登录  免费注册
当前位置:首页 > 周报 > 正文

2019年CNVD漏洞周报第37期(2019年09月09日-2019年09月15日)

2019-09-16 16:37:16

本周漏洞态势研判情况

 

本周信息安全漏洞威胁整体评价级别为

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞365个,其中高危漏洞87个、中危漏洞253个、低危漏洞25个。漏洞平均分值为5.87。本周收录的漏洞中,涉及0day漏洞79个(占22%),其中互联网上出现“iF.SVNAdmin跨站请求伪造漏洞、Best Soft Inc.(BSI)Advance Hotel Booking System跨站脚本漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数2276个,与上周(3140个)环比降低28%。


图1 CNVD收录漏洞近10周平均分值分布图

 

本周漏洞事件处置情况

 

本周,CNVD向基础电信企业通报漏洞事件0起,向银行、保险、能源等重要行业单位通报漏洞事件5起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件172起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件39起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件14起。

此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:

淄博闪灵网络科技有限公司、杭州云霁科技有限公司、青岛网搜网络技术有限公司、桂林崇胜网络科技有限公司、卫宁健康科技集团股份有限公司、湖南三唐信息科技有限公司、深圳市小水滴计算机系统有限公司、深圳市蓝凌软件股份有限公司、深圳迪元素科技有限公司、上海晓材科技有限公司、深圳市锟铻科技有限公司、深圳市正达自动化系统有限公司、四川迅睿云软件开发有限公司、青岛飞鸽软件有限公司、中达电通股份有限公司、上海卓卓网络科技有限公司、三菱电机自动化(中国)有限公司、北京亿赛通科技发展有限责任公司、广东凯格科技有限公司、河南网中网计算机科技有限公司、中电科新型智慧城市研究院有限公司、山西美丽通行科技有限公司、南京苏迪科技有限公司、民生置业有限公司、中粮集团有限公司、昆明奥远科技有限公司、长沙米拓信息技术有限公司、苏州恩斯特网络科技有限公司、江苏楚淮软件科技开发有限公司、睿谷信息科技、中国岩石力学与工程学会地下空间分会、六安市开发区鹏程网络工作室、中国机械工业联合会、中国银行间市场交易商协会、SchoolCMS、鱼跃CMS、Zzzcms、MoMoCMS、CatfishCMS和HadSky。

本周,CNVD发布了《Microsoft发布2019年9月安全更新》。详情参见CNVD网站公告内容。

https://www.cnvd.org.cn/webinfo/show/5205

 

本周漏洞报送情况统计

 

本周报送情况如表1所示。其中,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、华为技术有限公司、深信服科技股份有限公司、北京神州绿盟科技有限公司等单位报送公开收集的漏洞数量较多。南京众智维信息科技有限公司国网思极检测技术(北京)有限公司山东新潮信息技术有限公司任子行网络技术股份有限公司北京天地和兴科技有限公司远江盛邦(北京)网络安全科技股份有限公司北京君信安科技有限公司上海银基信息安全技术股份有限公司广州锦行网络科技有限公司北京铭图天成信息技术有限公司河南信安世纪科技有限公司北京智游网安科技有限公司北京信联科汇科技有限公司上海并擎软件科技有限公司及其他个人白帽子向CNVD提交了2276个以事件型漏洞为主的原创漏洞,其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的1862条原创漏洞信息。

表1 漏洞报送情况统计表

报送单位或个人

漏洞报送数量

原创漏洞数量

斗象科技(漏洞盒子)

899

899

奇安信网神(补天平台)

689

689

上海交大

274

274

北京天融信网络安全技术有限公司

236

14

哈尔滨安天科技集团股份有限公司

204

0

华为技术有限公司

146

0

深信服科技股份有限公司

87

0

北京神州绿盟科技有限公司

79

6

新华三技术有限公司

44

0

北京启明星辰信息安全技术有限公司

44

0

恒安嘉新(北京)科技股份公司

39

0

北京数字观星科技有限公司

21

0

中新网络信息安全股份有限公司

8

8

北京知道创宇信息技术股份有限公司

5

3

沈阳东软系统集成工程有限公司

1

1

南京众智维信息科技有限公司

92

92

国网思极检测技术(北京)有限公司

56

56

山东新潮信息技术有限公司

44

44

任子行网络技术股份有限公司

17

17

北京天地和兴科技有限公司

16

16

远江盛邦(北京)网络安全科技股份有限公司

14

14

北京君信安科技有限公司

10

10

上海银基信息安全技术股份有限公司

9

9

广州锦行网络科技有限公司

8

8

北京铭图天成信息技术有限公司

4

4

河南信安世纪科技有限公司

3

3

北京智游网安科技有限公司

2

2

北京信联科汇科技有限公司

2

2

上海并擎软件科技有限公司

1

1

CNCERT四川分中心

5

5

CNCERT贵州分中心

1

1

个人

98

98

报送总计

3158

2276

 

本周漏洞按类型和厂商统计

 

本周,CNVD收录了365个漏洞。WEB应用132个,应用程序164个,操作系统47个,网络设备(交换机、路由器等网络端设备)14个,智能设备(物联网终端设备)漏洞3个,安全产品3个,数据库2个。

表2 漏洞按影响类型统计表

漏洞影响对象类型

漏洞数量

WEB应用

132

应用程序

164

操作系统

47

网络设备(交换机、路由器等网络端设备)

14

智能设备(物联网终端设备)漏洞

3

安全产品

3

数据库

2

 

图2 本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及WordPress、Adobe、Google等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

序号

厂商(产品)

漏洞数量

所占比例

1

WordPress

98

27%

2

Adobe

23

7%

3

Google

22

6%

4

Limesurvey

19

5%

5

Oracle

18

5%

6

IBM

12

3%

7

Microsoft

11

3%

8

VideoLAN

10

2%

9

Cisco

8

2%

10

其他

144

40%

 

本周行业漏洞收录情况

 

本周,CNVD收录了14个电信行业漏洞,29个移动互联网行业漏洞,4个工控行业漏洞(如下图所示)。其中,“TP-Link M7350 V3命令注入漏洞(CNVD-2019-31307)、TP-Link M7350 V3命令注入漏洞、PostgreSQL存在未明漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接:http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接:http://mi.cnvd.org.cn/

工控系统行业漏洞链接:http://ics.cnvd.org.cn/


图3 电信行业漏洞统计


图4 移动互联网行业漏洞统计


图5 工控系统行业漏洞统计

 

本周重要漏洞安全告警


本周,CNVD整理和发布以下重要安全漏洞信息。

1、Google产品安全漏洞

Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。System是其中的一个系统组件。本周,该产品被披露存在信息泄露漏洞,攻击者可利用漏洞获取受影响组件敏感信息。

CNVD收录的相关漏洞包括:Google Android System信息泄露漏洞(CNVD-2019-31033、CNVD-2019-31034、CNVD-2019-31035、CNVD-2019-31036、CNVD-2019-31037、CNVD-2019-31038、CNVD-2019-31041、CNVD-2019-31042)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31033

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31034

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31035

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31036

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31037

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31038

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31041

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31042

2、Adobe产品安全漏洞

AdobeAcrobat是由Adobe公司开发的一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是Adobe公司开发的一款PDF文件阅读软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取信息或执行任意代码。

CNVD收录的相关漏洞包括:Adobe Acrobat/Reader缓冲区溢出漏洞(CNVD-2019-31021、CNVD-2019-31022)、Adobe Acrobat/Reader不可信指针解引用漏洞(CNVD-2019-30978、CNVD-2019-30979、CNVD-2019-30980、CNVD-2019-30981)、Adobe Acrobat/Reader整数溢出漏洞(CNVD-2019-31025)、Adobe Acrobat/Reader数据泄露漏洞。其中,“Adobe Acrobat/Reader缓冲区溢出漏洞(CNVD-2019-31021、CNVD-2019-31022)、Adobe Acrobat/Reader不可信指针解引用漏洞(CNVD-2019-30978、CNVD-2019-30979、CNVD-2019-30980、CNVD-2019-30981)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31021

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31022

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30978

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30979

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30980

http://www.cnvd.org.cn/flaw/show/CNVD-2019-30981

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31025

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31023

3、GitLab产品安全漏洞

GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。本周,上述产品被披露存在多个漏洞,攻击者可利用该漏洞绕过项目可视性限制和合并请求的讨论限制,耗尽客户端资源,执行客户端代码或造成拒绝服务等。

CNVD收录的相关漏洞包括:GitLab跨站脚本漏洞(CNVD-2019-31313)、GitLab授权问题漏洞(CNVD-2019-31314)、GitLab拒绝服务漏洞(CNVD-2019-31315、CNVD-2019-31322)、GitLab限制绕过漏洞(CNVD-2019-31323、CNVD-2019-31324)、GitLab HTML注入漏洞(CNVD-2019-31316)、GitLab代码问题漏洞。其中,“GitLab代码问题漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31313

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31314

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31315

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31316

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31317

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31322

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31323

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31324

4、WordPress产品安全漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。本周,上述产品被披露存在多个漏洞,攻击者可利用该漏洞向服务器发送非预期的请求,执行非法SQL命令。

CNVD收录的相关漏洞包括:WordPress wp-all-import插件SQL注入漏洞、WordPressnewsletter-by-supsystic插件跨站请求伪造漏洞、WordPresswp-business-intelligence-lite插件SQL注入漏洞、WordPress note-press插件SQL注入漏洞、WordPresseasy-digital-downloads插件SQL注入漏洞、WordPress 404-to-301插件SQL注入漏洞、WordPress i-recommend-this插件SQL注入漏洞、WordPress visitors-online插件SQL注入漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31133

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31153

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31172

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31173

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31175

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31177

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31178

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31180

5、Xpdf缓冲区溢出漏洞(CNVD-2019-31202)

Xpdf是Foo实验室的一款开源的PDF阅读器。本周,Xpdf被披露存在缓冲区溢出漏洞,攻击者可利用该漏洞导致缓冲区溢出或堆溢出。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-31202

更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。参考链接:http://www.cnvd.org.cn/flaw/list.htm

表4 部分重要高危漏洞列表

CNVD编号

漏洞名称

综合评级

修复方式

CNVD-2019-30794

Exim缓冲区溢出漏洞

厂商已发布了漏洞修复程序,请及时关注更新:
https://exim.org/

CNVD-2019-30907

CA Technologies Client Automation和Workload Automation AE访问控制错误漏洞

厂商已发布了漏洞修复程序,请及时关注更新:
https://techdocs.broadcom.com/us/product-content/recommended-reading/security-notices/CA20190904-01--security-notice-for-ca-common-services-distributed-intelligence-architecture-dia.html

CNVD-2019-31056

Microsoft Windows AppX Deployment Service提权漏洞

厂商已发布了漏洞修复程序,请及时关注更新:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0841

CNVD-2019-31131

IBM Emptoris Spend Analysis SQL注入漏洞

厂商已发布了漏洞修复程序,请及时关注更新:
https://www-01.ibm.com/support/docview.wss?uid=ibm10880223

CNVD-2019-31199

PHP pecl-http extension缓冲区溢出漏洞

厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/m6w6/ext-http/commit/17137d4ab1ce81a2cee0fae842340a344ef3da83

CNVD-2019-31201

Facebook HHVM缓冲区溢出漏洞(CNVD-2019-31201)

厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/facebook/hhvm/commit/f9680d21beaa9eb39d166e8810e29fbafa51ad15

CNVD-2019-31230

Silver Peak Systems EdgeConnect SD-WAN授权问题漏洞

厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/sdnewhop/sdwannewhope/blob/master/reports/Silverpeak%20EdgeConnect%20Multiple%20Vulnerabilities%20-%20032018.pdf

CNVD-2019-31298

Cisco Webex Teams注入漏洞

厂商已发布了漏洞修复程序,请及时关注更新:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190904-webex-teams

CNVD-2019-31312

TP-Link M7350 V3命令注入漏洞

厂商已发布了漏洞修复程序,请及时关注更新:
https://www.tp-link.com/

CNVD-2019-31368

OpenSC越界访问漏洞

厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/OpenSC/OpenSC/commit/a3fc7693f3a035a8a7921cffb98432944bb42740

小结:本周,Google被披露存在信息泄露漏洞,攻击者可利用漏洞获取受影响组件敏感信息。此外,Adobe、GitLab、WordPress等多款产品被披露存在多个漏洞,攻击者可利用该漏洞绕过项目可视性限制和合并请求的讨论限制,耗尽客户端资源,执行任意代码或造成拒绝服务等。另外,Xpdf被披露存在缓冲区溢出漏洞,攻击者可利用该漏洞导致缓冲区溢出或堆溢出。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论