登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2019年第5期

2019-06-04 16:41:29

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞1061个,其中高危漏洞306个,中危漏洞661个,低危漏洞94个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有936个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2019-14454、CNVD-2019-14455

CNVD-2019-14457、CNVD-2019-14456

CNVD-2019-14459、CNVD-2019-14458

CNVD-2019-14460、CNVD-2019-14462

CNVD-2019-14461、CNVD-2019-14463

本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞在受害者系统上执行任意代码。本月漏洞包括:Microsoft Jet Database Engine远程代码执行漏洞(CNVD-2019-14454、CNVD-2019-14455、CNVD-2019-14457、CNVD-2019-14456、CNVD-2019-14459、CNVD-2019-14458、CNVD-2019-14460、CNVD-2019-14462、CNVD-2019-14461、CNVD-2019-14463)等。

 
 
 
 
 

其他编号

CVE-2019-0538、CVE-2019-0575

CVE-2019-0577、CVE-2019-0576

CVE-2019-0579、CVE-2019-0578

CVE-2019-0580、CVE-2019-0582

CVE-2019-0581、CVE-2019-0583

 
 
 
 
 

发布时间

2019/05/16

 

影响产品

Microsoft Windows Server 2016

Microsoft Windows Server 2019

Microsoft Windows Server 2012

Microsoft Windows Server 2008

Microsoft Windows RT 8.1

Microsoft Windows 8.1

Microsoft Windows 10

Microsoft Windows 7

 
 
 
 
 
 
 
 

2

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2019-13251、CNVD-2019-13257

CNVD-2019-13385、CNVD-2019-13396

CNVD-2019-13563、CNVD-2019-13562

CNVD-2019-13851、CNVD-2019-14074

CNVD-2019-14968、CNVD-2019-15162

本月,IBM多款产品存在安全漏洞。攻击者可以利用漏洞通过受影响客户端向服务器发送非预期的请求,执行非法SQL命令,获取敏感信息,导致缓冲区溢出或堆溢出等。本月漏洞包括:IBM InfoSphere Information Analyzer、InfoSphere Information Governance Catalog和InfoSphere Information Server on Cloud信息泄露漏洞、IBM Cúram Social Program Management跨站请求伪造漏洞、IBM TRIRIGA Application Platform信息泄露漏洞(CNVD-2019-13385)、IBM Emptoris Contract Management信息泄露漏洞(CNVD-2019-13396)、IBM Business Process Manager和IBM Business Automation Workflow跨站请求伪造漏洞、IBM Business Automation Workflow和IBM Business Process Manager信息泄露漏洞、IBM BigFix WebUI Software Distribution和IBM BigFix WebUI Profile Management SQL注入漏洞、IBM DB2栈缓冲区溢出漏洞、IBM BigFix Platform跨站脚本漏洞(CNVD-2019-14968)、IBM Tivoli Storage Manager Operations Center信息泄露漏洞等。

 
 
 
 
 

其他编号

CVE-2019-4257、CVE-2018-2001

CVE-2018-2008、CVE-2018-1961

CVE-2018-2000、CVE-2018-1999

CVE-2019-4012、CVE-2018-1936

CVE-2019-4011、CVE-2018-1769

 
 
 
 
 

发布时间

2019/05/10

 

影响产品

IBM InfoSphere Information Governance Catalog

IBM Tivoli Storage Manager Operations Center

IBM BigFix WebUI Software Distribution Site

IBM InfoSphere Information Server on Cloud

IBM BigFix WebUI Profile Management Site

IBM InfoSphere Information Analyzer

IBM Cúram Social Program Management

IBM Business Process Manager(BPM)

IBM TRIRIGA Application Platform

IBM Emptoris Contract Management

IBM Business Automation Workflow

IBM BigFix platform

IBM DB2

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2019-14103、CNVD-2019-14104

CNVD-2019-14437、CNVD-2019-14614

CNVD-2019-14613、CNVD-2019-14615

CNVD-2019-14619、CNVD-2019-14620

CNVD-2019-14621、CNVD-2019-14704

本月,Cisco多款产品存在安全漏洞。攻击者可以利用漏洞泄露系统内存,造成拒绝服务,以提升的权限在底层操作系统上执行任意命令。本月漏洞包括:Cisco IOS NAT64拒绝服务漏洞、Cisco IOS和IOS XE ISDN接口拒绝服务漏洞、Cisco IOS和IOS IP SLA拒绝服务漏洞、Cisco NX-OS命令注入漏洞(CNVD-2019-14614、CNVD-2019-14613、CNVD-2019-14615、CNVD-2019-14619、CNVD-2019-14620、CNVD-2019-14621、Cisco NX-OS Software和Cisco FXOS Software拒绝服务漏洞等。

 
 
 
 
 

其他编号

CVE-2019-1751、CVE-2019-1752

CVE-2019-1737、CVE-2019-1776

CVE-2019-1775、CVE-2019-1778

CVE-2019-1783、CVE-2019-1784

CVE-2019-1790、CVE-2019-1858

 
 
 
 
 

发布时间

2019/05/17

 

影响产品

Cisco NX-OS Software

Cisco FXOS Software

Cisco IOS XE

Cisco IOS

 
 
 
 
 
 
 
 

4

Google多款产品存在安全漏洞

CNVD编号

CNVD-2019-13570、CNVD-2019-13572

CNVD-2019-13571、CNVD-2019-13574

CNVD-2019-13573、CNVD-2019-13576

CNVD-2019-13577、CNVD-2019-13579

CNVD-2019-13578、CNVD-2019-13581

本月,Google多款产品存在安全漏洞。攻击者可利用漏洞提升权限,执行代码,导致缓冲区溢出或堆溢出等。本月漏洞包括:Google Android Broadcom组件远程代码执行漏洞(CNVD-2019-13570)、Google Android seccomp权限提升漏洞、Google Android NVIDIA Pixel C TrustZone组件权限提升漏洞、Google Android System heap.cc文件缓冲区溢出漏洞、Google Android System缓冲区溢出漏洞、Google Android System权限提升漏洞(CNVD-2019-13576)、Google Android System ic.cc文件缓冲区溢出漏洞、Google Android System typer.cc文件越界写入漏洞、Google Android System objects.cc文件远程代码执行漏洞、Google Android Framework SmsDefaultDialog.java文件权限提升漏洞等。

 
 
 
 
 

其他编号

CVE-2018-19860、CVE-2019-2054

CVE-2018-6243、CVE-2019-2052

CVE-2019-2053、CVE-2019-2049

CVE-2019-2047、CVE-2019-2045

CVE-2019-2046、CVE-2019-2043

 
 
 
 
 

发布时间

2019/05/10

 

影响产品

Google Android

 

5

Foxit多款产品存在漏洞

CNVD编号

CNVD-2019-13808、CNVD-2019-13807

CNVD-2019-13812、CNVD-2019-13811

CNVD-2019-13813、CNVD-2019-13815

CNVD-2019-13814、CNVD-2019-13817

CNVD-2019-13818、CNVD-2019-13820

本月,Foxit多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,执行任意代码等。本月漏洞包括:Foxit Reader和Foxit PhantomPDF for Windows缓冲区溢出漏洞(CNVD-2019-13808)、Foxit Reade和Foxit PhantomPDF for Windows路径遍历漏洞、Foxit Reader和Foxit PhantomPDF for Windows信息泄露漏洞(CNVD-2019-13811)、Foxit Reader和Foxit PhantomPDF for Windows越界写入漏洞(CNVD-2019-13813、CNVD-2019-13817、CNVD-2019-13812)、Foxit Reader和Foxit PhantomPDF for Windows越界读取漏洞(CNVD-2019-13818)、Foxit Reader和Foxit PhantomPDF for Windows资源管理错误漏洞(CNVD-2019-13820、CNVD-2019-13815、CNVD-2019-13814)等。

 
 
 
 
 

其他编号

CVE-2019-6755、CVE-2019-6754

CVE-2019-6759、CVE-2019-6758

CVE-2019-6760、CVE-2019-6762

CVE-2019-6761、CVE-2019-6764

CVE-2019-6765、CVE-2019-6767

 
 
 
 
 

发布时间

2019/05/13

 

影响产品

Foxit PhantomPDF

Foxit Reader

 

6

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2019-13386、CNVD-2019-13387

CNVD-2019-13388、CNVD-2019-13389

CNVD-2019-13391、CNVD-2019-13390

CNVD-2019-13392、CNVD-2019-13393

CNVD-2019-13395、CNVD-2019-13394

本月,Adobe多款产品存在安全漏洞。攻击者可利用漏洞获取信息。本月漏洞包括:Adobe Acrobat和Reader越界读取漏洞(CNVD-2019-13386、CNVD-2019-13387、CNVD-2019-13388、CNVD-2019-13389、CNVD-2019-13391、CNVD-2019-13390、CNVD-2019-13392、CNVD-2019-13393、CNVD-2019-13395、CNVD-2019-13394)等。

 
 
 
 
 

其他编号

CVE-2018-15997、CVE-2018-16001

CVE-2018-16002、CVE-2018-16005

CVE-2018-16010、CVE-2018-16006

CVE-2018-16012、CVE-2018-16017

CVE-2018-16023、CVE-2018-16022

 
 
 
 
 

发布时间

2019/05/09

 

影响产品

Adobe|Acrobat DC (Continuous)(Windows平台)

Adobe|Acrobat DC (Continuous)(macOS平台)

Adobe|Acrobat Reader DC (Continuous)(Windows平台)

Adobe|Acrobat Reader DC (Continuous)(macOS平台)

Adobe|Acrobat 2017 (Classic 2017)(Windows平台)

Adobe|Acrobat 2017 (Classic 2017)(macOS平台)

Adobe|Acrobat Reader 2017 (Classic 2017)(Windows平台)

Adobe|Acrobat Reader 2017 (Classic 2017)(macOS平台)

Adobe|Acrobat DC (Classic 2015)(Windows平台)

Adobe|Acrobat DC (Classic 2015)(macOS平台)

Adobe|Acrobat Reader DC (Classic 2015)(Windows平台)

Adobe|Acrobat Reader DC (Classic 2015)(macOS平台)

 

7

Oracle多款产品存在漏洞

CNVD编号

CNVD-2019-14267、CNVD-2019-14566

CNVD-2019-14568、CNVD-2019-14567

CNVD-2019-14888、CNVD-2019-14887

CNVD-2019-14932、CNVD-2019-14934

CNVD-2019-14955、CNVD-2019-14956

本月,Oracle多款产品存在安全漏洞。攻击者可利用漏洞影响数据的保密性,完整性和可用性。本月漏洞包括:Oracle Retail Applications MICROS Retail-J访问控制错误漏洞、Oracle MySQL Server拒绝服务漏洞(CNVD-2019-14566、CNVD-2019-14568、CNVD-2019-14567)、Oracle PeopleSoft Products PeopleSoft Enterprise ELM访问控制错误漏洞、Oracle Supply Chain Products Suite Configurator访问控制错误漏洞、Oracle PeopleSoft Products PeopleSoft Enterprise PT PeopleTools信息泄露漏洞、Oracle PeopleSoft Products PeopleSoft Enterprise HRMS访问控制错误漏洞、Oracle Java SE访问控制错误漏洞、Oracle Commerce Merchandising组件访问控制错误漏洞等。

 
 
 
 
 

其他编号

CVE-2018-2880、CVE-2019-2589

CVE-2019-2584、CVE-2019-2587

CVE-2019-2700、CVE-2019-2567

CVE-2019-2586、CVE-2019-2591

CVE-2019-2699、CVE-2019-2713

 
 
 
 
 

发布时间

2019/05/21

 

影响产品

Oracle Oracle PeopleSoft Products PeopleSoft Enterprise PT PeopleTools

Oracle Oracle PeopleSoft Products PeopleSoft Enterprise HRMS

Oracle Oracle PeopleSoft Products PeopleSoft Enterprise ELM

Oracle Oracle Supply Chain Products Suite Configurator

Oracle Commerce Merchandising

Oracle MICROS Retail-J

Oracle MySQL Server

Oracle Java SE

 

8

Sierra Wireless多款产品存在漏洞

CNVD编号

CNVD-2019-13238、CNVD-2019-13239

CNVD-2019-13240、CNVD-2019-13242

CNVD-2019-13397、CNVD-2019-13406

CNVD-2019-13407、CNVD-2019-13408

CNVD-2019-14394、CNVD-2019-15931

本月,Sierra Wireless多款产品存在安全漏洞。攻击者利用漏洞获取受影响组件敏感信息,更改密码,执行客户端代码等。本月漏洞包括:Sierra Wireless AirLink ES450未授权密码修改漏洞、Sierra Wireless AirLink ES450操作系统命令注入漏洞、Sierra Wireless AirLink ES450信息泄露漏洞(CNVD-2019-13240、CNVD-2019-13242、CNVD-2019-13397、CNVD-2019-13407、CNVD-2019-13408)、Sierra Wireless AirLink ES450跨站请求伪造漏洞、Sierra Wireless AirLink ES450跨站脚本漏洞、Sierra Wireless AirLink ES450权限许可和访问控制问题漏洞等。

 
 
 
 
 

其他编号

CVE-2018-4064、CVE-2018-4061

CVE-2018-4068、CVE-2018-4069

CVE-2018-4067、CVE-2018-4066

CVE-2018-4071、CVE-2018-4070

CVE-2018-4065、CVE-2018-4072

 
 
 
 
 

发布时间

2019/05/07

 

影响产品

Sierra Wireless AirLink ES450 FW

Sierra Wireless AirLink ES450

 

表1 本月重要漏洞信息


    1.2漏洞被关注情况

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前4个月相比,本月应用程序、WEB应用、网络设备(交换机、路由器等网络端设备)和安全产品的数量处于高位,操作系统、数据库和智能设备(物联网终端设备)漏洞的数量处于低位。


图1 漏洞类型分布


     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

信呼oa系统存在SQL注入漏洞

CNVD-2019-09865

2019/05/06

2

北京十度创想科技有限公司企业建站系统存在SQL注入漏洞

CNVD-2019-09597

2019/05/06

3

YxtCMF在线学习系统v6.1存在代码执行漏洞

CNVD-2019-09604

2019/05/06

4

UsualToolCMS存在SQL注入漏洞

CNVD-2019-09598

2019/05/06

5

YxtCMF在线学习系统v3.1版本存在任意文件下载漏洞

CNVD-2019-09603

2019/05/06

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是信呼oa系统存在SQL注入漏洞,其访问量达到3536次以上。攻击者利用漏洞可获得数据库敏感信息。


    1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞1061个,与前4个月平均收录数量962个相比,处于高位;本月高危漏洞306个,与前4个月高危漏洞平均收录数量313个相比,处于低位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月13日和17日发布的安全漏洞数量最多,都高达104个,主要是因为收录了Foxit、Cisco、doorGets等多款产品存在的多个漏洞。

  

    2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、华为技术有限公司、新华三技术有限公司、深信服科技股份有限公司等单位报送公开收集的漏洞数量较多。任子行网络技术股份有限公司、国瑞数码零点实验室、内蒙古奥创科技有限公司、长春嘉诚信息技术股份有限公司、山东云天安全技术有限公司、北京圣博润高新技术股份有限公司、泰山信息科技有限公司、南京众智维信息科技有限公司、北京铭图天成信息技术有限公司、安徽锋刃信息科技有限公司、上海并擎软件科技有限公司、上海银基信息安全技术股份有限公司、河南信安世纪科技有限公司、山东华鲁科技发展股份有限公司、四川无国界信息技术有限公司、山石网科通信技术股份有限公司、中金金融认证中心有限公司、江苏安又恒信息科技有限公司、新疆海狼科技有限公司、广州市眯眼猫信息科技有限公司、四川虹微技术有限公司(子午攻防实验室)、河北华测信息技术有限公司、中国科学院信息工程研究所、北京信联科汇科技有限公司、连连银通电子支付有限公司、深圳个人数据管理服务有限公司及其他个人白帽子向CNVD提交了8330个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)和斗象科技(漏洞盒子)向CNVD共享的白帽子报送的5942条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

斗象科技(漏洞盒子)

4283

4283

奇安信网神(补天平台)

1659

1659

北京天融信网络安全技术有限公司

1191

24

哈尔滨安天科技集团股份有限公司

700

0

华为技术有限公司

538

0

新华三技术有限公司

385

0

深信服科技股份有限公司

374

0

北京启明星辰信息安全技术有限公司

287

0

 恒安嘉新(北京)科技股份公司

268

2

北京数字观星科技有限公司

162

0

北京神州绿盟科技有限公司

160

12

中国电信集团系统集成有限责任公司

144

0

四川无声信息技术有限公司

89

89

中新网络信息安全股份有限公司

86

86

北京知道创宇信息技术有限公司

47

34

南京联成科技发展股份有限公司

36

36

厦门服云信息科技有限公司

30

1

西安四叶草信息技术有限公司

5

5

百度安全响应中心(BSRC)

1

1

南京铱迅信息技术股份有限公司

1

1

沈阳东软系统集成工程有限公司

1

1

任子行网络技术股份有限公司

424

424

国瑞数码零点实验室

285

285

内蒙古奥创科技有限公司

185

185

长春嘉诚信息技术股份有限公司

116

116

山东云天安全技术有限公司

81

81

北京圣博润高新技术股份有限公司

44

44

泰山信息科技有限公司

43

43

南京众智维信息科技有限公司

43

43

北京铭图天成信息技术有限公司

24

24

安徽锋刃信息科技有限公司

23

23

上海并擎软件科技有限公司

22

22

上海银基信息安全技术股份有限公司

15

15

河南信安世纪科技有限公司

11

11

山东华鲁科技发展股份有限公司

9

9

四川无国界信息技术有限公司

8

8

山石网科通信技术股份有限公司

4

4

中金金融认证中心有限公司

4

4

江苏安又恒信息科技有限公司

3

3

新疆海狼科技有限公司

3

3

广州市眯眼猫信息科技有限公司

2

2

四川虹微技术有限公司(子午攻防实验室)

2

2

河北华测信息技术有限公司

1

1

中国科学院信息工程研究所

1

1

北京信联科汇科技有限公司

1

1

连连银通电子支付有限公司

1

1

深圳个人数据管理服务有限公司

1

1

个人

740

740

总计

1061(去重)

8330

表3 单位和个人上报漏洞统计
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论