登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2019年第4期

2019-05-05 21:13:18

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞881个,其中高危漏洞333个,中危漏洞455个,低危漏洞93个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有801个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2019-09622、CNVD-2019-09621

CNVD-2019-09623、CNVD-2019-09625

CNVD-2019-09624、CNVD-2019-10041

CNVD-2019-10043、CNVD-2019-10042

CNVD-2019-10617、CNVD-2019-10616

本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞在当前用户的上下文中执行任意代码,造成内存破坏。本月漏洞包括:Microsoft Windows Jet Database Engine远程代码执行漏洞(CNVD-2019-09622、CNVD-2019-09621、CNVD-2019-09623、CNVD-2019-09625、CNVD-2019-09624)、Microsoft Windows Win32k权限提升漏洞(CNVD-2019-10041、CNVD-2019-10043、CNVD-2019-10042)、Microsoft Internet Explorer脚本引擎内存破坏漏洞(CNVD-2019-10617、CNVD-2019-10616)等。

 
 
 
 
 

其他编号

CVE-2019-0851、CVE-2019-0879

CVE-2019-0847、CVE-2019-0877

CVE-2019-0846、CVE-2019-0803

CVE-2019-0859、CVE-2019-0685

CVE-2019-0783、CVE-2019-0680

 
 
 
 
 

发布时间

2019/04/11

 

影响产品

Microsoft Windows JET Database Engine

Microsoft Internet Explorer

Microsoft Windows 10

 
 
 
 
 
 
 
 

2

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2019-09065、CNVD-2019-09480

CNVD-2019-09479、CNVD-2019-10285

CNVD-2019-10441、CNVD-2019-10448

CNVD-2019-12165、CNVD-2019-12464

CNVD-2019-12467、CNVD-2019-12760

本月,IBM多款产品存在安全漏洞。攻击者可以利用漏洞获取敏感信息,执行未授权的操作,提升权限,发起拒绝服务攻击等。本月漏洞包括:IBM WebSphere Application Server拒绝服务漏洞(CNVD-2019-09065)、IBM InfoSphere Metadata Asset Manager和InfoSphere Information Server on Cloud SQL注入漏洞、IBM API Connect提权漏洞(CNVD-2019-09479)、IBM Rational Team Concert跨站脚本漏洞(CNVD-2019-10285)、IBM MQ信息泄露漏洞、IBM BigFix Platform未授权操作漏洞、IBM WebSphere Application Server拒绝服务漏洞(CNVD-2019-12165)、IBM Sterling B2B Integrator信息泄露漏洞(CNVD-2019-12464)、IBM Content Navigator输入验证错误漏洞、IBM API Connect信息泄露漏洞(CNVD-2019-12760)等。

 
 
 
 
 

其他编号

CVE-2019-4080、CVE-2018-1994

CVE-2019-4155、CVE-2018-1761

CVE-2018-1925、CVE-2019-4013

CVE-2019-4046、CVE-2019-4146

CVE-2019-4092、CVE-2019-4052

 
 
 
 
 

发布时间

2019/04/18

 

影响产品

IBM InfoSphere Information Server on Cloud

IBM InfoSphere Metadata Asset Manager

IBM WebSphere Application Server

IBM Sterling B2B Integrator

IBM Rational Team Concert

IBM Content Navigator

IBM BigFix platform

IBM API Connect

IBM MQ(LTS)

IBM MQ(CD)

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Apple多款产品存在安全漏洞

CNVD编号

CNVD-2019-09734、CNVD-2019-09733

CNVD-2019-09741、CNVD-2019-09743

CNVD-2019-09746、CNVD-2019-09745

CNVD-2019-09748、CNVD-2019-09747

CNVD-2019-12486、CNVD-2019-12496

本月,Apple多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码(内存破坏)。本月漏洞包括:Apple iOS和Apple macOS Mojave Contacts权限提升漏洞、Apple iOS、tvOS和macOS Mojave configd权限提升漏洞、多款Apple产品WebKit内存破坏漏洞(CNVD-2019-09741、CNVD-2019-09743、CNVD-2019-09746、CNVD-2019-09745、CNVD-2019-09748、CNVD-2019-09747)、Apple macOS High Sierra AMD组件信息泄露漏洞、多款Apple产品Heimdal组件内存破坏漏洞等。

 
 
 
 
 

其他编号

CVE-2019-8511、CVE-2019-8552

CVE-2019-8544、CVE-2019-8523

CVE-2019-8536、CVE-2019-8524

CVE-2019-6201、CVE-2019-8535

CVE-2018-4289、CVE-2018-4343

 
 
 
 
 

发布时间

2019/04/12

 

影响产品

Apple iTunes for Windows

Apple macOS High Sierra

Apple macOS Mojave

Apple AirDrop

Apple watchOS

Apple Safari

Apple tvOS

Apple iOS

 
 
 
 
 
 
 
 

4

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2019-09057、CNVD-2019-09058

CNVD-2019-09060、CNVD-2019-09059

CNVD-2019-09061、CNVD-2019-09063

CNVD-2019-09062、CNVD-2019-10620

CNVD-2019-10621、CNVD-2019-10623

本月,Adobe多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码。本月漏洞包括:Adobe Acrobat和Reader内存错误引用漏洞(CNVD-2019-09057、CNVD-2019-09058、CNVD-2019-09060、CNVD-2019-09059、CNVD-2019-09061、CNVD-2019-09063、CNVD-2019-09062)、Adobe Shockwave Player内存破坏漏洞(CNVD-2019-10620、CNVD-2019-10621、CNVD-2019-10623)等。

 
 
 
 
 

其他编号

CVE-2018-16026、CVE-2018-19700

CVE-2018-19708、CVE-2018-19707

CVE-2018-19713、CVE-2018-19698

CVE-2018-16046、CVE-2019-7104

CVE-2019-7103、CVE-2019-7101

 
 
 
 
 

发布时间

2019/04/19

 

影响产品

Adobe Acrobat DC (Continuous)(Windows平台)

Adobe Acrobat DC (Continuous)(macOS平台)

Adobe Acrobat Reader DC (Continuous)(Windows平台)

Adobe Acrobat Reader DC (Continuous)(macOS平台)

Adobe Acrobat 2017 (Classic 2017)(Windows平台)

Adobe Acrobat 2017 (Classic 2017)(macOS平台)

Adobe Acrobat Reader 2017 (Classic 2017)(Windows平台)

Adobe Acrobat Reader 2017 (Classic 2017)(macOS平台)

Adobe Acrobat DC (Classic 2015)(Windows平台)

Adobe Acrobat DC (Classic 2015)(macOS平台)

Adobe Acrobat Reader DC (Classic 2015)(Windows平台)

Adobe Acrobat Reader DC (Classic 2015)(macOS平台)

Adobe Adobe Shockwave Player

 

5

Oracle多款产品存在漏洞

CNVD编号

CNVD-2019-10370、CNVD-2019-10374

CNVD-2019-10373、CNVD-2019-10376

CNVD-2019-10375、CNVD-2019-11751

CNVD-2019-11750、CNVD-2019-11753

CNVD-2019-11752、CNVD-2019-11755

本月,Oracle多款产品存在安全漏洞。攻击者可利用漏洞造成拒绝服务(挂起或频繁崩溃),影响数据的可用性。本月漏洞包括:Oracle MySQL Server拒绝服务漏洞(CNVD-2019-10370、CNVD-2019-10374、CNVD-2019-10373、CNVD-2019-10376、CNVD-2019-10375、CNVD-2019-11751、CNVD-2019-11750、CNVD-2019-11753、CNVD-2019-11752、CNVD-2019-11755)等。

 
 
 
 
 

其他编号

CVE-2019-2631、CVE-2019-2627

CVE-2019-2628、CVE-2019-2626

CVE-2019-2624、CVE-2019-2681

CVE-2019-2644、CVE-2019-2685

CVE-2019-2683、CVE-2019-2687

 
 
 
 
 

发布时间

2019/04/22

 

影响产品

Oracle MySQL Server

 

6

Google多款产品存在安全漏洞

CNVD编号

CNVD-2019-10464、CNVD-2019-10465

CNVD-2019-10467、CNVD-2019-10466

CNVD-2019-10468、CNVD-2019-10470

CNVD-2019-10469、CNVD-2019-10471

CNVD-2019-10472、CNVD-2019-10473

本月,Google多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,执行任意代码。本月漏洞包括:Google Android缓冲区溢出漏洞(CNVD-2019-10464)、Google Android System信息泄露漏洞(CNVD-2019-10465、CNVD-2019-10467、CNVD-2019-10466、CNVD-2019-10468、CNVD-2019-10470、CNVD-2019-10469、CNVD-2019-10471)、Google Android Framework信息泄露漏洞(CNVD-2019-10472)、Google Android System远程代码执行漏洞(CNVD-2019-10473)等。

 
 
 
 
 

其他编号

CVE-2019-1991、CVE-2019-2022

CVE-2019-2020、CVE-2019-2021

CVE-2019-2019、CVE-2018-9563

CVE-2018-9564、CVE-2018-9561

CVE-2019-2004、CVE-2019-2009

 
 
 
 
 

发布时间

2019/04/19

 

影响产品

Google Android

 

7

CloudBees多款产品存在漏洞

CNVD编号

CNVD-2019-09287、CNVD-2019-09291

CNVD-2019-09294、CNVD-2019-09293

CNVD-2019-09842、CNVD-2019-09841

CNVD-2019-09844、CNVD-2019-09843

CNVD-2019-09846、CNVD-2019-09845

本月,CloudBees多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,绕过沙盒保护,执行恶意操作等。本月漏洞包括:CloudBees Jenkins沙盒绕过漏洞(CNVD-2019-09287、CNVD-2019-09291)、CloudBees Jenkins跨站请求伪造漏洞、CloudBees Jenkins信息泄露漏洞(CNVD-2019-09293)、CloudBees Jenkins Maven Artifact ChoiceListProvider (Nexus) Plugin信息泄露漏洞、CloudBees Jenkins Accurev Plugin信息泄露漏洞、CloudBees Jenkins Anchore Container Image Scanner Plugin信息泄露漏洞、CloudBees Jenkins meliora-testlab Plugin信息泄露漏洞、CloudBees Jenkins Resource Disposer Plugin跨站请求伪造漏洞、CloudBees Jenkins SSH Agent Plugin信息泄露漏洞等。

 
 
 
 
 

其他编号

CVE-2019-1003040、CVE-2019-1003041

CVE-2019-1003046、CVE-2019-1003045

CVE-2018-1999030、CVE-2018-1999028

CVE-2018-1999033、CVE-2018-1999031

CVE-2018-1999037、CVE-2018-1999036

 
 
 
 
 

发布时间

2019/04/12

 

影响产品

CloudBees Jenkins Script Security Plugin

CloudBees Jenkins Pipeline: Groovy Plugin

CloudBees Jenkins Fortify on Demand Uploader Plugin

CloudBees Jenkins ECS Publisher Plugin

CloudBees Jenkins Maven Artifact ChoiceListProvider (Nexus) Plugin

CloudBees Jenkins Accurev Plugin

CloudBees Jenkins Anchore Container Image Scanner Plugin

CloudBees Jenkins meliora-testlab Plugin

CloudBees Jenkins Resource Disposer Plugin

CloudBees Jenkins SSH Agent Plugin

 

8

Cybozu多款产品存在漏洞

CNVD编号

CNVD-2019-12693、CNVD-2019-12692

CNVD-2019-12695、CNVD-2019-12694

CNVD-2019-12696、CNVD-2019-12699

CNVD-2019-12700、CNVD-2019-12702

CNVD-2019-12706、CNVD-2019-12710

本月,Oracle多款产品存在安全漏洞。攻击者利用漏洞被重定向到任意网站,获取敏感信息,执行客户端代码等。本月漏洞包括:Cybozu Garoon开放重定向漏洞(CNVD-2019-12693)、Cybozu Garoon跨站脚本漏洞(CNVD-2019-12692、CNVD-2019-12699、CNVD-2019-12700、CNVD-2019-12706)、Cybozu Garoon访问控制错误漏洞(CNVD-2019-12695、CNVD-2019-12696、CNVD-2019-12710)、Cybozu Garoon信息泄露漏洞(CNVD-2019-12694)、Cybozu Garoon路径遍历漏洞(CNVD-2019-12702)等。

 
 
 
 
 

其他编号

CVE-2019-5946、CVE-2019-5947

CVE-2019-5943、CVE-2019-5945

CVE-2019-5942、CVE-2019-5939

CVE-2019-5938、CVE-2019-5936

CVE-2019-5929、CVE-2019-5934

 
 
 
 
 

发布时间

2019/04/28

 

影响产品

Cybozu Garoon

 

表1 本月重要漏洞信息


    1.3漏洞被关注情况

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前3个月相比,本月操作系统、WEB应用、数据库和智能设备(物联网终端设备)漏洞的数量处于高位,应用程序、网络设备(交换机、路由器等网络端设备)和安全产品的数量处于低位。


图1 漏洞类型分布

     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

SGO南方卫星导航平台软件存在任意代码执行漏洞

CNVD-2019-07682

2019/04/06

2

eZiosuite网络教学平台存在文件上传漏洞

CNVD-2019-06744

2019/04/07

3

SGO南方卫星导航平台软件存在缓冲区溢出漏洞

CNVD-2019-07684

2019/04/06

4

S-CMS企业建站系统Po***.php页面存在SQL注入漏洞

CNVD-2019-06743

2019/04/07

5

济南锐步网络科技有限公司建站系统存在SQL注入漏洞

CNVD-2019-06485

2019/04/07

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是SGO南方卫星导航平台软件存在任意代码执行漏洞,其访问量达到3271次以上。攻击者可利用该漏洞执行任意代码。


    1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞881个,与前3个月平均收录数量989个相比,处于低位;本月高危漏洞333个,与前3个月高危漏洞平均收录数量307个相比,处于高位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月4日发布的安全漏洞数量最多,高达93个,主要是因为收录了Google、Poppler等多款产品存在的多个漏洞。


     2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,哈尔滨安天科技集团股份有限公司、北京天融信网络安全技术有限公司、新华三技术有限公司、华为技术有限公司、深信服科技股份有限公司等单位报送公开收集的漏洞数量较多。长春嘉诚信息技术股份有限公司、国瑞数码零点实验室、中新网络信息安全股份有限公司、安徽锋刃信息科技有限公司、上海并擎软件科技有限公司、任子行网络技术股份有限公司、北京圣博润高新技术股份有限公司、山东云天安全技术有限公司、南京联成科技发展股份有限公司、上海银基信息安全技术股份有限公司、山东华鲁科技发展股份有限公司、山石网科通信技术股份有限公司、内蒙古奥创科技有限公司、重庆贝特计算机系统工程有限公司、四川虹微技术有限公司(子午攻防实验室)、河北华测信息技术有限公司、北京信联科汇科技有限公司、河南信安世纪科技有限公司、江苏通付盾信息安全技术有限公司、广州竞远安全技术股份有限公司、福建国科信息科技有限公司-漏斗社区、上海观安信息技术股份有限公司、成都安美勤信息技术股份有限公司、新疆海狼科技有限公司、中国交通通信信息中心、安徽长泰信息安全服务有限公司、广州万方计算机科技有限公司、广州昊达信息科技有限公司、华信咨询设计研究院有限公司、江苏安又恒信息科技有限公司、广州市眯眼猫信息科技有限公司、上海物盾信息科技有限公司、广州思迈特软件有限公司、浙江鹏信信息科技股份有限公司及其他个人白帽子向CNVD提交了8047个以事件型漏洞为主的原创漏洞。其中包括360网神(补天平台)和漏洞盒子向CNVD共享的白帽子报送的5669条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

漏洞盒子

3779

3779

360网神(补天平台)

1890

1890

哈尔滨安天科技集团股份有限公司

985

0

北京天融信网络安全技术有限公司

983

12

新华三技术有限公司

736

0

华为技术有限公司

491

0

深信服科技股份有限公司

468

0

北京启明星辰信息安全技术有限公司

279

15

北京神州绿盟科技有限公司

156

33

四川无声信息技术有限公司

154

154

北京数字观星科技有限公司

121

0

中国电信集团系统集成有限责任公司

108

0

 恒安嘉新(北京)科技股份公司

85

0

北京知道创宇信息技术有限公司

22

6

厦门服云信息科技有限公司

15

0

南京铱迅信息技术股份有限公司

8

8

西安四叶草信息技术有限公司

1

1

长春嘉诚信息技术股份有限公司

408

408

国瑞数码零点实验室

235

235

中新网络信息安全股份有限公司

225

225

安徽锋刃信息科技有限公司

179

179

上海并擎软件科技有限公司

105

105

任子行网络技术股份有限公司

105

105

北京圣博润高新技术股份有限公司

98

98

山东云天安全技术有限公司

70

70

南京联成科技发展股份有限公司

31

31

上海银基信息安全技术股份有限公司

22

22

山东华鲁科技发展股份有限公司

18

18

山石网科通信技术股份有限公司

13

13

内蒙古奥创科技有限公司

12

12

重庆贝特计算机系统工程有限公司

12

12

四川虹微技术有限公司(子午攻防实验室)

6

6

河北华测信息技术有限公司

5

5

北京信联科汇科技有限公司

5

5

河南信安世纪科技有限公司

5

5

江苏通付盾信息安全技术有限公司

5

5

广州竞远安全技术股份有限公司

4

4

福建国科信息科技有限公司-漏斗社区

3

3

上海观安信息技术股份有限公司

3

3

成都安美勤信息技术股份有限公司

2

2

新疆海狼科技有限公司

2

2

中国交通通信信息中心

1

1

安徽长泰信息安全服务有限公司

1

1

广州万方计算机科技有限公司

1

1

广州昊达信息科技有限公司

1

1

华信咨询设计研究院有限公司

1

1

江苏安又恒信息科技有限公司

1

1

广州市眯眼猫信息科技有限公司

1

1

上海物盾信息科技有限公司

1

1

广州思迈特软件有限公司

1

1

浙江鹏信信息科技股份有限公司

1

1

个人

566

566

总计

881(去重)

8047

表3 单位和个人上报漏洞统计
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论