登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2019年第3期

2019-04-02 15:04:54

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞1132个,其中高危漏洞343个,中危漏洞689个,低危漏洞100个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1005个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2019-06162、CNVD-2019-06353

CNVD-2019-07175、CNVD-2019-07254

CNVD-2019-07255、CNVD-2019-07256

CNVD-2019-07257、CNVD-2019-07259

CNVD-2019-07365、CNVD-2019-08291

本月,IBM多款产品存在安全漏洞。攻击者可利用漏洞伪造URL,实施钓鱼攻击,获取敏感信息或消耗内存资源,注入代码并以root权限执行代码等。本月漏洞包括:IBM Cloud Private重定向漏洞、IBM InfoSphere Information Server XML外部实体注入漏洞(CNVD-2019-06353)、IBM Security Identity Manager Virtual Appliance信息泄露漏洞(CNVD-2019-07175)、IBM DB2缓冲区溢出漏洞(CNVD-2019-07254、CNVD-2019-07255、CNVD-2019-07256、CNVD-2019-07259)、IBM DB2权限提升漏洞(CNVD-2019-07257)、IBM MQ代码注入漏洞、IBM Sterling B2B Integrator XML外部实体注入漏洞(CNVD-2019-08291)等。

 
 
 
 
 

其他编号

CVE-2018-1939、CVE-2018-1845

CVE-2018-1959、CVE-2018-1980

CVE-2019-4015、CVE-2019-4016

CVE-2019-4094、CVE-2018-1978

CVE-2018-1998、CVE-2019-4043

 
 
 
 
 

发布时间

2019/03/15

 

影响产品

IBM InfoSphere Information Server Business Glossary

IBM InfoSphere Information Server Metadata Workbench

IBM Security Identity Manager Virtual Appliance

IBM InfoSphere Information Server on Cloud

IBM InfoSphere Information Server

IBM Sterling B2B Integrator

IBM Cloud Private

IBM MQ(LTS)

IBM DB2

IBM MQ

 
 
 
 
 
 
 
 

2

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2019-05901、CNVD-2019-06915

CNVD-2019-07197、CNVD-2019-07199

CNVD-2019-07237、CNVD-2019-07239

CNVD-2019-07242、CNVD-2019-07328

CNVD-2019-07329、CNVD-2019-07331

本月,Microsoft多款产品存在安全漏洞。攻击者可以利用漏洞提升权限,欺骗,绕过安全功能限制,获取敏感信息,执行远程代码或发起拒绝服务攻击等。本月漏洞包括:Microsoft Outlook远程代码执行漏洞(CNVD-2019-05901)、Microsoft Word远程执行代码漏洞、Microsoft Windows VBScript Engine远程执行代码漏洞、Microsoft Windows RemoteFX虚拟GPU微型端口驱动程序本地权限提升漏洞、Microsoft ChakraCore和Edge远程内存破坏漏洞、Microsoft Internet Explorer远程内存破坏漏洞(CNVD-2019-07239)、Microsoft Edge远程内存破坏漏洞(CNVD-2019-07242)、Microsoft Windows AppX Deployment Server本地权限提升漏洞、Microsoft Edge和Internet Explorer远程内存破坏漏洞(CNVD-2019-07329)、Microsoft Edge远程权限提升漏洞(CNVD-2019-07331)等。

 
 
 
 
 

其他编号

CVE-2018-8587、CVE-2018-8539

CVE-2018-8544、CVE-2018-8471

CVE-2019-0611、CVE-2019-0763

CVE-2019-0779、CVE-2019-0766

CVE-2019-0780、CVE-2019-0678

 
 
 
 
 

发布时间

2019/03/12

 

影响产品

Microsoft Excel Services on SharePoint Server

Microsoft Windows VBScript Engine

Microsoft Windows Server 2019

Microsoft Windows Server 2016

Microsoft Office 365 ProPlus

Microsoft Windows RemoteFX

Microsoft Internet Explorer

Microsoft Office Web Apps

Microsoft Windows MSRPC

Microsoft Windows Server

Microsoft Outlook 2010

Microsoft Outlook 2013

Microsoft Outlook 2016

Microsoft Office 2019

Microsoft ChakraCore

Microsoft Windows 10

Microsoft Office

Microsoft Edge

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Google多款产品存在安全漏洞

CNVD编号

CNVD-2019-06209、CNVD-2019-06208

CNVD-2019-06210、CNVD-2019-06341

CNVD-2019-07370、CNVD-2019-07371

CNVD-2019-07376、CNVD-2019-07377

CNVD-2019-07981、CNVD-2019-07984

本月,Google多款产品存在安全漏洞。攻击者可利用漏洞权限提升,执行任意代码或造成拒绝服务。本月漏洞包括:Google Chrome内存错误引用漏洞(CNVD-2019-06209、CNVD-2019-06208、CNVD-2019-06210)、Google Chrome FileReader内存错误引用漏洞、Google Android Kernel组件权限提升漏洞(CNVD-2019-07370、CNVD-2019-07371、CNVD-2019-07376、CNVD-2019-07377)、Google Android Framework权限提升漏洞、Google Android NVIDIA组件权限提升漏洞等。

 
 
 
 
 

其他编号

CVE-2019-5764、CVE-2019-5772

CVE-2019-5762、CVE-2019-5786

CVE-2019-2000、CVE-2019-1999

CVE-2019-1994、CVE-2019-1993

CVE-2019-2005、CVE-2018-6241

 
 
 
 
 

发布时间

2019/03/17

 

影响产品

Google Chrome

Google Android

 
 
 
 
 
 
 
 

4

Cisco多款产品存在漏洞

CNVD编号

CNVD-2019-05902、CNVD-2019-05905

CNVD-2019-06587、CNVD-2019-06596

CNVD-2019-06605、CNVD-2019-06606

CNVD-2019-08461、CNVD-2019-08715

CNVD-2019-08717、CNVD-2019-08718

本月,Cisco多款产品存在安全漏洞。攻击者可利用漏洞解密并修改敏感信息,提升权限,以root级别权限注入和执行任意命令,导致拒绝服务。本月漏洞包括:Cisco RV110W、RV130W和RV215W远程命令执行漏洞、Cisco Webex Meetings Desktop App和Cisco Webex Productivity Tools操作系统命令注入漏洞、Cisco HyperFlex Software远程命令注入漏洞、Cisco Nexus 9000 ACI模式权限提升漏洞、Cisco NX-OS权限提升漏洞、Cisco Nexus 9000系列交换矩阵交换机本地命令注入漏洞、Cisco SPA514G拒绝服务漏洞、Cisco IOS和IOS XE代理证书验证漏洞、Cisco IOS和IOS XE输入验证漏洞(CNVD-2019-08717、CNVD-2019-08718)等。

 
 
 
 
 

其他编号

CVE-2019-1663、CVE-2019-1674

CVE-2018-15380、CVE-2019-1585

CVE-2019-1593、CVE-2019-1591

CVE-2018-0389、CVE-2019-1748

CVE-2019-1739、CVE-2019-1740

 
 
 
 
 

发布时间

2019/03/29

 

影响产品

Cisco Small Business SPA514G IP Phones

Cisco WebEx Productivity Tools

Cisco HyperFlex Software

Cisco WebEx Meetings

Cisco Nexus 9000

Cisco RV110W

Cisco RV130W

Cisco RV215W

Cisco IOS XE

Cisco NX-OS

Cisco IOS

 

5

Adobe多款产品存在漏洞

CNVD编号

CNVD-2019-06899、CNVD-2019-06905

CNVD-2019-06906、CNVD-2019-06907

CNVD-2019-06908、CNVD-2019-06909

CNVD-2019-06910、CNVD-2019-06911

CNVD-2019-06912、CNVD-2019-06913

本月,Adobe多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码。本月漏洞包括:Adobe Acrobat和Reader堆栈缓冲区溢出漏洞、Adobe Acrobat和Reader内存错误引用洞(CNVD-2019-06905、CNVD-2019-06906、CNVD-2019-06907、CNVD-2019-06908、CNVD-2019-06909、CNVD-2019-06910、CNVD-2019-06911、CNVD-2019-06912、CNVD-2019-06913)等。

 
 
 
 
 

其他编号

CVE-2018-15998、CVE-2018-15994

CVE-2018-15993、CVE-2018-15992

CVE-2018-15991、CVE-2018-16025

CVE-2018-16014、CVE-2018-16011

CVE-2018-16008、CVE-2018-16003

 
 
 
 
 

发布时间

2019/03/12

 

影响产品

Adobe Acrobat DC (Continuous)(Windows平台)

Adobe Acrobat DC (Continuous)(macOS平台)

Adobe Acrobat Reader DC (Continuous)(Windows平台)

Adobe Acrobat Reader DC (Continuous)(macOS平台)

Adobe Acrobat 2017 (Classic 2017)(Windows平台)

Adobe Acrobat 2017 (Classic 2017)(macOS平台

Adobe Acrobat Reader 2017 (Classic 2017)(Windows平台)

Adobe Acrobat Reader 2017 (Classic 2017)(macOS平台)

Adobe Acrobat DC (Classic 2015)(Windows平台)

Adobe Acrobat DC (Classic 2015)(macOS平台)

Adobe Acrobat Reader DC (Classic 2015)(Windows平台)

Adobe Acrobat Reader DC (Classic 2015)(macOS平台)

 

6

Mozilla多款产品存在安全漏洞

CNVD编号

CNVD-2019-08521、CNVD-2019-08523

CNVD-2019-08522、CNVD-2019-08525

CNVD-2019-08527、CNVD-2019-08529

CNVD-2019-08537、CNVD-2019-08536

CNVD-2019-08538、CNVD-2019-08540

本月,Mozilla多款产品存在安全漏洞。攻击者可利用漏洞实施中间人攻击,任意读取和写入内存,执行任意代码或造成拒绝服务(崩溃)等。本月漏洞包括:Mozilla Firefox和Firefox ESR内存错误引用漏洞(CNVD-2019-08521)、Mozilla Firefox和Firefox ESR内存破坏漏洞(CNVD-2019-08523)、Mozilla Firefox内存破坏漏洞(CNVD-2019-08522、CNVD-2019-08540)、Mozilla Firefox和Firefox ESR命令执行漏洞(CNVD-2019-08525)、Mozilla Firefox和Firefox ESR IonMonkey JIT编译器内存破坏漏洞、Mozilla Firefox缓冲区溢出漏洞(CNVD-2019-08529)、Mozilla Firefox中间人攻击漏洞(CNVD-2019-08537、CNVD-2019-08536)、Mozilla Firefox Firefox Developer Tools代码执行漏洞等。

 
 
 
 
 

其他编号

CVE-2019-9790、CVE-2019-9788

CVE-2019-9789、CVE-2019-9794

CVE-2019-9792、CVE-2019-9813

CVE-2019-9803、CVE-2019-9798

CVE-2019-9804、CVE-2019-9805

 
 
 
 
 

发布时间

2019/03/29

 

影响产品

Mozilla Firefox ESR

Mozilla Firefox

Mozilla Thunderbird ESR

 

7

Apple多款产品存在漏洞

CNVD编号

CNVD-2019-08568、CNVD-2019-08567

CNVD-2019-08569、CNVD-2019-08706

CNVD-2019-08708、CNVD-2019-08707

CNVD-2019-08709、CNVD-2019-08712

CNVD-2019-08711、CNVD-2019-08714

本月,Apple多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码(内存破坏)等。本月漏洞包括:Apple macOS Mojave PackageKit权限提升漏洞、Apple macOS Mojave AppleGraphicsControl缓冲区溢出漏洞、Apple iCloud for Windows iCloud Installer代码执行漏洞、Apple macOS Mojave DiskArbitration逻辑缺陷漏洞、Apple iOS、tvOS和macOS Mojave Siri API漏洞、Apple iOS、tvOS和macOS Mojave Kernel越界读取漏洞、多款Apple产品WebKit内存破坏漏洞(CNVD-2019-08709、CNVD-2019-08712)、Apple iOS、tvOS和macOS Mojave Kernel缓冲区溢出漏洞、多款Apple产品WebKit内存错误引用漏洞(CNVD-2019-08714)等。

 
 
 
 
 

其他编号

CVE-2019-8561、CVE-2019-8555

CVE-2019-6236、CVE-2019-8522

CVE-2019-8502、CVE-2019-6207

CVE-2019-8563、CVE-2019-8559

CVE-2019-8527、CVE-2019-8556

 
 
 
 
 

发布时间

2019/03/29

 

影响产品

Apple macOS Mojave

Apple iCloud for Windows

Apple iOS

Apple tvOS

Apple Safari

Apple AirDrop

 

8

Oracle多款产品存在漏洞

CNVD编号

CNVD-2019-07337、CNVD-2019-07339

CNVD-2019-07341、CNVD-2019-07340

CNVD-2019-07342、CNVD-2019-07344

CNVD-2019-07343、CNVD-2019-07346

CNVD-2019-07348、CNVD-2019-07350

本月,Oracle多款产品存在安全漏洞。攻击者利用漏洞造成拒绝服务(组件挂起或频繁崩溃),影响数据的可用性。本月漏洞包括:Oracle MySQL Server组件拒绝服务漏洞(CNVD-2019-07337、CNVD-2019-07339、CNVD-2019-07341、CNVD-2019-07340、CNVD-2019-07342、CNVD-2019-07344、CNVD-2019-07343、CNVD-2019-07346、CNVD-2019-07348、CNVD-2019-07350)等。

 
 
 
 
 

其他编号

CVE-2018-3084、CVE-2018-3079

CVE-2018-3078、CVE-2018-3080

CVE-2018-3077、CVE-2018-3073

CVE-2018-3075、CVE-2018-3067

CVE-2018-3065、CVE-2018-3063

 
 
 
 
 

发布时间

2019/03/16

 

影响产品

Oracle MySQL Server

 

表1 本月重要漏洞信息


    1.2漏洞被关注情况

根据漏洞影响对象的类型,漏洞可分为Web应用漏洞、应用程序漏洞、网络设备漏洞(如路由器、交换机等)、数据库漏洞、安全产品漏洞(如防火墙、入侵检测系统等)和操作系统漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前2个月相比,本月应用程序漏洞、web应用漏洞、数据库漏洞、网络设备漏洞和安全产品漏洞的数量处于高位,操作系统漏洞的数量处于低位。


图1 漏洞类型分布

     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

凡诺企业网站管理系统(PHP版)后台cm***.php文件存在SQL注入漏洞(CNVD-2019-05487)

CNVD-2019-05487

2019/03/03

2

多款SCALANCE X switches产品镜像端口隔离漏洞

CNVD-2019-07008

2019/03/13

3

Microsoft Windows Win32k提权漏洞

CNVD-2019-03921

2019/03/13

4

POSCMS存在任意文件读取、文件写入漏洞

CNVD-2019-05486

2019/03/03

5

Emerson DCS CE3008 MQ Contronller存在拒绝服务漏洞

CNVD-2019-06196

2019/03/14

表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是凡诺企业网站管理系统(PHP版)后台cm***.php文件存在SQL注入漏洞(CNVD-2019-05487),其访问量达到1897次以上。攻击者可利用该漏洞获取数据库敏感信息。

    

    1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞1132个,与前2个月平均收录数量917个相比,处于高位;本月高危漏洞343个,与前2个月高危漏洞平均收录数量289个相比,处于高位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月29日发布的安全漏洞数量最多,高达143个,主要是因为收录了Mozilla、Apple、SAP等多款产品存在的多个漏洞。


     2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,哈尔滨安天科技集团股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、沈阳东软系统集成工程有限公司、新华三技术有限公司等单位报送公开收集的漏洞数量较多。国瑞数码零点实验室、中新网络信息安全股份有限公司、山东九州信泰信息科技股份有限公司、安徽锋刃信息科技有限公司、北京圣博润高新技术股份有限公司、山东华鲁科技发展股份有限公司、北京长亭科技有限公司、任子行网络技术股份有限公司、长春嘉诚信息技术股份有限公司、南京联成科技发展股份有限公司、北京国舜科技股份有限公司、重庆贝特计算机系统工程有限公司、内蒙古奥创科技有限公司、河南信安世纪科技有限公司、山东云天安全技术有限公司、山石网科通信技术股份有限公司、四川月安客信息技术有限公司、远江盛邦(北京)网络安全科技股份有限公司、广州竞远安全技术股份有限公司、北京安信天行科技有限公司、广西网信信息安全等级保护测评有限公司、中国交通通信信息中心、成都安美勤信息技术股份有限公司、华信咨询设计研究院有限公司、江苏保旺达软件技术有限公司、重庆市信息通信咨询设计院有限公司、安徽长泰信息安全服务有限公司、博雅信安科技(北京)有限公司、广州万方计算机科技有限公司、上海玄猫信息科技有限公司、中移(杭州)信息技术有限公司及其他个人白帽子向CNVD提交了7729个以事件型漏洞为主的原创漏洞。其中包括360网神(补天平台)和漏洞盒子向CNVD共享的白帽子报送的5646条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

漏洞盒子

3469

3469

360网神(补天平台)

2177

2177

哈尔滨安天科技集团股份有限公司

762

0

北京天融信网络安全技术有限公司

693

35

华为技术有限公司

520

0

沈阳东软系统集成工程有限公司

441

1

新华三技术有限公司

397

0

北京数字观星科技有限公司

225

0

中国电信集团系统集成有限责任公司

225

1

北京启明星辰信息安全技术有限公司

230

28

北京神州绿盟科技有限公司

199

0

四川无声信息技术有限公司

198

198

深信服科技股份有限公司

132

0

 恒安嘉新(北京)科技股份公司

96

0

厦门服云信息科技有限公司

82

0

北京知道创宇信息技术有限公司

46

27

西安四叶草信息技术有限公司

7

7

国瑞数码零点实验室

349

349

中新网络信息安全股份有限公司

199

199

山东九州信泰信息科技股份有限公司

109

109

安徽锋刃信息科技有限公司

67

67

北京圣博润高新技术股份有限公司

48

48

山东华鲁科技发展股份有限公司

48

48

北京长亭科技有限公司

47

47

任子行网络技术股份有限公司

46

46

长春嘉诚信息技术股份有限公司

36

36

南京联成科技发展股份有限公司

35

35

北京国舜科技股份有限公司

18

18

重庆贝特计算机系统工程有限公司

16

16

内蒙古奥创科技有限公司

13

13

河南信安世纪科技有限公司

12

12

山东云天安全技术有限公司

11

11

山石网科通信技术股份有限公司

9

9

四川月安客信息技术有限公司

8

8

远江盛邦(北京)网络安全科技股份有限公司

7

7

广州竞远安全技术股份有限公司

6

6

北京安信天行科技有限公司

5

5

广西网信信息安全等级保护测评有限公司

3

3

中国交通通信信息中心

2

2

成都安美勤信息技术股份有限公司

2

2

华信咨询设计研究院有限公司

2

2

江苏保旺达软件技术有限公司

2

2

重庆市信息通信咨询设计院有限公司

2

2

安徽长泰信息安全服务有限公司

1

1

博雅信安科技(北京)有限公司

1

1

广州万方计算机科技有限公司

1

1

上海玄猫信息科技有限公司

1

1

中移(杭州)信息技术有限公司

1

1

个人

679

679

总计

1132(去重)

7729

表3 单位和个人上报漏洞统计
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论