登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2019年第7期

2019-08-02 15:00:45

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞1554个,其中高危漏洞585个,中危漏洞809个,低危漏洞160个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1389个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2019-24756、CNVD-2019-24757

CNVD-2019-24762、CNVD-2019-24839

CNVD-2019-24840、CNVD-2019-24841

CNVD-2019-24842、CNVD-2019-24843

CNVD-2019-24844、CNVD-2019-24845

本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码,导致内存损坏,发起拒绝服务攻击等。本月漏洞包括:Microsoft Internet Explorer Scripting Engine远程内存破坏漏洞(CNVD-2019-24762、CNVD-2019-24756、CNVD-2019-24757)、Microsoft Edge Chakra Scripting Engine远程内存破坏漏洞(CNVD-2019-24839、CNVD-2019-24840、CNVD-2019-24841、CNVD-2019-24842、CNVD-2019-24843、CNVD-2019-24844、CNVD-2019-24845)等。

 
 
 
 
 

其他编号

CVE-2019-1055、CVE-2019-1005

CVE-2019-0988、CVE-2019-0993

CVE-2019-1052、CVE-2019-1051

CVE-2019-1024、CVE-2019-0989

CVE-2019-0937、CVE-2019-0991

 
 
 
 
 

发布时间

2019/07/30

 

影响产品

Microsoft Internet Explorer

Microsoft ChakraCore

Microsoft Edge

 
 
 
 
 
 
 
 

2

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2019-21275、CNVD-2019-21297

CNVD-2019-21303、CNVD-2019-21304

CNVD-2019-21305、CNVD-2019-21308

CNVD-2019-23288、CNVD-2019-23538

CNVD-2019-24159、CNVD-2019-24160

本月,Cisco多款产品存在安全漏洞。攻击者可以利用漏洞获取敏感信息,执行任意代码等。本月漏洞包括:Cisco Advanced Malware Protection for Endpoints for Windows命令注入漏洞、Cisco Firepower Management Center跨站脚本漏洞(CNVD-2019-21297、CNVD-2019-21303)、Cisco Email Security Appliance输入验证错误漏洞、Cisco Email Security Appliance AsyncOS Software输入验证错误漏洞、Cisco Unified Communications Manager缓冲区溢出漏洞(CNVD-2019-21308)、Cisco Identity Services Engine跨站脚本漏洞(CNVD-2019-23288)、Cisco Vision Dynamic Signage Director授权问题漏洞、Cisco NX-OS Software本地权限提升漏洞、Cisco NX-OS Software本地安全绕过漏洞。

 
 
 
 
 

其他编号

CVE-2019-1932、CVE-2019-1931

CVE-2019-1930、CVE-2019-1921

CVE-2019-1933、CVE-2019-1887

CVE-2019-1941、CVE-2019-1917

CVE-2019-1727、CVE-2019-1726

 
 
 
 
 

发布时间

2019/07/05

 

影响产品

Cisco Advanced Malware Protection(AMP)for Endpoints for Windows

Cisco FirePOWER Management Center

Cisco Email Security Appliance

Cisco Unified Communications Manager

Cisco Identity Services Engine

Cisco Cisco Vision Dynamic Signage Director

Cisco NX-OS

Cisco MDS NX-OS

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2019-22469、CNVD-2019-22468

CNVD-2019-22470、CNVD-2019-22471

CNVD-2019-22472、CNVD-2019-22473

CNVD-2019-22474、CNVD-2019-22475

CNVD-2019-22476、CNVD-2019-22477

本月,Adobe多款产品存在安全漏洞。攻击者可以利用漏洞执行任意代码。本月漏洞包括:Adobe Acrobat/Reader越界写入漏洞(CNVD-2019-22469、CNVD-2019-22468、CNVD-2019-22470、CNVD-2019-22471、CNVD-2019-22472、CNVD-2019-22473、CNVD-2019-22474、CNVD-2019-22475、CNVD-2019-22476、CNVD-2019-22477)等。

 
 
 
 
 

其他编号

CVE-2019-7804、CVE-2019-7800

CVE-2019-7818、CVE-2019-7822

CVE-2019-7825、CVE-2019-7829

CVE-2019-7052、CVE-2019-7039

CVE-2019-7060、CVE-2019-7079

 
 
 
 
 

发布时间

2019/07/14

 

影响产品

Adobe Acrobat Reader DC (Continuous)

Adobe Acrobat 2017 (Classic 2017)

Adobe Acrobat Reader 2017 (Classic 2017)

Adobe Acrobat DC (Classic 2015)

Adobe Acrobat Reader DC (Classic 2015)

Adobe Acrobat DC (Continuous )

 
 
 
 
 
 
 
 

4

HPE多款产品存在安全漏洞

CNVD编号

CNVD-2019-24039、CNVD-2019-24549

CNVD-2019-24550、CNVD-2019-24551

CNVD-2019-24553、CNVD-2019-24554

CNVD-2019-24552、CNVD-2019-24556

CNVD-2019-24557、CNVD-2019-24555

本月,HPE多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码和拒绝服务等。本月漏洞包括:HPE Intelligent Management Center (IMC) SQL注入代码执行漏洞(CNVD-2019-24039、CNVD-2019-24549、CNVD-2019-24550、CNVD-2019-24551、CNVD-2019-24553、CNVD-2019-24554、CNVD-2019-24552、CNVD-2019-24556、CNVD-2019-24557、CNVD-2019-24555)等。

 
 
 
 
 

其他编号

CVE-2019-11971、CVE-2019-11978

CVE-2019-11977、CVE-2019-11976

CVE-2019-11984、CVE-2019-11979

CVE-2019-11975、CVE-2019-11974

CVE-2019-11973、CVE-2019-11972

 
 
 
 
 

发布时间

2019/07/26

 

影响产品

HPE Intelligent Management Center (IMC)

 

5

D-Link多款产品存在安全漏洞

CNVD编号

CNVD-2019-21076、CNVD-2019-21077

CNVD-2019-21080、CNVD-2019-21249

CNVD-2019-21250、CNVD-2019-21464

CNVD-2019-22213、CNVD-2019-23332

CNVD-2019-23331、CNVD-2019-23340

本月,D-Link多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码,查看摄像头所拍摄的图像,诱使用户修改用户密码等。本月漏洞包括:D-Link DCS-1130跨站请求伪造漏洞、D-Link DCS-1130命令注入漏洞(CNVD-2019-21077、CNVD-2019-21080)、D-Link DCS-1100和D-Link DCS-1130缓冲区错误漏洞(CNVD-2019-21249、CNVD-2019-21250)、D-Link DCS-1130命令注入漏洞(CNVD-2019-21464)、D-Link DIR-818LW命令注入漏洞(CNVD-2019-22213)、D-Link DCS-1130和D-Link DCS-1100缓冲区溢出漏洞、D-Link DCS-1100和D-Link DCS-1130信任管理漏洞、D-Link DCS-1100和D-Link DCS-1130跨站请求伪造漏洞(CNVD-2019-23340)等。

 
 
 
 
 

其他编号

CVE-2017-8407、CVE-2017-8404

CVE-2017-8408、CVE-2017-8416

CVE-2017-8410、CVE-2017-8411

CVE-2019-13481、CVE-2017-8414

CVE-2017-8415、CVE-2017-8413

 
 
 
 
 

发布时间

2019/07/04

 

影响产品

D-Link DCS-1130

D-Link DCS-1100

D-Link DIR-818LW

 

6

Oracle多款产品存在安全漏洞

CNVD编号

CNVD-2019-23144、CNVD-2019-23145

CNVD-2019-23143、CNVD-2019-23528

CNVD-2019-23533、CNVD-2019-23539

CNVD-2019-23540、CNVD-2019-23559

CNVD-2019-23570、CNVD-2019-23571

本月,Oracle多款产品存在安全漏洞。攻击者可利用漏洞未授权访问、更新、插入或删除数据,造成拒绝服务。本月漏洞包括:Oracle MySQL Server拒绝服务漏洞(CNVD-2019-23144、CNVD-2019-23145、CNVD-2019-23143)、Oracle Virtualization VM VirtualBox组件拒绝服务漏洞(CNVD-2019-23528)、Oracle Sun Systems Products Suite Solaris组件拒绝服务漏洞、Oracle Retail Applications MICROS Retail-J组件拒绝服务漏洞、Oracle Sun Systems Products Suite Solaris组件拒绝服务漏洞(CNVD-2019-23540)、Oracle Retail Applications Retail Xstore Office组件拒绝服务漏洞、Oracle Retail Applications Retail Xstore Office拒绝服务漏洞、Oracle Retail Applications Retail Customer Management and Segmentation Foundation组件拒绝服务漏洞等。

 
 
 
 
 

其他编号

CVE-2018-3276、CVE-2018-3161

CVE-2018-3278、CVE-2019-2848

CVE-2019-2807、CVE-2019-2750

CVE-2019-2788、CVE-2018-3111

CVE-2018-2883、CVE-2018-3316

 
 
 
 
 

发布时间

2019/07/22

 

影响产品

Oracle MySQL Server

Oracle Oracle Virtualization VM VirtualBox

Oracle Oracle Sun Systems Products Suite Solaris

Oracle Oracle Retail Applications MICROS Retail-J

Oracle Oracle Retail Applications Retail Xstore Office

Oracle Oracle Retail Applications Retail Customer Management and Segmentation Foundation

 

7

Apple多款产品存在安全漏洞

CNVD编号

CNVD-2019-21975、CNVD-2019-21978

CNVD-2019-21981、CNVD-2019-21974

CNVD-2019-21983、CNVD-2019-21982

CNVD-2019-21984、CNVD-2019-21987

CNVD-2019-21988、CNVD-2019-25207

本月,Apple多款产品存在安全漏洞。攻击者可利用漏洞获取提升的权限,造成应用程序意外终止,执行任意代码等。本月漏洞包括:Apple macOS Mojave Security内存错误引用漏洞、Apple macOS Mojave QuartzCore内存破坏漏洞、多款Apple产品WebKit内存破坏漏洞(CNVD-2019-21981)、Apple iCloud for Windows竞争条件漏洞、多款Apple产品WebKit类型混淆漏洞(CNVD-2019-21983)、Apple iOS和Apple Safari Safari Reader跨站脚本漏洞、Apple iOS Safari未授权访问漏洞、Apple tvOS和Apple iOS GeoServices内存破坏漏洞、Apple iOS、tvOS和macOS Mojave Kernel逻辑漏洞、Apple macOS Multiple任意代码执行漏洞(CNVD-2019-25207)等。

 
 
 
 
 

其他编号

CVE-2019-8526、CVE-2019-8507

CVE-2019-8558、CVE-2019-6232

CVE-2019-8506、CVE-2019-8505

CVE-2019-8554、CVE-2019-8553

CVE-2019-8514、CVE-2019-8697

 
 
 
 
 

发布时间

2019/07/11

 

影响产品

Apple macOS Mojave

Apple iOS

Apple tvOS

Apple Safari

Apple iTunes for Windows

Apple AirDrop

Apple iCloud for Windows

 

8

Google多款产品存在安全漏洞

CNVD编号

CNVD-2019-21266、CNVD-2019-21265

CNVD-2019-21310、CNVD-2019-23098

CNVD-2019-23099、CNVD-2019-23100

CNVD-2019-23320、CNVD-2019-23321

CNVD-2019-23322、CNVD-2019-23323

本月,Google多款产品存在安全漏洞。攻击者利用漏洞获得提升的权限,执行任意代码,在配对的Android主机上远程注入击键等。本月漏洞包括:Google Android System组件权限提升漏洞(CNVD-2019-21266、CNVD-2019-21265)、Google Android System组件远程代码执行漏洞(CNVD-2019-21310)、Google Android System权限提升漏洞(CNVD-2019-23098、CNVD-2019-23099、CNVD-2019-23100、CNVD-2019-23320、CNVD-2019-23321、CNVD-2019-23322、CNVD-2019-23323)等。

 
 
 
 
 

其他编号

CVE-2019-2112、CVE-2019-2113

CVE-2019-2111、CVE-2019-2102

CVE-2019-2098、CVE-2019-2099

CVE-2019-2014、CVE-2019-2015

CVE-2019-2016、CVE-2019-2013

 
 
 
 
 

发布时间

2019/07/19

 

影响产品

Google Android

Google Nexus

 

表1 本月重要漏洞信息


1.2漏洞被关注情况

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前6个月相比,本月操作系统、应用程序、WEB应用、网络设备(交换机、路由器等网络端设备)、安全产品和智能设备(物联网终端设备)漏洞的数量处于高位,数据库的数量基本持平。


图1 漏洞类型分布


     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

zzzphp v1.6.6 后台存在代码执行漏洞(CNVD-2019-17282)

CNVD-2019-17282

2019/07/01

2

凡诺企业网站管理系统后台cm***_fe***_an***.php文件存在SQL注入漏洞

CNVD-2019-17291

2019/07/01

3

Intel Processor Diagnostic Tool权限提升漏洞(CNVD-2019-22204)

CNVD-2019-22204

2019/07/12

4

Chamilo LMS代码执行漏洞

CNVD-2019-20977

2019/07/02

5

deituiCMS存在SQL注入漏洞

CNVD-2019-18471

2019/07/12

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是zzzphpv1.6.6 后台存在代码执行漏洞(CNVD-2019-17282),其访问量达到3374次以上。攻击者可利用该漏洞获取网站服务器控制权。


     1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞1554个,与前6个月平均收录数量997个相比,处于高位;本月高危漏洞585个,与前6个月高危漏洞平均收录数量314个相比,处于高位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月23日发布的安全漏洞数量最多,都高达140个,主要是因为收录了CloudBees、HP等多款产品存在的多个漏洞。


      2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、华为技术有限公司、深信服科技股份有限公司、新华三技术有限公司等单位报送公开收集的漏洞数量较多。国瑞数码零点实验室、国网思极检测技术(北京)有限公司、长春嘉诚信息技术股份有限公司、山东新潮信息技术有限公司、南京众智维信息科技有限公司、内蒙古奥创科技有限公司、任子行网络技术股份有限公司、山东云天安全技术有限公司、泰山信息科技有限公司、北京铭图天成信息技术有限公司、广州锦行网络科技有限公司、山石网科通信技术有限公司、北京圣博润高新技术股份有限公司、山东华鲁科技发展股份有限公司、河南信安世纪科技有限公司、上海并擎软件科技有限公司、重庆贝特计算机系统工程有限公司、北京智游网安科技有限公司、杭州安信检测技术有限公司、百度安全响应中心(BSRC)、山东新潮信息技术有限公司、上海观安信息技术股份有限公司、厦门靠谱云股份有限公司、上海银基信息安全技术股份有限公司、远江盛邦(北京)网络安全科技股份有限公司、北京国腾创新科技有限公司、成都云娱中天网络科技有限公司、福建省海峡信息技术有限公司、新疆海狼科技有限公司、中移(杭州)信息技术有限公司、北京信联科汇科技有限公司、江苏安又恒信息科技有限公司、连连银通电子支付有限公司、赛尔网络有限公司山东分公司、浙江鹏信信息科技股份有限公司、郑州赛欧思科技有限公司及其他个人白帽子向CNVD提交了12782个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)和斗象科技(漏洞盒子)向CNVD共享的白帽子报送的8813条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

斗象科技(漏洞盒子)

6768

6768

奇安信网神(补天平台)

2045

2045

北京天融信网络安全技术有限公司

1406

28

哈尔滨安天科技集团股份有限公司

1023

0

华为技术有限公司

600

0

深信服科技股份有限公司

470

0

新华三技术有限公司

304

0

恒安嘉新(北京)科技股份公司

196

8

北京神州绿盟科技有限公司

187

5

厦门服云信息科技有限公司

176

5

中新网络信息安全股份有限公司

163

163

四川无声信息技术有限公司

136

136

中国电信集团系统集成有限责任公司

102

0

北京数字观星科技有限公司

69

0

西安四叶草信息技术有限公司

42

42

南京联成科技发展股份有限公司

18

18

北京知道创宇信息技术股份有限公司

13

2

浙江大华技术股份有限公司

6

6

厦门服云信息科技有限公司

5

5

杭州安恒信息技术股份有限公司

4

4

北京启明星辰信息安全技术有限公司

3

3

沈阳东软系统集成工程有限公司

2

2

国瑞数码零点实验室

1260

1260

国网思极检测技术(北京)有限公司

347

347

长春嘉诚信息技术股份有限公司

197

197

山东新潮信息技术有限公司

155

155

南京众智维信息科技有限公司

141

141

内蒙古奥创科技有限公司

117

117

任子行网络技术股份有限公司

114

114

山东云天安全技术有限公司

90

90

泰山信息科技有限公司

88

88

北京铭图天成信息技术有限公司

66

66

广州锦行网络科技有限公司

37

37

山石网科通信技术有限公司

32

32

北京圣博润高新技术股份有限公司

31

31

山东华鲁科技发展股份有限公司

31

31

河南信安世纪科技有限公司

12

12

上海并擎软件科技有限公司

9

9

重庆贝特计算机系统工程有限公司

9

9

北京智游网安科技有限公司

8

8

杭州安信检测技术有限公司

8

8

百度安全响应中心(BSRC)

6

6

山东新潮信息技术有限公司

6

6

上海观安信息技术股份有限公司

5

5

厦门靠谱云股份有限公司

3

3

上海银基信息安全技术股份有限公司

3

3

远江盛邦(北京)网络安全科技股份有限公司

3

3

北京国腾创新科技有限公司

2

2

成都云娱中天网络科技有限公司

2

2

福建省海峡信息技术有限公司

2

2

新疆海狼科技有限公司

2

2

中移(杭州)信息技术有限公司

2

2

北京信联科汇科技有限公司

1

1

江苏安又恒信息科技有限公司

1

1

连连银通电子支付有限公司

1

1

赛尔网络有限公司山东分公司

1

1

浙江鹏信信息科技股份有限公司

1

1

郑州赛欧思科技有限公司

1

1

个人

748

748

总计

1554(去重)

12782

表3 单位和个人上报漏洞统计
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论