登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2019年第6期

2019-07-02 17:14:58

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞952个,其中高危漏洞320个,中危漏洞494个,低危漏洞138个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有841个。

1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2019-16184、CNVD-2019-16185

CNVD-2019-16202、CNVD-2019-16201

CNVD-2019-16215、CNVD-2019-16217

CNVD-2019-17523、CNVD-2019-17525

CNVD-2019-17526、CNVD-2019-17528

本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码,造成内存破坏等。本月漏洞包括:Microsoft Windows Hyper-V远程执行代码漏洞(CNVD-2019-16184、CNVD-2019-16185)、Microsoft Edge和ChakraCore缓冲区溢出漏洞(CNVD-2019-16202、CNVD-2019-16201、CNVD-2019-16215、CNVD-2019-16217)、Microsoft Windows Jet Database Engine缓冲区溢出漏洞(CNVD-2019-17523、CNVD-2019-17525)、Microsoft Internet Explorer VBScript Engine远程代码执行漏洞、Microsoft Internet Explorer远程代码执行漏洞(CNVD-2019-17528)等。

 
 
 
 
 

其他编号

CVE-2019-0551、CVE-2019-0550

CVE-2019-0916、CVE-2019-0915

CVE-2019-0913、CVE-2019-0912

CVE-2019-0895、CVE-2019-0894

CVE-2019-0862、CVE-2019-0753

 
 
 
 
 

发布时间

2019/06/16

 

影响产品

Microsoft Windows Server 2012

Microsoft Windows Server 2008

Microsoft Windows Server 2019

Microsoft Windows Server 2016

Microsoft Internet Explorer

Microsoft Windows Server

Microsoft Windows RT 8.1

Microsoft Windows 8.1

Microsoft Windows 10

Microsoft ChakraCore

Microsoft Windows 7

Microsoft Edge

 
 
 
 
 
 
 
 

2

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2019-16840、CNVD-2019-18734

CNVD-2019-18752、CNVD-2019-18860

CNVD-2019-18899、CNVD-2019-19047

CNVD-2019-19474、CNVD-2019-19473

CNVD-2019-19823、CNVD-2019-19824

本月,Cisco多款产品存在安全漏洞。攻击者可以利用漏洞获取敏感信息,提升权限,执行任意代码,发起拒绝服务攻击等。本月漏洞包括:Cisco Industrial Network Director远程代码执行漏洞、Cisco RV110W、RV130W、RV215W管理界面拒绝服务漏洞、Cisco Prime Service Catalog跨站请求伪造漏洞(CNVD-2019-18752)、Cisco StarOS拒绝服务漏洞、Cisco Integrated Management Controller操作系统命令注入漏洞(CNVD-2019-18899)、Cisco SD-WAN Solution命令注入漏洞(CNVD-2019-19047)、Cisco Data Center Network Manager任意文件上传漏洞、Cisco Data Center Network Manager任意文件下载漏洞、Cisco Elastic Services Controller Software授权问题漏洞、Cisco Data Center Network Manager认证绕过漏洞等。

 
 
 
 
 

其他编号

CVE-2019-1861、CVE-2019-1843

CVE-2019-1874、CVE-2019-1869

CVE-2019-1627、CVE-2019-1624

CVE-2019-1620、CVE-2019-1621

CVE-2019-1867、CVE-2019-1619

 
 
 
 
 

发布时间

2019/06/27

 

影响产品

Cisco Cisco Data Center Network Manager

Cisco Integrated Management Controller

Cisco Elastic Services Controller

Cisco Industrial Network Director

Cisco Prime Service Catalog

Cisco SD-WAN Solution

Cisco RV110W

Cisco RV130W

Cisco RV215W

Cisco StarOS

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2019-19837、CNVD-2019-19838

CNVD-2019-19839、CNVD-2019-19840

CNVD-2019-19841、CNVD-2019-19842

CNVD-2019-19843、CNVD-2019-19844

CNVD-2019-19845、CNVD-2019-19846

本月,Adobe多款产品存在安全漏洞。攻击者可以利用漏洞执行任意代码。本月漏洞包括:Adobe Acrobat/Reader内存错误引用漏洞(CNVD-2019-19837、CNVD-2019-19838、CNVD-2019-19839、CNVD-2019-19840、CNVD-2019-19841、CNVD-2019-19842、CNVD-2019-19843、CNVD-2019-19844、CNVD-2019-19845、CNVD-2019-19846)等。

 
 
 
 
 

其他编号

CVE-2019-7760、CVE-2019-7761

CVE-2019-7762、CVE-2019-7763

CVE-2019-7764、CVE-2019-7765

CVE-2019-7766、CVE-2019-7767

CVE-2019-7768、CVE-2019-7772

 
 
 
 
 

发布时间

2019/06/30

 

影响产品

Adobe Acrobat Reader DC (Continuous)

Adobe Acrobat 2017 (Classic 2017)

Adobe Acrobat Reader 2017 (Classic 2017)

Adobe Acrobat DC (Classic 2015)

Adobe Acrobat Reader DC (Classic 2015)

Adobe Acrobat DC (Continuous )

 
 
 
 
 
 
 
 

4

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2019-16416、CNVD-2019-17144

CNVD-2019-17153、CNVD-2019-17155

CNVD-2019-18510、CNVD-2019-18726

CNVD-2019-18731、CNVD-2019-18838

CNVD-2019-18843、CNVD-2019-19297

本月,IBM多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,执行任意代码等。本月漏洞包括:IBM i2 Intelligent Analyis Platform XML外部实体漏洞、IBM PureApplication System信息泄露漏洞(CNVD-2019-17144)、IBM Water Operations for Waternamics和IBM Intelligent Operations Center输入验证错误漏洞、IBM Intelligent Operations Center和IBM Water Operations for Waternamics文件上传漏洞、IBM WebSphere Application Server ND远程代码执行漏洞、IBM Maximo Asset Management CSV注入漏洞、IBM Marketing Platform信息泄露漏洞、IBM Sterling B2B Integrator信息泄露漏洞(CNVD-2019-18838)、IBM Cognos Controller信息泄露漏洞(CNVD-2019-18843)、IBM Security Access Manager Appliance开放重定向漏洞等。

 
 
 
 
 

其他编号

CVE-2019-4062、CVE-2019-4225

CVE-2019-4066、CVE-2019-4069

CVE-2019-4279、CVE-2019-4364

CVE-2017-1107、CVE-2019-4377

CVE-2019-4173、CVE-2019-4153

 
 
 
 
 

发布时间

2019/06/21

 

影响产品

IBM IBM Security Access Manager Appliance(ISAM Appliance)

IBM Intelligent Operations Center for Emergency Management

IBM Water Operations for Waternamics

IBM WebSphere Application Server ND

IBM Intelligent Operations Center

IBM i2 Analyst's Notebook Premium

IBM Sterling B2B Integrator

IBM Maximo Asset Management

IBM i2 Analyst's Notebook

IBM PureApplication System

IBM Marketing Platform

IBM Cognos Controller

 

5

Mozilla多款产品存在漏洞

CNVD编号

CNVD-2019-16993、CNVD-2019-17474

CNVD-2019-17476、CNVD-2019-17475

CNVD-2019-17486、CNVD-2019-17485

CNVD-2019-18610、CNVD-2019-19289

CNVD-2019-19317、CNVD-2019-19318

本月,Mozilla多款产品存在安全漏洞。攻击者可利用漏洞绕过安全限制,提交特殊的WEB页请求,诱使用户解析,可使应用程序崩溃或执行任意代码。本月漏洞包括:Mozilla Firefox和Mozilla Firefox ESR XMLHttpRequest内存错误引用漏洞、Mozilla Firefox和Mozilla Firefox ESR内存破坏漏洞、Mozilla Firefox和Mozilla Firefox ESR内存错误引用漏洞、Mozilla Firefox和Mozilla Firefox ESR类型混淆漏洞、Mozilla Firefox内存错误引用漏洞(CNVD-2019-17486)、Mozilla Firefox命令执行漏洞、Mozilla Firefox和Mozilla Firefox ESR类型混淆漏洞、Mozilla Firefox和Firefox ESR安全绕过漏洞(CNVD-2019-19289)、Mozilla Thunderbird堆缓冲区溢出漏洞(CNVD-2019-19317、CNVD-2019-19318)等。

 
 
 
 
 

其他编号

CVE-2019-11691、CVE-2019-9800

CVE-2019-9820、CVE-2019-9816

CVE-2019-9821、CVE-2019-11696

CVE-2019-11707、CVE-2019-11708

CVE-2019-11704、CVE-2019-11705

 
 
 
 
 

发布时间

2019/06/15

 

影响产品

Mozilla Thunderbird

Mozilla Firefox ESR

Mozilla Firefox

 

6

Oracle多款产品存在安全漏洞

CNVD编号

CNVD-2019-16231、CNVD-2019-16233

CNVD-2019-16232、CNVD-2019-16234

CNVD-2019-16235、CNVD-2019-16236

CNVD-2019-16238、CNVD-2019-16237

CNVD-2019-16274、CNVD-2019-16277

本月,Oracle多款产品存在安全漏洞。攻击者可利用漏洞影响数据的保密性、完整性和可用性。本月漏洞包括:Oracle MySQL Server拒绝服务漏洞(CNVD-2019-16231、CNVD-2019-16233、CNVD-2019-16232、CNVD-2019-16234)、Oracle JD Edwards Products JD Edwards EnterpriseOne Tools访问控制错误漏洞、Oracle Retail Applications Retail Point-of-Service访问控制错误漏洞、Oracle Siebel CRM Siebel Core-Server BizLogic Script访问控制错误漏洞、Oracle Enterprise Manager Products Suite Application Testing Suite访问控制错误漏洞、Oracle E-Business Suite One-to-One Fulfillment访问控制错误漏洞、Oracle JD Edwards Products JD Edwards World Technical Foundation访问控制错误漏洞等。

 
 
 
 
 

其他编号

CVE-2019-2585、CVE-2019-2693

CVE-2019-2581、CVE-2019-2580

CVE-2019-2564、CVE-2019-2558

CVE-2019-2570、CVE-2019-2557

CVE-2019-2551、CVE-2019-2565

 
 
 
 
 

发布时间

2019/06/02

 

影响产品

Oracle JD Edwards EnterpriseOne Tools

Oracle Oracle Retail Point-of-Service

Oracle Siebel Core - Server BizLogic Script

Oracle Oracle Application Testing Suite

Oracle JD Edwards World Technical Foundation

Oracle E-Business Suite

Oracle MySQL Server

 

7

Moxa多款产品存在漏洞

CNVD编号

CNVD-2019-17001、CNVD-2019-17000

CNVD-2019-17002、CNVD-2019-17004

CNVD-2019-17006、CNVD-2019-17005

CNVD-2019-17008、CNVD-2019-17007

CNVD-2019-17010、CNVD-2019-17009

本月,Moxa多款产品存在安全漏洞。攻击者可利用漏洞执行非法命令,导致缓冲区溢出或堆溢出等。本月漏洞包括:Moxa AWK-3121缓冲区溢出漏洞(CNVD-2019-17001、CNVD-2019-17002、CNVD-2019-17008、CNVD-2019-17010)、Moxa AWK-3121信息泄露漏洞、Moxa AWK-3121命令注入漏洞(CNVD-2019-17004、CNVD-2019-17009)、Moxa AWK-3121参数注入漏洞、Moxa AWK-3121信任管理问题漏洞、Moxa AWK-3121跨站脚本漏洞等。

 
 
 
 
 

其他编号

CVE-2018-10693、CVE-2018-10692

CVE-2018-10695、CVE-2018-10697

CVE-2018-10699、CVE-2018-10698

CVE-2018-10701、CVE-2018-10700

CVE-2018-10703、CVE-2018-10702

 
 
 
 
 

发布时间

2019/06/12

 

影响产品

Moxa AWK-3121

 

8

Google多款产品存在漏洞

CNVD编号

CNVD-2019-16268、CNVD-2019-16267

CNVD-2019-16530、CNVD-2019-17138

CNVD-2019-17139、CNVD-2019-17497

CNVD-2019-17498、CNVD-2019-17513

CNVD-2019-17515、CNVD-2019-17514

本月,Google多款产品存在安全漏洞。攻击者利用漏洞伪造URL,绕过安全限制,获取系统的未授权访问权限,执行任意代码或造成拒绝服务等。本月漏洞包括:Google Chrome Omnibox输入验证错误漏洞、Google Chrome竞争条件漏洞(CNVD-2019-16267)、Google Chrome Content Security Policy输入验证错误漏洞、Google Chrome Almost Native Graphics Layer Engine缓冲区溢出漏洞、Google Chrome Swiftshader缓冲区溢出漏洞(CNVD-2019-17139)、Google Chrome Omnibox URL欺骗漏洞(CNVD-2019-17497)、Google Chrome Download Manager内存错误引用漏洞、Google Chrome Blink安全绕过漏洞(CNVD-2019-17513)、Google Chrome安全绕过漏洞(CNVD-2019-17515)、Google Chrome Extensions安全绕过漏洞(CNVD-2019-17514)等。

 
 
 
 
 

其他编号

CVE-2019-5801、CVE-2019-5796

CVE-2019-5803、CVE-2019-5836

CVE-2019-5835、CVE-2019-5834

CVE-2019-5829、CVE-2019-5839

CVE-2019-5840、CVE-2019-5838

 
 
 
 
 

发布时间

2019/06/16

 

影响产品

Google Chrome

 

表1 本月重要漏洞信息

1.2漏洞被关注情况

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前5个月相比,本月应用程序和安全产品的数量处于高位,操作系统和WEB应用的数量处于低位,数据库、网络设备(交换机、路由器等网络端设备)和智能设备(物联网终端设备)漏洞的数量基本持平。


图1 漏洞类型分布

     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

EyouCms后台存在文件上传漏洞

CNVD-2019-16764

2019/06/29

2

百恒网络cms存在文件上传漏洞

CNVD-2019-16765

2019/06/29

3

成都动力无限科技有限公司建站系统ne***.asp页面cid参数存在SQL注入漏洞

CNVD-2019-16766

2019/06/29

4

成都动力无限科技有限公司建站系统ne***.asp页面id参数存在SQL注入漏洞

CNVD-2019-16767

2019/06/29

5

爱客CMS后台zh***_ed***.php页面存在SQL注入漏洞

CNVD-2019-16769

2019/06/29

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是EyouCms后台存在文件上传漏洞,其访问量达到4951次以上。攻击者可利用该漏洞获取网站服务器控制权。


     1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞952个,与前5个月平均收录数量982个相比,处于低位;本月高危漏洞320个,与前5个月高危漏洞平均收录数量312个相比,处于高位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月12日发布的安全漏洞数量最多,都高达67个,主要是因为收录了福州凌夕网络科技有限公司、Moxa等多款产品存在的多个漏洞。


      2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、华为技术有限公司、新华三技术有限公司、深信服科技股份有限公司等单位报送公开收集的漏洞数量较多。国瑞数码零点实验室、任子行网络技术股份有限公司、南京众智维信息科技有限公司、内蒙古奥创科技有限公司、上海银基信息安全技术股份有限公司、北京铭图天成信息技术有限公司、中新网络信息安全股份有限公司、国网思极检测技术(北京)有限公司、山东云天安全技术有限公司、长春嘉诚信息技术股份有限公司、山东华鲁科技发展股份有限公司、山东新潮信息技术有限公司、广州锦行网络科技有限公司、重庆贝特计算机系统工程有限公司、山石网科通信技术有限公司、上海并擎软件科技有限公司、河南信安世纪科技有限公司、山东新潮信息技术有限公司、北京冠程科技有限公司、北京圣博润高新技术股份有限公司、江苏天网计算机技术有限公司、浙江鹏信信息科技股份有限公司、福建省海峡信息技术有限公司、广州昊达信息科技有限公司、北京信联科汇科技有限公司、杭州安信检测技术有限公司、上海物盾信息科技有限公司、北京智游网安科技有限公司、广东网安科技有限公司、四川无国界信息技术有限公司、北京君信安科技有限公司、河南金盾信安检测评估中心、江苏安又恒信息科技有限公司及其他个人白帽子向CNVD提交了9039个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)和斗象科技(漏洞盒子)向CNVD共享的白帽子报送的6199条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

斗象科技(漏洞盒子)

4472

4472

奇安信网神(补天平台)

1727

1727

北京天融信网络安全技术有限公司

781

5

哈尔滨安天科技集团股份有限公司

610

0

华为技术有限公司

528

0

新华三技术有限公司

364

5

深信服科技股份有限公司

362

0

北京神州绿盟科技有限公司

159

10

北京数字观星科技有限公司

131

0

恒安嘉新(北京)科技股份公司

126

2

中国电信集团系统集成有限责任公司

106

0

北京启明星辰信息安全技术有限公司

100

7

四川无声信息技术有限公司

43

43

厦门服云信息科技有限公司

22

0

南京联成科技发展股份有限公司

19

19

西安四叶草信息技术有限公司

14

14

北京知道创宇信息技术有限公司

9

0

杭州安恒信息技术股份有限公司

3

3

沈阳东软系统集成工程有限公司

1

1

国瑞数码零点实验室

1090

1090

任子行网络技术股份有限公司

120

120

南京众智维信息科技有限公司

103

103

内蒙古奥创科技有限公司

91

91

上海银基信息安全技术股份有限公司

86

86

北京铭图天成信息技术有限公司

71

71

中新网络信息安全股份有限公司

57

57

国网思极检测技术(北京)有限公司

52

52

山东云天安全技术有限公司

39

39

长春嘉诚信息技术股份有限公司

32

32

山东华鲁科技发展股份有限公司

29

29

山东新潮信息技术有限公司

25

25

广州锦行网络科技有限公司

24

24

重庆贝特计算机系统工程有限公司

12

12

山石网科通信技术有限公司

11

11

上海并擎软件科技有限公司

10

10

河南信安世纪科技有限公司

9

9

山东新潮信息技术有限公司

7

7

北京冠程科技有限公司

5

5

北京圣博润高新技术股份有限公司

5

5

江苏天网计算机技术有限公司

5

5

浙江鹏信信息科技股份有限公司

5

5

福建省海峡信息技术有限公司

4

4

广州昊达信息科技有限公司

4

4

北京信联科汇科技有限公司

3

3

杭州安信检测技术有限公司

3

3

上海物盾信息科技有限公司

3

3

北京智游网安科技有限公司

2

2

广东网安科技有限公司

2

2

四川无国界信息技术有限公司

2

2

北京君信安科技有限公司

1

1

河南金盾信安检测评估中心

1

1

江苏安又恒信息科技有限公司

1

1

个人

817

817

总计

952(去重)

9039

表3 单位和个人上报漏洞统计
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论