登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2019年第8期

2019-09-03 12:11:27

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞1821个,其中高危漏洞445个,中危漏洞1165个,低危漏洞211个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1552个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2019-27393、CNVD-2019-27392

CNVD-2019-27394、CNVD-2019-27397

CNVD-2019-27398、CNVD-2019-27400

CNVD-2019-27402、CNVD-2019-27401

CNVD-2019-27404、CNVD-2019-27403

本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码,导致内存损坏,缓冲区溢出等。本月漏洞包括:Microsoft Edge和ChakraCore缓冲区溢出漏洞(CNVD-2019-27393、CNVD-2019-27392、CNVD-2019-27394、CNVD-2019-27397、CNVD-2019-27398、CNVD-2019-27400、CNVD-2019-27402、CNVD-2019-27401、CNVD-2019-27404、CNVD-2019-27403)等。

 
 
 
 
 

其他编号

CVE-2019-0591、CVE-2019-0642

CVE-2019-0655、CVE-2019-0829

CVE-2019-0860、CVE-2019-0927

CVE-2019-0739、CVE-2019-0933

CVE-2019-0639、CVE-2019-0806

 
 
 
 
 

发布时间

2019/08/15

 

影响产品

Microsoft ChakraCore

Microsoft Edge

 
 
 
 
 
 
 
 

2

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2019-25711、CNVD-2019-26405

CNVD-2019-27126、CNVD-2019-29386

CNVD-2019-29411、CNVD-2019-29412

CNVD-2019-29413、CNVD-2019-29414

CNVD-2019-29416、CNVD-2019-29415

本月,Cisco多款产品存在安全漏洞。攻击者可以利用漏洞获取敏感信息,执行任意代码等。本月漏洞包括:Cisco SD-WAN Solution权限许可和访问控制问题漏洞(CNVD-2019-25711)、Cisco NX-OS Software和Cisco FXOS Software命令注入漏洞、Cisco NX-OS Software缓冲区溢出漏洞、Cisco Enterprise NFV Infrastructure Software权限许可和访问控制问题漏洞、Cisco IOS XE Software授权问题漏洞、Cisco Prime Infrastructure Software和Cisco Evolved Programmable Network Manager输入验证错误漏洞(CNVD-2019-29412CNVD-2019-29413、CNVD-2019-29414)、Cisco Prime Infrastructure Software和Cisco Evolved Programmable Network Manager SQL注入漏洞(CNVD-2019-29415、CNVD-2019-29416)。

 
 
 
 
 

其他编号

CVE-2019-1625、CVE-2019-1780

CVE-2019-1768、CVE-2019-1972

CVE-2019-12643、CVE-2019-1821

CVE-2019-1822、CVE-2019-1823

CVE-2019-1825、CVE-2019-1824

 
 
 
 
 

发布时间

2019/08/30

 

影响产品

Cisco vBond Orchestrator Software

Cisco vEdge 100 Series Routers

Cisco vEdge 1000 Series Routers

Cisco vEdge 2000 Series Routers

Cisco vEdge 5000 Series Routers

Cisco vEdge Cloud Router Platform

Cisco Nexus 3000 Series Switches

Cisco Nexus 6000 Series Switches

Cisco Nexus 7000 Series Switches

Cisco Nexus 7700 Series Switches

Cisco Nexus 3500 Platform Switches

Cisco Nexus 3600 Platform Switches

Cisco Nexus 5500 Platform Switches

Cisco Nexus 5600 Platform Switches

Cisco Nexus 9500 R-Series Switching Platform

Cisco Nexus 9000 Series

Cisco Nexus 9000 Series Switches in NX-OS mode

Cisco vManage Network Management Software

Cisco vSmart Controller Software

Cisco Firepower 4100 Series

Cisco Firepower 9300 Security Appliances

Cisco MDS 9000 Series Multilayer Switches

Cisco Switches in standalone NX-OS mode

Cisco Enterprise NFV Infrastructure Software

Cisco 4000 Series Integrated Services Routers

Cisco ASR 1000 Series Aggregation Services Routers

Cisco Cloud Services Router 1000V Series

Cisco Integrated Services Virtual Router

Cisco Prime Infrastructure

Cisco Evolved Programmable Network Manager

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2019-26034、CNVD-2019-26035

CNVD-2019-26036、CNVD-2019-26037

CNVD-2019-26038、CNVD-2019-26039

CNVD-2019-26040、CNVD-2019-26041

CNVD-2019-26042、CNVD-2019-26043

本月,Adobe多款产品存在安全漏洞。攻击者可以利用漏洞执行任意代码。本月漏洞包括:Adobe Acrobat/Reader内存错误引用漏洞(CNVD-2019-26034、CNVD-2019-26035、CNVD-2019-26036、CNVD-2019-26037、CNVD-2019-26038、CNVD-2019-26039、CNVD-2019-26040、CNVD-2019-26041、CNVD-2019-26042、CNVD-2019-26043)等。

 
 
 
 
 

其他编号

CVE-2019-7025、CVE-2019-7026

CVE-2019-7029、CVE-2019-7048

CVE-2019-7050、CVE-2019-7062

CVE-2019-7082、CVE-2019-7083

CVE-2019-7084、CVE-2019-7018

 
 
 
 
 

发布时间

2019/08/06

 

影响产品

Adobe Acrobat DC (Continuous)

Adobe Acrobat Reader DC (Continuous)

Adobe Acrobat 2017 (Classic 2017)

Adobe Acrobat Reader 2017(Classic 2017)

Adobe Acrobat DC(Classic 2015)

Adobe Acrobat Reader DC(Classic 2015)

Adobe Acrobat Reader 2017(Classic 2017)

 
 
 
 
 
 
 
 

4

HPE多款产品存在安全漏洞

CNVD编号

CNVD-2019-27433、CNVD-2019-28115

CNVD-2019-28116、CNVD-2019-28117

CNVD-2019-28119、CNVD-2019-28120

CNVD-2019-28123、CNVD-2019-28124

CNVD-2019-28125、CNVD-2019-28128

本月,HPE多款产品存在安全漏洞。攻击者可利用漏洞绕过授权,进行拒绝服务攻击等。本月漏洞包括:HPE 3PAR Service Processor远程任意文件上传漏洞、HPE 3PAR StoreServ Management Console授权绕过漏洞(CNVD-2019-28115)、HPE 3PAR Service Processor授权问题漏洞、HPE 3PAR Service Processor越权访问漏洞、HPE 3PAR Service Processor安全限制绕过漏洞、HPE 3PAR Service Processor认证绕过漏洞、HPE 3PAR StoreServ Management Console会话重用漏洞、HPE 3PAR StoreServ Management Console授权绕过漏洞、HPE 3PAR StoreServ Management Console脚本注入漏洞、HPE IceWall SSO Agent Option和IceWall MFA输入验证错误漏洞。

 
 
 
 
 

其他编号

CVE-2019-5395、CVE-2019-5402

CVE-2019-5400、CVE-2019-5399

CVE-2019-5397、CVE-2019-5396

CVE-2019-5406、CVE-2019-5405

CVE-2019-5404、CVE-2019-11989

 
 
 
 
 

发布时间

2019/08/20

 

影响产品

HPE 3PAR Service Processor

HPE 3PAR StoreServ Management Console

HPE IceWall SSO

HPE IceWall MFA

 

5

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2019-26401、CNVD-2019-29419

CNVD-2019-29420、CNVD-2019-29421

CNVD-2019-29422、CNVD-2019-29423

CNVD-2019-29424、CNVD-2019-29425

CNVD-2019-29427、CNVD-2019-29426

本月,IBM多款产品存在安全漏洞。攻击者可利用漏洞获取管理员权限,执行任意代码等。本月漏洞包括:IBM Spectrum Protect Backup-Archive Client缓冲区溢出漏洞、IBM Informix Dynamic Server权限许可和访问控制问题漏洞(CNVD-2019-29419、CNVD-2019-29420)、IBM Informix Dynamic Server缓冲区溢出漏洞(CNVD-2019-29421、CNVD-2019-29422)、IBM Informix Dynamic Server权限许可和访问控制问题漏洞(CNVD-2019-29423、CNVD-2019-29424、CNVD-2019-29425)、IBM Informix Dynamic Server权限许可和访问控制问题漏洞(CNVD-2019-29426、CNVD-2019-29427)等。

 
 
 
 
 

其他编号

CVE-2019-4267、CVE-2018-1630

CVE-2019-4253、CVE-2018-1636

CVE-2018-1635、CVE-2018-1634

CVE-2018-1633、CVE-2018-1632

CVE-2018-1796、CVE-2018-1631

 
 
 
 
 

发布时间

2019/08/30

 

影响产品

IBM Spectrum Protect Backup-Archive Client

IBM Informix Dynamic Server(IDS)

 

6

Oracle多款产品存在安全漏洞

CNVD编号

CNVD-2019-27767、CNVD-2019-27768

CNVD-2019-27769、CNVD-2019-27770

CNVD-2019-27771、CNVD-2019-27772

CNVD-2019-27773、CNVD-2019-27774

CNVD-2019-27775、CNVD-2019-27784

本月,Oracle多款产品存在安全漏洞。攻击者可利用漏洞未授权访问、更新、插入或删除数据。本月漏洞包括:Oracle Outside In Technology组件访问控制错误漏洞(CNVD-2019-27767、CNVD-2019-27768、CNVD-2019-27769、CNVD-2019-27770、CNVD-2019-27771、CNVD-2019-27772、CNVD-2019-27773、CNVD-2019-27774、CNVD-2019-27775、CNVD-2019-27784)等。

 
 
 
 
 

其他编号

CVE-2019-2835、CVE-2019-2855

CVE-2019-2853、CVE-2019-2756

CVE-2019-2759、CVE-2019-2854

CVE-2019-2764、CVE-2019-2792

CVE-2019-2852、CVE-2019-2608

 
 
 
 
 

发布时间

2019/08/19

 

影响产品

Oracle Outside In Technology

 

7

intel多款产品存在安全漏洞

 

 

 

CNVD编号

CNVD-2019-25500、CNVD-2019-25504

CNVD-2019-25502、CNVD-2019-25503

CNVD-2019-26183、CNVD-2019-26185

CNVD-2019-26188、CNVD-2019-26194

CNVD-2019-26195、CNVD-2019-26196

本月,intel多款产品存在安全漏洞。攻击者可利用漏洞获取提升的权限,执行任意代码等。本月漏洞包括:Intel Rapid Storage Technology Enterprise Intel Accelerated Storage Manager跨站脚本漏洞、Intel NUC Kit缓冲区溢出漏洞(CNVD-2019-25502、CNVD-2019-25504)、Intel NUC Kit输入验证错误漏洞、Intel Graphics Driver for Windows Kernel Mode Driver内存破坏漏洞、Intel Graphics Driver for Windows Kernel Mode Driver任意代码执行漏洞(CNVD-2019-26188、CNVD-2019-26185)、Intel Converged Security and Management Engine和Intel TXE缓冲区溢出漏洞、Intel Converged Security and Management Engine、Intel TXE和Intel Server Platform Services HECI子系统缓冲区溢出漏洞、Intel Converged Security and Management Engine Intel AMT任意代码执行漏洞。

 
 
 
 
 

其他编号

CVE-2019-0130、CVE-2019-11124

CVE-2019-11126、CVE-2019-11123

CVE-2018-12214、CVE-2018-12220

CVE-2018-12216、CVE-2018-12199

CVE-2018-12208、CVE-2018-12185

 
 
 
 
 

发布时间

2019/08/06

 

影响产品

Intel Rapid Storage Technology enterprise

Intel NUC kits

Intel Graphics Driver for Windows

Intel Converged Security and Management Engine(CSME)

Intel TXE

Intel Server Platform Services

 

8

Google多款产品存在安全漏洞

CNVD编号

CNVD-2019-27574、CNVD-2019-27575

CNVD-2019-27576、CNVD-2019-27577

CNVD-2019-27579、CNVD-2019-27580

CNVD-2019-27578、CNVD-2019-27581

CNVD-2019-27582、CNVD-2019-27590

本月,Google多款产品存在安全漏洞。攻击者利用漏洞执行任意代码等。本月漏洞包括:Google Android缓冲区溢出漏洞(CNVD-2019-27574、CNVD-2019-27575、CNVD-2019-27576、CNVD-2019-27577、CNVD-2019-27579、CNVD-2019-27580、CNVD-2019-27578、CNVD-2019-27581、CNVD-2019-27582、CNVD-2019-27590)等。

 
 
 
 
 

其他编号

CVE-2018-9573、CVE-2018-9572

CVE-2018-9571、CVE-2018-9570

CVE-2018-9577、CVE-2018-9576

CVE-2018-9569、CVE-2018-9575

CVE-2018-9574、CVE-2018-11891

 
 
 
 
 

发布时间

2019/08/15

 

影响产品

Google Android

 

表1 本月重要漏洞信息


1.2漏洞被关注情况

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前7个月相比,本月操作系统、应用程序、WEB应用、数据库、安全产品和智能设备(物联网终端设备)漏洞的数量处于高位,网络设备(交换机、路由器等网络端设备)的数量基本持平。


图1 漏洞类型分布


     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

小米手环4NFC存在逻辑缺陷漏洞

CNVD-2019-24019

2019/08/31

2

Qualcomm WLAN芯片远程代码执行漏洞

CNVD-2019-28290

2019/08/22

3

Schneider Electric M340 PLC存在拒绝服务漏洞

CNVD-2019-21280

2019/08/03

4

Siemens SIPROTEC 5访问权限漏洞

CNVD-2019-25928

2019/08/05

5

Cisco Integrated Management Controller命令注入漏洞(CNVD-2019-28402)

CNVD-2019-28402

2019/08/22

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是小米手环4NFC存在逻辑缺陷漏洞,其访问量达到1542次以上。攻击者可利用该漏洞获取敏感信息。


     1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞1821个,与前7个月平均收录数量1059个相比,处于高位;本月高危漏洞445个,与前7个月高危漏洞平均收录数量352个相比,处于高位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月15日发布的安全漏洞数量最多,都高达262个,主要是因为收录了WordPress、cPanel等多款产品存在的多个漏洞。


      2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、华为技术有限公司、深信服科技股份有限公司、北京神州绿盟科技有限公司等单位报送公开收集的漏洞数量较多。山东云天安全技术有限公司、长春嘉诚信息技术股份有限公司、南京众智维信息科技有限公司、国网思极检测技术(北京)有限公司、国瑞数码零点实验室、山东新潮信息技术有限公司、北京铭图天成信息技术有限公司、远江盛邦(北京)网络安全科技股份有限公司、新疆海狼科技有限公司、山东华鲁科技发展股份有限公司、任子行网络技术股份有限公司、内蒙古奥创科技有限公司、上海银基信息安全技术股份有限公司、广州锦行网络科技有限公司、北京圣博润高新技术股份有限公司、河南信安世纪科技有限公司、山石网科通信技术有限公司、爱加密、上海并擎软件科技有限公司、贵州安码科技有限公司、北京君信安科技有限公司、广州非凡信息安全技术有限公司、喵斯科技、成都久信信息技术股份有限公司、浙江国利网安科技有限公司、山东云天安全大数据技术有限公司、北京小米科技有限责任公司、上海市信息安全测评认证中心、成都市锐信安信息安全技术有限公司、上海物盾信息科技有限公司、山东九州信泰信息科技股份有限公司及其他个人白帽子向CNVD提交了8228个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)和斗象科技(漏洞盒子)向CNVD共享的白帽子报送的5560条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

斗象科技(漏洞盒子)

2945

2945

奇安信网神(补天平台)

2615

2615

北京天融信网络安全技术有限公司

1280

61

哈尔滨安天科技集团股份有限公司

1271

0

华为技术有限公司

577

0

深信服科技股份有限公司

473

1

北京神州绿盟科技有限公司

468

10

新华三技术有限公司

306

0

厦门服云信息科技有限公司

183

5

北京启明星辰信息安全技术有限公司

141

0

恒安嘉新(北京)科技股份公司

140

2

四川无声信息技术有限公司

135

135

北京数字观星科技有限公司

83

0

西安四叶草信息技术有限公司

62

62

中新网络信息安全股份有限公司

61

61

中国电信集团系统集成有限责任公司

61

0

北京知道创宇信息技术股份有限公司

25

8

南京联成科技发展股份有限公司

15

15

浙江大华技术股份有限公司

1

0

山东云天安全技术有限公司

265

265

长春嘉诚信息技术股份有限公司

186

186

南京众智维信息科技有限公司

175

175

国网思极检测技术(北京)有限公司

157

157

国瑞数码零点实验室

144

144

山东新潮信息技术有限公司

128

128

北京铭图天成信息技术有限公司

126

126

远江盛邦(北京)网络安全科技股份有限公司

67

67

新疆海狼科技有限公司

61

61

山东华鲁科技发展股份有限公司

58

58

任子行网络技术股份有限公司

55

55

内蒙古奥创科技有限公司

49

49

上海银基信息安全技术股份有限公司

39

39

广州锦行网络科技有限公司

29

29

北京圣博润高新技术股份有限公司

27

27

河南信安世纪科技有限公司

13

13

山石网科通信技术有限公司

9

9

爱加密

8

8

上海并擎软件科技有限公司

6

6

贵州安码科技有限公司

6

6

北京君信安科技有限公司

6

6

广州非凡信息安全技术有限公司

5

5

喵斯科技

3

3

成都久信信息技术股份有限公司

3

3

浙江国利网安科技有限公司

3

3

山东云天安全大数据技术有限公司

2

2

北京小米科技有限责任公司

2

2

上海市信息安全测评认证中心

2

2

成都市锐信安信息安全技术有限公司

1

1

上海物盾信息科技有限公司

1

1

山东九州信泰信息科技股份有限公司

1

1

个人

671

671

总计

1821(去重)

8228

表3 单位和个人上报漏洞统计

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论