本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞505个,其中高危漏洞126个、中危漏洞327个、低危漏洞52个。漏洞平均分值为5.62。本周收录的漏洞中,涉及0day漏洞171个(占34%),其中互联网上出现“YzmCMS跨站请求伪造漏洞(CNVD-2019-33085)、WordPress yawpp插件跨站脚本漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数3148个,与上周(2794个)环比增长13%。
图1 CNVD收录漏洞近10周平均分值分布图
本周漏洞事件处置情况
本周,CNVD向基础电信企业通报漏洞事件4起,向银行、保险、能源等重要行业单位通报漏洞事件39起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件475起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件64起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件30起。
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:
北京易车信息科技有限公司、有品信息科技有限公司、苏州恩斯特网络科技有限公司、金蝶软件(中国)有限公司、中国中信股份有限公司、中国铁建重工集团股份有限公司、中国投融资担保股份有限公司、国旅投资发展有限公司、北京网御星云信息技术有限公司、中山市凝聚网络科技有限公司、淄博闪灵网络科技有限公司、上海企炬广告传媒有限公司、中国市政工程西南设计研究总院有限公司、深圳市天地心网络技术有限公司、南京路特软件有限公司、星网锐捷网络技术有限公司、广州恒企教育科技有限公司、北京东云创达科技有限公司、上海亿速网络科技有限公司、山西先启科技有限公司、北京良精志诚科技有限责任公司、成都火狐狸科技有限公司、上海鹏达计算机系统开发有限公司、杭州海康威视数字技术股份有限公司、鞍山中域网络科技有限公司、深圳市爱德数智科技股份有限公司、微点佰慧(北京)信息安全技术有限公司、广州热点软件科技股份有限公司、杭州当贝网络科技有限公司、灵吉网络科技有限公司、青岛易软天创网络科技有限公司、烟台云脉网络科技有限公司、北京广联达梦龙软件有限公司、深圳搜豹网络有限公司、微点佰慧(北京)信息安全技术有限公司、珠海金山办公软件有限公司、中国普联技术有限公司、北京博乐虎科技有限公司、广州市卓越里程教育科技有限公司、北京网康科技有限公司、普联技术有限公司、江苏汇文软件有限公司、奀司(上海)信息科技有限公司、原生态购物网、中国国际贸易促进委员会/中国国际商会调解中心、中环工作室、安徽启明星工作室、为因软件、睿谷信息科技、安优企业建站、中国国际社会公共安全产品博览会、DocCms X 开发团队、FineCMS、Adobe、ZZCMS、Zzzcms、ChineseEconomist Society和Guojiz。
本周漏洞报送情况统计
本周报送情况如表1所示。其中,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、华为技术有限公司、四川无声信息技术有限公司、深信服科技股份有限公司等单位报送公开收集的漏洞数量较多。远江盛邦(北京)网络安全科技股份有限公司、长春嘉诚信息技术股份有限公司、南京众智维信息科技有限公司、山东新潮信息技术有限公司、北京铭图天成信息技术有限公司、国瑞数码零点实验室、山东云天安全技术有限公司、北京君信安科技有限公司、广州锦行网络科技有限公司、北京圣博润高新技术股份有限公司、山东华鲁科技发展股份有限公司、北京智游网安科技有限公司、上海市信息安全测评认证中心、上海银基信息安全技术股份有限公司、河南信安世纪科技有限公司及其他个人白帽子向CNVD提交了3148个以事件型漏洞为主的原创漏洞,其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的2284条原创漏洞信息。
表1 漏洞报送情况统计表
报送单位或个人 | 漏洞报送数量 | 原创漏洞数量 |
奇安信网神(补天平台) | 1285 | 1285 |
斗象科技(漏洞盒子) | 993 | 993 |
北京天融信网络安全技术有限公司 | 305 | 1 |
哈尔滨安天科技集团股份有限公司 | 246 | 0 |
华为技术有限公司 | 143 | 0 |
四川无声信息技术有限公司 | 106 | 106 |
深信服科技股份有限公司 | 82 | 0 |
恒安嘉新(北京)科技股份公司 | 66 | 0 |
北京神州绿盟科技有限公司 | 57 | 0 |
厦门服云信息科技有限公司 | 56 | 1 |
新华三技术有限公司 | 55 | 0 |
北京启明星辰信息安全技术有限公司 | 43 | 1 |
浙江大华技术股份有限公司 | 14 | 14 |
北京数字观星科技有限公司 | 13 | 0 |
南京联成科技发展股份有限公司 | 10 | 10 |
沈阳东软系统集成工程有限公司 | 9 | 9 |
北京知道创宇信息技术股份有限公司 | 6 | 1 |
上海交大 | 6 | 6 |
西安四叶草信息技术有限公司 | 2 | 2 |
中国电信集团系统集成有限责任公司 | 1 | 1 |
远江盛邦(北京)网络安全科技股份有限公司 | 118 | 118 |
长春嘉诚信息技术股份有限公司 | 90 | 90 |
南京众智维信息科技有限公司 | 71 | 71 |
山东新潮信息技术有限公司 | 41 | 41 |
北京铭图天成信息技术有限公司 | 34 | 34 |
国瑞数码零点实验室 | 32 | 32 |
山东云天安全技术有限公司 | 25 | 25 |
北京君信安科技有限公司 | 14 | 14 |
广州锦行网络科技有限公司 | 14 | 14 |
北京圣博润高新技术股份有限公司 | 8 | 8 |
山东华鲁科技发展股份有限公司 | 7 | 7 |
北京智游网安科技有限公司 | 2 | 2 |
上海市信息安全测评认证中心 | 2 | 2 |
上海银基信息安全技术股份有限公司 | 2 | 2 |
河南信安世纪科技有限公司 | 1 | 1 |
河北分中心 | 15 | 15 |
宁夏分中心 | 10 | 10 |
浙江分中心 | 5 | 5 |
黑龙江分中心 | 2 | 2 |
个人 | 225 | 225 |
报送总计 | 4216 | 3148 |
本周漏洞按类型和厂商统计
本周,CNVD收录了505个漏洞。应用程序267个,WEB应用168个,网络设备(交换机、路由器等网络端设备)36个,操作系统25个,数据库5个,安全产品4个。
表2 漏洞按影响类型统计表
漏洞影响对象类型 | 漏洞数量 |
应用程序 | 267 |
WEB应用 | 168 |
网络设备(交换机、路由器等网络端设备) | 36 |
操作系统 | 25 |
数据库 | 5 |
安全产品 | 4 |
图2 本周漏洞按影响类型分布
CNVD整理和发布的漏洞涉及WordPress、Huawei、IBM等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
表3 漏洞产品涉及厂商分布统计表
序号 | 厂商(产品) | 漏洞数量 | 所占比例 |
1 | WordPress | 83 | 16% |
2 | Huawei | 27 | 5% |
3 | IBM | 26 | 5% |
4 | Apache | 24 | 5% |
5 | Microsoft | 22 | 4% |
6 | SAP | 20 | 4% |
7 | ImageMagick Studio LLC | 17 | 3% |
8 | GitLab | 15 | 3% |
9 | Micro Focus | 15 | 3% |
10 | 其他 | 256 | 51% |
本周行业漏洞收录情况
本周,CNVD收录了6个电信行业漏洞,14个移动互联网行业漏洞,11个工控行业漏洞(如下图所示)。其中,“多款Apple产品Kernel组件资源管理错误漏洞、Symantec Norton PasswordManager for Android信息泄露漏洞”等漏洞的相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
图3 电信行业漏洞统计
图4 移动互联网行业漏洞统计
图5 工控系统行业漏洞统计
本周重要漏洞安全告警
本周,CNVD整理和发布以下重要安全漏洞信息。
1、Huawei产品安全漏洞
Huawei P30是一款智能手机。Huawei Mate RS是一款智能手机。Huawei PCManager是一套电脑管理软件。Huawei CloudEngine 6800是一款面对数据中心的6800系列万兆以太网交换机。Huawei Emily-L29C是一款智能手机。Huawei P20是一款智能手机。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞绕过FRP功能并获取权限,导致程序崩溃或执行任意代码等。
CNVD收录的相关漏洞包括:Huawei P30整形溢出漏洞(CNVD-2019-33477、CNVD-2019-33478)、Huawei Mate RS锁屏绕过漏洞、Huawei PCManager代码执行漏洞、Huawei CloudEngine 6800鉴权不当漏洞、Huawei Emily-L29C重释放漏洞、Huawei P20 FRP安全绕过漏洞、Huawei Emily-L29C FRP绕过漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33477
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33478
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33606
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33610
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33612
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33616
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33618
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33622
2、Microsoft产品安全漏洞
MicrosoftWindows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Internet Explorer(IE)是一款Windows操作系统附带的Web浏览器。本周,上述产品被披露存在提权和远程代码执行漏洞,攻击者可利用漏洞提升权限,执行任意代码,造成内存破坏。
CNVD收录的相关漏洞包括:Microsoft Windows和Windows Server远程代码执行漏洞、Microsoft Windows kernelimage提权漏洞、Microsoft Windows和Windows Server提权漏洞(CNVD-2019-33312、CNVD-2019-33319、CNVD-2019-33320)、Microsoft Windows Kernel提权漏洞(CNVD-2019-33327)、Microsoft DirectX提权漏洞、Microsoft Internet Explorer远程代码执行漏洞(CNVD-2019-33597)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33310
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33311
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33312
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33319
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33320
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33327
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33325
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33597
3、Apache产品安全漏洞
ApacheTapestry是一款使用Java语言编写的Web应用程序框架。Apache OFBiz是一套企业资源计划(ERP)系统。Apache Commons Compress是一个用于处理压缩文件的库。Apache VCL是一套开源的云计算平台。Apache httpd是一款专为现代操作系统开发和维护的开源HTTP服务器。Apache PDFBox是一款基于Java语言的开源工具库。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码,造成拒绝服务(崩溃)等。
CNVD收录的相关漏洞包括:Apache Tapestry代码问题漏洞、Apache OFBiz代码执行漏洞、Apache OFBizjava.io.ObjectInputStream反序列化代码执行漏洞、Apache httpd mod_http2拒绝服务漏洞、Apache Commons Compress拒绝服务漏洞、Apache VCL输入验证错误漏洞、Apache httpd缓冲区溢出漏洞(CNVD-2019-33835)、Apache PDFBox代码问题漏洞。其中,除“Apache Commons Compress拒绝服务漏洞、Apache httpd缓冲区溢出漏洞(CNVD-2019-33835)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33625
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33825
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33827
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33830
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33833
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33837
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33835
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33839
4、IBM产品安全漏洞
IBM Security Key Lifecycle Manager(Tivoli Key Lifecycle Manager)是一套密钥生命周期管理软件。IBM DB2是一套关系型数据库管理系统。IBM Cognos Analytics一套商业智能软件。IBM API Connect(APIConnect)是一套用于管理API生命周期的集成解决方案。IBM Cognos Analytics是一套商业智能软件。IBM Spectrum Protect Plus是一套数据保护平台。IBM MQ(IBMWebSphere MQ)是一款消息传递中间件产品。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码,造成拒绝服务等。
CNVD收录的相关漏洞包括:IBM Security Key LifecycleManager信息泄露漏洞(NVD-C-2019-137712)、IBM DB2缓冲区溢出漏洞(CNVD-2019-33768)、IBM Cognos Analytics拒绝服务漏洞、IBM DB2 High Performance Unload load for LUW权限许可和访问控制问题漏洞、IBM API Connect访问控制错误漏洞、IBM Cognos Analytics路径遍历漏洞、IBM Spectrum Protect Plus权限许可和访问控制问题漏洞(CNVD-2019-33776)、IBM MQ权限许可和访问控制问题漏洞。其中,除“IBM Security Key Lifecycle Manager信息泄露漏洞(NVD-C-2019-137712)、IBM Cognos Analytics路径遍历漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33294
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33768
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33765
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33774
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33778
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33779
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33776
http://www.cnvd.org.cn/flaw/show/CNVD-2019-33782
5、LG GAMP-7100、GAPM-7200和GAPM-8000信息泄露漏洞
LG GAMP-7100等都是韩国乐金(LG)公司的一款路由器。本周,LG GAMP-7100、GAPM-7200和GAPM-8000被披露存在信息泄露漏洞。未授权的攻击者可利用漏洞获取受影响组件敏感信息。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-33821
更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。参考链接:http://www.cnvd.org.cn/flaw/list.htm
表4 部分重要高危漏洞列表
CNVD编号 | 漏洞名称 | 综合评级 | 修复方式 |
CNVD-2019-33594 | FreeBSD内核内存泄露漏洞 | 高 | 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://lists.freebsd.org/pipermail/freebsd-announce/2019-August/001909.html |
CNVD-2019-33599 | SamsungTTS组件权限提升漏洞 | 高 | 厂商已发布了漏洞修复程序,请及时关注更新: https://www.smartthings.com/ |
CNVD-2019-33624 | Huawei Hima-AL00B内存重释放漏洞 | 高 | 厂商已发布了漏洞修复程序,请及时关注更新: https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20190220-01-smartphone-cn |
CNVD-2019-33626 | EXIM4缓冲区溢出漏洞 | 高 | 厂商已发布了漏洞修复程序,请及时关注更新: https://exim.org |
CNVD-2019-33712 | Foxit Studio Photo缓冲区溢出漏洞 | 高 | 厂商已发布了漏洞修复程序,请及时关注更新: https://www.foxitsoftware.com/downloads/#Foxit-Studio-Photo/ |
CNVD-2019-33738 | ImageMagick Studio ImageMagick缓冲区溢出漏洞 | 高 | 厂商已发布漏洞修复程序,请及时关注更新: https://github.com/ImageMagick/ImageMagick/issues/1221 |
CNVD-2019-33758 | WordPress Tevolution插件代码问题漏洞 | 高 | 厂商已发布了漏洞修复程序,请及时关注更新: https://templatic.com/wordpress-plugins/tevolution/ |
CNVD-2019-33802 | Yandex ClickHouse授权问题漏洞 | 高 | 厂商已发布了漏洞修复程序,请及时关注更新: https://clickhouse.yandex/docs/en/security_changelog/ |
CNVD-2019-33822 | Cisco Small Business RV320和RV325授权问题漏洞 | 高 | 厂商已发布了漏洞修复程序,请及时关注更新: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-sbr-hijack |
CNVD-2019-33851 | Google Chrome V8资源管理错误漏洞 | 高 | 厂商已发布了漏洞修复程序,请及时关注更新: https://chromereleases.googleblog.com/2019/09/stable-channel-update-for-desktop.html |
小结:本周,Huawei产品被披露存在多个漏洞,攻击者可利用漏洞绕过FRP功能并获取权限,导致程序崩溃或执行任意代码等。此外,Microsoft、Apache、IBM等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码,造成拒绝服务等。另外,LG GAMP-7100、GAPM-7200和GAPM-8000被披露存在信息泄露漏洞。未授权的攻击者可利用漏洞获取受影响组件敏感信息。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。