登录  免费注册
当前位置:首页 > 周报 > 正文

2019年CNVD漏洞周报第36期(2019年09月02日-2019年09月08日)

2019-09-09 16:32:39

本周漏洞态势研判情况

 

本周信息安全漏洞威胁整体评价级别为

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞709个,其中高危漏洞241个、中危漏洞413个、低危漏洞55个。漏洞平均分值为5.85。本周收录的漏洞中,涉及0day漏洞359个(占51%),其中互联网上出现“YouPHPTube远程代码执行漏洞、ASUS SmartHome Gateway HG100拒绝服务漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数3140个,与上周(2022个)环比增长55%。


图1 CNVD收录漏洞近10周平均分值分布图

 

本周漏洞事件处置情况

 

本周,CNVD向基础电信企业通报漏洞事件3起,向银行、保险、能源等重要行业单位通报漏洞事件12起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件407起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件102起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件24起。

此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:

江苏楚淮软件科技开发有限公司、国药控股沈阳有限公司、河南网中网计算机科技有限公司、中国绿色建筑与节能专业委员会绿色校园学科组、北京通达信科科技有限公司、友讯电子设备(上海)有限公司、深圳市新普软件开发有限公司、上海卓越睿新数码科技有限公司、沧州市凡诺广告传媒有限公司、施耐德电气(中国)有限公司、青岛飞鸽软件有限公司、摩莎科技(上海)有限公司、桂林崇胜网络科技有限公司、广州聆科网络技术有限公司、北京壹零叁玖科技发展有限公司、成都康菲顿特网络科技有限公司、福建银达汇智信息科技股份有限公司、锐捷网络股份有限公司、沈阳河汉科技有限公司、沈阳盘古网络技术有限公司、上海复翼软件开发有限公司、灵宝简好网络科技有限公司、淄博闪灵网络科技有限公司、北京豪纳睿斯科技有限公司、深圳市懒人在线科技有限公司、广东亦强科技有限公司、中农万嘉鲜实业发展股份有限公司、成都卓越远扬信息技术有限公司、石家庄灵石科技有限公司、中国十九冶集团有限公司、嘉兴想天信息科技有限公司、深圳市锟铻科技有限公司、中国船舶重工集团柴油机有限公司、广州恒企教育科技有限公司、汕头市三互科技有限公司、深圳搜豹网络有限公司、四川迅睿云软件开发有限公司、长沙友点软件科技有限公司、南大傲拓科技江苏有限公司、桂林快特网络科技有限公司、成都爱诚科技有限公司、厦门海为科技有限公司、河北康吉森自动化工程有限公司、深圳市动力启航软件有限公司、浙江搜派信息科技有限公司、桂林快特网络科技有限公司、SOFTONIC国际公司、睿谷信息科技、北京市农林科学院农业信息与经济研究所、闻泰网络、特种装备网、中国3.15诚信建设联盟会员中心办公室、袁志蒙工作室、如斯团队、中国电子标准协会培训中心、华夏ERP、DuomiCms、PHPMyWind、HadSky、Notepad++、Zebra、Phpmywind、MyBBGroup和ShopXO。

本周,CNVD发布了《关于Microsoft远程桌面服务存在远程代码执行漏洞的安全公告(第二版)》。详情参见CNVD网站公告内容。

https://www.cnvd.org.cn/webinfo/show/5195

 

本周漏洞报送情况统计

 

本周报送情况如表1所示。其中,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、深信服科技股份有限公司、华为技术有限公司、新华三技术有限公司等单位报送公开收集的漏洞数量较多。长春嘉诚信息技术股份有限公司、北京铭图天成信息技术有限公司、远江盛邦(北京)网络安全科技股份有限公司、山东云天安全技术有限公司、任子行网络技术股份有限公司、国瑞数码零点实验室、南京众智维信息科技有限公司、北京君信安科技有限公司、山东新潮信息技术有限公司、山石网科通信技术股份有限公司、内蒙古奥创科技有限公司、北京智游网安科技有限公司、北京圣博润高新技术股份有限公司、开普云信息科技股份有限公司、山东华鲁科技发展股份有限公司、上海市信息安全测评认证中心、深圳市魔方安全科技有限公司及其他个人白帽子向CNVD提交了3140个以事件型漏洞为主的原创漏洞,其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的2575条原创漏洞信息。

表1 漏洞报送情况统计表

报送单位或个人

漏洞报送数量

原创漏洞数量

斗象科技(漏洞盒子)

1203

1203

奇安信网神(补天平台)

1088

1088

北京天融信网络安全技术有限公司

380

6

上海交大

284

284

哈尔滨安天科技集团股份有限公司

208

0

深信服科技股份有限公司

118

0

华为技术有限公司

86

0

新华三技术有限公司

50

0

北京启明星辰信息安全技术有限公司

49

0

恒安嘉新(北京)科技股份公司

49

0

北京神州绿盟科技有限公司

35

0

北京数字观星科技有限公司

20

0

西安四叶草信息技术有限公司

8

8

北京知道创宇信息技术股份有限公司

3

1

沈阳东软系统集成工程有限公司

2

2

长春嘉诚信息技术股份有限公司

159

159

北京铭图天成信息技术有限公司

68

68

远江盛邦(北京)网络安全科技股份有限公司

51

51

山东云天安全技术有限公司

29

29

任子行网络技术股份有限公司

25

25

国瑞数码零点实验室

22

22

南京众智维信息科技有限公司

20

20

北京君信安科技有限公司

7

7

山东新潮信息技术有限公司

7

7

山石网科通信技术股份有限公司

4

4

内蒙古奥创科技有限公司

3

3

北京智游网安科技有限公司

2

2

北京圣博润高新技术股份有限公司

2

2

开普云信息科技股份有限公司

1

1

山东华鲁科技发展股份有限公司

1

1

上海市信息安全测评认证中心

1

1

深圳市魔方安全科技有限公司

1

1

CNCERT西藏分中心

15

15

CNCERT贵州分中心

3

3

CNCERT吉林分中心

2

2

CNCERT山西分中心

1

1

个人

124

124

报送总计

4131

3140

 

本周漏洞按类型和厂商统计

 

本周,CNVD收录了709个漏洞。WEB应用373个,应用程序268个,操作系统39个,网络设备(交换机、路由器等网络端设备)20个,智能设备(物联网终端设备)漏洞5个,安全产品3个,数据库1个。

表2 漏洞按影响类型统计表

漏洞影响对象类型

漏洞数量

WEB应用

373

应用程序

268

操作系统

39

网络设备(交换机、路由器等网络端设备)

20

智能设备(物联网终端设备)漏洞

5

安全产品

3

数据库

1

 

图2 本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及WordPress、Google、CloudBees等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

序号

厂商(产品)

漏洞数量

所占比例

1

WordPress

164

23%

2

Google

37

5%

3

CloudBees

23

3%

4

cPanel

23

3%

5

GitLab

11

2%

6

Adobe

19

3%

7

Odoo

14

2%

8

ACD Systems International

13

2%

9

Mozilla

12

2%

10

其他

393

55%

 

本周行业漏洞收录情况

 

本周,CNVD收录了13个电信行业漏洞,58个移动互联网行业漏洞,10个工控行业漏洞(如下图所示)。其中,“Google Android NVIDIA BootROM提权漏洞、Google Android Media framework远程代码执行漏洞(CNVD-2019-30325)、Google Android System权限提升漏洞(CNVD-2019-30316)”等漏洞的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接:http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接:http://mi.cnvd.org.cn/

工控系统行业漏洞链接:http://ics.cnvd.org.cn/


图3 电信行业漏洞统计


图4 移动互联网行业漏洞统计


图5 工控系统行业漏洞统计


本周重要漏洞安全告警


本周,CNVD整理和发布以下重要安全漏洞信息。

1、Google产品安全漏洞

Android是美国Google公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在信息泄露和远程代码执行漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码。

CNVD收录的相关漏洞包括:Google Android Mediaframework远程代码执行漏洞(CNVD-2019-30324、CNVD-2019-30325)、Google Android System远程代码执行漏洞(CNVD-2019-30326)、Google Android Media Framework信息泄露漏洞(CNVD-2019-30344、CNVD-2019-30346、CNVD-2019-30348、CNVD-2019-30368、CNVD-2019-30370)。其中,“Google Android Mediaframework远程代码执行漏洞(CNVD-2019-30324、CNVD-2019-30325)、Google Android System远程代码执行漏洞(CNVD-2019-30326)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30324

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30325

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30326

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30344

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30346

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30348

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30368

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30370

2、Adobe产品安全漏洞

Adobe Acrobat是一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是一款PDF文件阅读软件。Adobe Flash Player是一种广泛使用的、专有的多媒体程序播放器,最初由Macromedia编写,在Macromedia被Adobe收购后由Adobe继续开发并分发。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括:Adobe Acrobat/Reader不可信指针解引用漏洞(CNVD-2019-30081、CNVD-2019-30091、CNVD-2019-30092)、Adobe Flash Player内存错误引用漏洞(CNVD-2019-30084)、Adobe Acrobat/Reader类型混淆漏洞(CNVD-2019-30082)、Adobe Acrobat/Reader双重释放漏洞(CNVD-2019-30087)、Adobe Acrobat/Reader命令注入漏洞、Adobe Acrobat/Reader缓冲区溢出漏洞(CNVD-2019-30094)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30081

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30084

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30082

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30087

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30091

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30093

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30094

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30092

3、Mozilla产品安全漏洞

MozillaFirefox是一款开源Web浏览器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过同源策略并获取敏感信息,提升权限,执行任意代码或造成拒绝服务等。

CNVD收录的相关漏洞包括:Mozilla Firefox信息泄露漏洞(CNVD-2019-30437)、Mozilla Firefox未授权访问漏洞(CNVD-2019-30438)、Mozilla Firefox权限提升漏洞(CNVD-2019-30440)、Mozilla Firefox资源管理错误漏洞(CNVD-2019-30439、CNVD-2019-30444)、Mozilla Firefox跨站脚本漏洞(CNVD-2019-30446、CNVD-2019-30447)、Mozilla Firefox类型混淆漏洞。其中,“Mozilla Firefox资源管理错误漏洞(CNVD-2019-30439、CNVD-2019-30444)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30437

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30438

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30439

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30440

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30444

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30446

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30447

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30445

4、F5产品安全漏洞

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行非法命令,造成TMM重启,导致拒绝服务。

CNVD收录的相关漏洞包括:F5 BIG-IP命令注入漏洞(CNVD-2019-30617、CNVD-2019-30625、CNVD-2019-30626)、F5 BIG-IP输入验证错误漏洞(CNVD-2019-30619、CNVD-2019-30624)、F5 BIG-IP拒绝服务漏洞(CNVD-2019-30618)、F5 BIG-IP资源管理错误漏洞、F5 BIG-IP信息泄露漏洞(CNVD-2019-30623)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30617

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30618

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30619

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30621

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30623

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30625

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30626

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30624

5、D-Link DIR-823G访问控制错误漏洞

D-Link DIR-823G是一款无线路由器。本周,D-Link DIR-823G被披露存在访问控制错误漏洞,攻击者可利用该漏洞劫持WLAN中所有客户端的DNS服务配置信息。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-30424

更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。参考链接:http://www.cnvd.org.cn/flaw/list.htm

表4 部分重要高危漏洞列表


CNVD编号

漏洞名称

综合评级

修复方式

CNVD-2019-30059

Xymon history.c缓冲区溢出漏洞

厂商已发布了漏洞修复程序,请及时关注更新:

https://sourceforge.net/projects/xymon/

CNVD-2019-30149

IBM DB2 High Performance Unload权限提升漏洞

厂商已发布了漏洞修复程序,请及时关注更新:

https://www-01.ibm.com/support/docview.wss?uid=ibm10964592

CNVD-2019-30256

ZOHO ManageEngine ServiceDesk Plus安全特征问题漏洞

厂商已发布了漏洞修复程序,请及时关注更新:

https://www.manageengine.co.uk/products/service-desk/readme.html

CNVD-2019-30485

ESTsoft ALSee缓冲区溢出漏洞

厂商已发布了漏洞修复程序,请及时关注更新:

https://www.estsoft.com/

CNVD-2019-30526

Microsoft Internet Explorer缓冲区溢出漏洞(CNVD-2019-30526)

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0920

CNVD-2019-30710

多款Huawei产品版本降级漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20190904-01-smartphone-cn

CNVD-2019-30717

Varnish Cache拒绝服务漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://varnish-cache.org/security/VSV00003.html

CNVD-2019-30716

Fastjson远程拒绝服务漏洞

用户可参考如下供应商提供的安全公告获得补丁信息:

https://github.com/alibaba/fastjson/commit/995845170527221ca0293cf290e33a7d6cb52bf7

CNVD-2019-30736

GOsa命令执行漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://github.com/gosa-project/gosa-core

CNVD-2019-30737

Brocade Network Advisor权限提升漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.broadcom.com/support/fibre-channel-networking/security-advisories/brocade-security-advisory-2018-841

小结:本周,Google被披露存在信息泄露和远程代码执行漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码。此外,Adobe、Mozilla、F5等多款产品被披露存在多个漏洞,攻击者可利用漏洞绕过同源策略并获取敏感信息,提升权限,执行任意代码或造成拒绝服务等。另外,D-Link DIR-823G被披露存在访问控制错误漏洞,攻击者可利用该漏洞劫持WLAN中所有客户端的DNS服务配置信息。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

(编辑:CNVD) | 已有1条评论
登录 后才能发表评论
已有1条评论