕过安全功能限制,执行远程代码,或进行拒绝服务攻击。本月漏洞包括:Microsoft Windows GDI组件信息泄露漏洞(CNVD-2019-03924)、Microsoft Windows Domain Name System远程代码执行漏洞、Microsoft Internet Explorer远程内存破坏漏洞( CNVD-2019-04150)、Microsoft Azure IoT Java SDK信息泄露漏洞、Microsoft .NET Framework和Visual Studio欺骗漏洞、Microsoft .NET Framework和Visual Studio远程代码执行漏洞、Microsoft Windows JET Database Engine远程代码执行漏洞(CNVD-2019-04157)、Microsoft Azure IoT Java SDK提权漏洞、Microsoft Exchange Server提权漏洞(CNVD-2019-04184)、Microsoft SharePoint Server信息泄露漏洞等。

 
 
 
 
 

其他编号

CVE-2018-8596、CVE-2018-8626

CVE-2019-0606、CVE-2019-0741

CVE-2019-0657、CVE-2019-0613

CVE-2019-0597、CVE-2019-0729

CVE-2019-0686、CVE-2018-8580

 
 
 
 
 

发布时间

2019/02/15

 

影响产品

Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 26

Microsoft Exchange Server 2013 Cumulative Update 22

Microsoft Exchange Server 2016 Cumulative Update 12

Microsoft Exchange Server 2019 Cumulative Update 1

Microsoft SharePoint Enterprise Server

Microsoft Java SDK for Azure IoT

Microsoft Windows Server 2019

Microsoft Windows Server 2012

Microsoft Windows Server 2016

Microsoft Windows Server 2008

Microsoft Visual Studio 2017

Microsoft Azure IoT Java SDK

Microsoft Windows Server

Microsoft Internet Explorer

Microsoft .NET Framework

Microsoft Windows 7

Microsoft Windows 8.1

Microsoft Windows RT 8.1

Microsoft Windows 10

Microsoft .NET Core

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2019-03932、CNVD-2019-03934

CNVD-2019-05308、CNVD-2019-05316

CNVD-2019-05317、CNVD-2019-05318

CNVD-2019-05319、CNVD-2019-05321

CNVD-2019-05320、CNVD-2019-05322

本月,Adobe多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码(越界写入)。本月漏洞包括:Adobe Acrobat和Reader任意代码执行漏洞(CNVD-2019-03932、CNVD-2019-03934)、Adobe Acrobat和Reader缓冲区溢出漏洞(CNVD-2019-05308、CNVD-2019-05316、CNVD-2019-05317、CNVD-2019-05318、CNVD-2019-05319、CNVD-2019-05321、CNVD-2019-05320、CNVD-2019-05322)等。

 
 
 
 
 

其他编号

CVE-2018-12855、CVE-2018-15951

CVE-2018-12853、CVE-2018-15944

CVE-2018-15945、CVE-2018-15952

CVE-2018-15954、CVE-2018-15940

CVE-2018-15955、CVE-2018-15941

 
 
 
 
 

发布时间

2019/02/26

 

影响产品

Adobe Acrobat 2017(Classic 2017)

Adobe Acrobat DC(Classic 2015)

Adobe Acrobat Reader DC(Continuous)

Adobe Acrobat Reader 2017(Classic 2017)

Adobe Acrobat Reader DC(Classic 2015)

Adobe Acrobat DC(Continuous)

 
 
 
 
 
 
 
 

4

Apple多款产品存在漏洞

CNVD编号

CNVD-2019-04295、CNVD-2019-04296

CNVD-2019-04298、CNVD-2019-04299

CNVD-2019-04302、CNVD-2019-04303

CNVD-2019-04709、CNVD-2019-04710

CNVD-2019-04711、CNVD-2019-04945

本月,Apple多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,执行未授权操作,提升权限,执行任意代码(内存破坏)或造成ASSERT失败。本月漏洞包括:多款Apple产品WebKit拒绝服务漏洞(CNVD-2019-04295、CNVD-2019-04296)、Apple macOS Sierra和macOS High Sierra Hypervisor权限提升漏洞、Apple macOS Sierra和macOS High Sierra Intel Graphics Driver内存破坏漏洞、Apple iOS GasGauge内存破坏漏洞(CNVD-2019-04302)、Apple iOS Calculator未授权操作漏洞、多款Apple产品Kernel远程代码执行漏洞、多款Apple产品Kernel信息泄露漏洞、多款Apple产品WebKit内存破坏漏洞(CNVD-2019-04711)、Apple iOS、tvOS和macOS libxpc任意代码执行漏洞等。

 
 
 
 
 

其他编号

CVE-2018-4213、CVE-2018-4212

CVE-2018-4467、CVE-2018-4452

CVE-2016-7576、CVE-2017-2411

CVE-2018-4189、CVE-2018-4185

CVE-2018-4147、CVE-2019-6218

 
 
 
 
 

发布时间

2019/02/21

 

影响产品

Apple macOS High Sierra

Apple OS X El Capitan

Apple macOS Sierra

Apple Safari

Apple watchOS

Apple tvOS

Apple iOS

 

5

SAP多款产品存在漏洞

CNVD编号

CNVD-2019-04851、CNVD-2019-04855

CNVD-2019-04857、CNVD-2019-04858

CNVD-2019-04860、CNVD-2019-04859

CNVD-2019-04893、CNVD-2019-04896

CNVD-2019-04899、CNVD-2019-04897

本月,SAP多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,绕过安全限制,执行未授权的操作,提升权限,上传任意文件等。本月漏洞包括:SAP HANA Extended Application Service信息泄露漏洞、SAP Cloud Connector代码注入漏洞、SAP BusinessObjects Business Intelligence Platform任意文件上传漏洞、SAP BusinessObjects Business Intelligence Platform跨站脚本漏洞(CNVD-2019-04858)、SAP BW/4HANA远程授权绕过漏洞、SAP Landscape Management信息泄露漏洞(CNVD-2019-04859)、SAP ABAP Application Server Gateway信息泄露漏洞、SAP HANA安全绕过漏洞、SAP Fiori Client代码执行漏洞(CNVD-2019-04899)、SAP NetWeaver AS Java CVE-2018-2492 XML外部实体注入漏洞等。

 
 
 
 
 

其他编号

CVE-2019-0266、CVE-2019-0247

CVE-2019-0259、CVE-2019-0251

CVE-2019-0243、CVE-2019-0249

CVE-2019-0248、CVE-2018-2497

CVE-2018-2485、CVE-2018-2492

 
 
 
 
 

发布时间

2019/02/21

 

影响产品

SAP Cloud Connector

SAP BusinessObjects Business Intelligence Platform

SAP HANA Extended Application Services

SAP Landscape Management

SAP Cloud Connector

SAP NetWeaver AS JAVA

SAP Fiori Client

SAP BW/4HANA

SAP SAP_GWFND

SAP SAP_BASIS

SAP HANA

 

6

LibRaw多款产品存在安全漏洞

CNVD编号

CNVD-2019-05062、CNVD-2019-05063

CNVD-2019-05064、CNVD-2019-05065

CNVD-2019-05066、CNVD-2019-05067

CNVD-2019-05070、CNVD-2019-05071

CNVD-2019-05074、CNVD-2019-05075

本月,LibRaw多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码,发起拒绝服务攻击等。本月漏洞包括:LibRaw 'rollei_load_raw()'函数堆缓冲区溢出漏洞、LibRaw 'leaf_hdr_load_raw()'函数拒绝服务漏洞、LibRaw 'parse_minolta()'函数拒绝服务漏洞、LibRaw 'quicktake_100_load_raw()'函数栈缓冲区溢出漏洞、LibRaw 'parse_qt()'函数整数溢出漏洞、LibRaw 'identify()'函数整数溢出漏洞、LibRaw 'LibRaw::parse_exif()'函数栈缓冲区溢出漏洞、LibRaw 'find_green()'函数栈缓冲区溢出漏洞、LibRaw 'LibRaw::panasonic_load_raw()'函数堆缓冲区溢出漏洞、LibRaw 'LibRaw::xtrans_interpolate()'函数拒绝服务漏洞等。

 
 
 
 
 

其他编号

CVE-2018-5810、CVE-2018-5806

CVE-2018-5813、CVE-2018-5805

CVE-2018-5815、CVE-2018-5816

CVE-2018-5809、CVE-2018-5808

CVE-2017-16909、CVE-2017-16910

 
 
 
 
 

发布时间

2019/02/24

 

影响产品

LibRaw LibRaw

 

7

Intel多款产品存在漏洞

CNVD编号

CNVD-2019-05266、CNVD-2019-05269

CNVD-2019-05268、CNVD-2019-05271

CNVD-2019-05273、CNVD-2019-05276

CNVD-2019-05275、CNVD-2019-05277

CNVD-2019-05278、CNVD-2019-05279

本月,Intel多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,绕过身份验证,提升权限,导致拒绝服务。本月漏洞包括:Intel Data Center Manager SDK拒绝服务漏洞、Intel Data Center Manager SDK信息泄露漏洞、Intel Data Center Manager SDK文件权限提升漏洞(CNVD-2019-05268)、Intel Data Center Manager SDK权限提升漏洞(CNVD-2019-05271、CNVD-2019-05273)、Intel Data Center Manager SDK Web服务器权限提升漏洞、Intel Data Center Manager SDK本地信息泄露漏洞、Intel PROSet Wireless缓冲区溢出漏洞、Intel Unite App权限提升漏洞、Intel USB 3.0 eXtensible Host Controller Driver本地代码注入漏洞等。

 
 
 
 
 

其他编号

CVE-2019-0112、CVE-2019-0110

CVE-2019-0109、CVE-2019-0107

CVE-2019-0106、CVE-2019-0102

CVE-2019-0103、CVE-2018-12159

CVE-2019-0101、CVE-2018-3700

 
 
 
 
 

发布时间

2019/02/26

 

影响产品

Intel USB 3.0 eXtensible Host Controller Driver for Microsoft Windows 7

Intel Data Center Manager SDK

Intel PROSet Wireless

Intel Unite(R) APP

 

8

Zoneminder多款产品存在漏洞

CNVD编号

CNVD-2019-04687、CNVD-2019-04688

CNVD-2019-04689、CNVD-2019-04690

CNVD-2019-04691、CNVD-2019-04692

CNVD-2019-04693、CNVD-2019-04694

CNVD-2019-04696、CNVD-2019-04695

本月,Zoneminder多款产品存在安全漏洞。攻击者利用漏洞注入任意的Web脚本或HTML,执行SQL命令,进行命令注入等。本月漏洞包括:ZoneMinder SQL注入漏洞(CNVD-2019-04687、CNVD-2019-04688、CNVD-2019-04692、CNVD-2019-04693)、ZoneMinder跨站脚本漏洞(CNVD-2019-04689、CNVD-2019-04691、CNVD-2019-04696、CNVD-2019-04695)

ZoneMinder缓冲区溢出漏洞、ZoneMinder命令注入漏洞等。

 
 
 
 
 

其他编号

CVE-2019-8424、CVE-2019-8423

CVE-2019-6992、CVE-2019-6991

CVE-2019-6990、CVE-2019-8429

CVE-2019-8428、CVE-2019-8427

CVE-2019-6777、CVE-2019-8426

 
 
 
 
 

发布时间

2019/02/21

 

影响产品

Zoneminder Zoneminder

 

表1 本月重要漏洞信息


    1.2漏洞被关注情况

根据漏洞影响对象的类型,漏洞可分为Web应用漏洞、应用程序漏洞、网络设备漏洞(如路由器、交换机等)、数据库漏洞、安全产品漏洞(如防火墙、入侵检测系统等)和操作系统漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前12个月相比,本月操作系统漏洞、应用程序漏洞、web应用漏洞、数据库漏洞、网络设备漏洞和安全产品漏洞的数量处于低位。


图1 漏洞类型分布


     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

360网神VPN客户端软件存在权限提升漏洞

CNVD-2019-01343

2019/02/16

2

联通系统集成有限公司山东分公司OA系统存在逻辑缺陷漏洞

CNVD-2018-26939

2019/02/04

3

Microsoft Windows JET Database Engine远程代码执行漏洞(CNVD-2019-04157)

CNVD-2019-04157

2019/02/15

4

Microsoft Windows JET Database Engine远程代码执行漏洞(CNVD-2019-04156)

CNVD-2019-04156

2019/02/15

5

360网神VPN客户端存在代码执行漏洞

CNVD-2019-01342

2019/02/16

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是360网神VPN客户端软件存在权限提升漏洞,其访问量达到1768次以上。攻击者可利用漏洞提交特制请求,以应用程序上下文执行任意代码。


     1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞777个,与前12个月平均收录数量1156个相比,处于低位;本月高危漏洞243个,与前12个月平均收录数量396个相比,处于低位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月26日发布的安全漏洞数量最多,高达124个,主要是因为收录了Adobe、Intel、WordPress等多款产品存在的多个漏洞。


     2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,哈尔滨安天科技集团股份有限公司、华为技术有限公司、北京天融信网络安全技术有限公司、新华三技术有限公司、北京数字观星科技有限公司等单位报送公开收集的漏洞数量较多。天津市国瑞数码安全系统股份有限公司、中新网络信息安全股份有限公司、安徽锋刃信息科技有限公司、任子行网络技术股份有限公司、山东云天安全技术有限公司、山东华鲁科技发展股份有限公司、南京联成科技发展股份有限公司、重庆贝特计算机系统工程有限公司、北京圣博润高新技术股份有限公司、河南信安世纪科技有限公司、远江盛邦(北京)网络安全科技股份有限公司、内蒙古奥创科技有限公司、山石网科通信技术股份有限公司、北京百卓网络技术有限公司、北京国舜科技股份有限公司、北京长亭科技有限公司、成都安美勤信息技术股份有限公司、江苏保旺达软件技术有限公司、江西安服信息产业有限公司、三门峡崤云安全服务有限公司、山东九州信泰信息科技股份有限公司、重庆市信息通信咨询设计院有限公司及其他个人白帽子向CNVD提交了5785个以事件型漏洞为主的原创漏洞。其中包括360网神(补天平台)和漏洞盒子向CNVD共享的白帽子报送的4207条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

漏洞盒子

2846

2846

360网神(补天平台)

1361

1361

哈尔滨安天科技集团股份有限公司

499

0

华为技术有限公司

398

0

北京天融信网络安全技术有限公司

383

41

新华三技术有限公司

277

0

北京数字观星科技有限公司

217

0

北京神州绿盟科技有限公司

216

0

北京启明星辰信息安全技术有限公司

197

7

中国电信集团系统集成有限责任公司

149

4

四川无声信息技术有限公司

148

148

厦门服云信息科技有限公司

61

0

恒安嘉新(北京)科技股份公司

51

51

深信服科技股份有限公司

28

0

北京知道创宇信息技术有限公司

19

0

西安四叶草信息技术有限公司

6

6

杭州安恒信息技术股份有限公司

2

2

沈阳东软系统集成工程有限公司

1

1

天津市国瑞数码安全系统股份有限公司

390

390

中新网络信息安全股份有限公司

147

147

安徽锋刃信息科技有限公司

84

84

任子行网络技术股份有限公司

77

77

山东云天安全技术有限公司

55

55

山东华鲁科技发展股份有限公司

45

45

南京联成科技发展股份有限公司

35

35

重庆贝特计算机系统工程有限公司

16

16

北京圣博润高新技术股份有限公司

10

10

河南信安世纪科技有限公司

9

9

远江盛邦(北京)网络安全科技股份有限公司

9

9

内蒙古奥创科技有限公司

5

5

山石网科通信技术股份有限公司

4

4

北京百卓网络技术有限公司

1

1

北京国舜科技股份有限公司

1

1

北京长亭科技有限公司

1

1

成都安美勤信息技术股份有限公司

1

1

江苏保旺达软件技术有限公司

1

1

江西安服信息产业有限公司

1

1

三门峡崤云安全服务有限公司

1

1

山东九州信泰信息科技股份有限公司

1

1

重庆市信息通信咨询设计院有限公司

1

1

个人

423

423

总计

777(去重)

5785

表3 单位和个人上报漏洞统计
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论