登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2019年第9期

2019-10-08 16:36:01

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞2003个,其中高危漏洞546个,中危漏洞1290个,低危漏洞167个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1765个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Google多款产品存在安全漏洞

CNVD编号

CNVD-2019-30324、CNVD-2019-30325

CNVD-2019-30326、CNVD-2019-30702

CNVD-2019-30703、CNVD-2019-30704

CNVD-2019-30705、CNVD-2019-30706

CNVD-2019-30708、CNVD-2019-30712

本月,Google多款产品存在安全漏洞。攻击者可利用漏洞提升权限,执行代码。本月漏洞包括:Google Android Media framework远程代码执行漏洞(CNVD-2019-30324、CNVD-2019-30325)、Google Android System远程代码执行漏洞(CNVD-2019-30326)、Google Android Touch驱动程序提权漏洞(CNVD-2019-30702、CNVD-2019-30703)、Google Android Image驱动程序组件提权漏洞(CNVD-2019-30704、CNVD-2019-30705)、Google Android Kernel MMU提权漏洞、Google Android LG Bootloader提权漏洞、Google Android NVIDIA BootROM提权漏洞等。

 
 
 
 
 

其他编号

CVE-2019-2176、CVE-2019-2108

CVE-2019-2177、CVE-2019-9276

CVE-2019-9248、CVE-2019-2189

CVE-2019-2188、CVE-2019-2182

CVE-2019-9436、CVE-2018-6240

 
 
 
 
 

发布时间

2019/09/06

 

影响产品

Google Android

 
 
 
 
 
 
 
 

2

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2019-30143、CNVD-2019-30149

CNVD-2019-31125、CNVD-2019-31130

CNVD-2019-31131、CNVD-2019-32438

CNVD-2019-32459、CNVD-2019-33768

CNVD-2019-33765、CNVD-2019-33774

本月,IBM多款产品存在安全漏洞。攻击者可利用漏洞获取数据库敏感信息,提升权限,执行任意代码或造成拒绝服务攻击等。本月漏洞包括:IBM Business Process Manager和IBM Business Automation Workflow XML外部实体注入漏洞、IBM DB2 High Performance Unload权限提升漏洞、IBM Security Guardium Big Data Intelligence XML外部实体注入漏洞、IBM Emptoris Contract Management SQL注入漏(CNVD-2019-31130)、IBM Emptoris Spend Analysis SQL注入漏洞、IBM DataPower Gateway命令注入漏洞、IBM DB2缓冲区溢出漏洞(CNVD-2019-32459、CNVD-2019-33768)、IBM Cognos Analytics拒绝服务漏洞、IBM DB2 High Performance Unload load for LUW权限许可和访问控制问题漏洞等。

 
 
 
 
 

其他编号

CVE-2019-4424、CVE-2019-4448

CVE-2019-4340、CVE-2019-4481

CVE-2019-4483、CVE-2019-4294

CVE-2019-4322、CVE-2019-4154

CVE-2019-4183、CVE-2019-4447

 
 
 
 
 

发布时间

2019/09/11

 

影响产品

IBM DB2 High Performance Unload load for LUW

IBM Security Guardium Big Data Intelligence

IBM Business Automation Workflow

IBM Emptoris Contract Management

IBM Business Process Manager

IBM Emptoris Spend Analysis

IBM IBM DataPower Gateway CD

IBM IBM Cognos Analytics

IBM DB2

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2019-30081、CNVD-2019-30091

CNVD-2019-30092、CNVD-2019-30978

CNVD-2019-30979、CNVD-2019-30977

CNVD-2019-30982、CNVD-2019-30980

CNVD-2019-30981、CNVD-2019-30983

本月,Adobe多款产品存在安全漏洞。攻击者可以利用漏洞执行任意代码。本月漏洞包括:Adobe Acrobat/Reader不可信指针解引用漏洞(CNVD-2019-30081、CNVD-2019-30091、CNVD-2019-30092、CNVD-2019-30978、CNVD-2019-30979、CNVD-2019-30982、CNVD-2019-30980、CNVD-2019-30981、CNVD-2019-30983)、Adobe Creative Cloud Desktop Application任意代码执行漏洞等。

 
 
 
 
 

其他编号

CVE-2019-8045、CVE-2019-8006

CVE-2019-8017、CVE-2019-7051

CVE-2019-7054、CVE-2019-7959

CVE-2019-7042、CVE-2019-7066

CVE-2019-7076、CVE-2019-7046

 
 
 
 
 

发布时间

2019/09/10

 

影响产品

Adobe Acrobat DC (Continuous)

Adobe Acrobat 2017 (Classic 2017)

Adobe Acrobat Reader 2017(Classic 2017)

Adobe Acrobat DC(Classic 2015)

Adobe Acrobat Reader DC(Classic 2015)

Adobe Acrobat Reader DC (Continuous)

Adobe Creative Cloud Desktop Application

 
 
 
 
 
 
 
 

4

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2019-30523、CNVD-2019-30526

CNVD-2019-30527、CNVD-2019-31844

CNVD-2019-31859、CNVD-2019-33308

CNVD-2019-33310、CNVD-2019-33327

CNVD-2019-33325、CNVD-2019-33597

本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞提升权限,执行任意代码,造成内存破坏等。本月漏洞包括:Microsoft Edge和Internet Explorer缓冲区溢出漏洞(CNVD-2019-30523)、Microsoft Internet Explorer缓冲区溢出漏洞(CNVD-2019-30526)、Microsoft Internet Explorer和Edge远程代码执行漏洞(CNVD-2019-30527)、Microsoft Windows Compatibility Appraiser提权漏洞、Microsoft Windows Remote Desktop Client远程代码执行漏洞、Microsoft Windows VBScript引擎远程代码执行漏洞(CNVD-2019-33308)、Microsoft Windows和Windows Server远程代码执行漏洞、Microsoft Windows Kernel提权漏洞(CNVD-2019-33327)、Microsoft DirectX提权漏洞、Microsoft Internet Explorer远程代码执行漏洞(CNVD-2019-33597)等。

 
 
 
 
 

其他编号

CVE-2019-1193、CVE-2019-0920

CVE-2019-1038、CVE-2019-1267

CVE-2019-0787、CVE-2019-1183

CVE-2019-1188、CVE-2019-1164

CVE-2019-1176、CVE-2019-1367

 
 
 
 
 

发布时间

2019/09/27

 

影响产品

Microsoft Internet Explorer

Microsoft Edge

Microsoft Windows Server 2008

Microsoft Windows 7

Microsoft Windows 8.1

Microsoft Windows Server 2012

Microsoft Windows 10

Microsoft Windows Server 2016

Microsoft Windows Server

Microsoft Windows Server 2019

Microsoft Windows RT 8.1

 

5

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2019-31301、CNVD-2019-31302

CNVD-2019-31304、CNVD-2019-32059

CNVD-2019-32060、CNVD-2019-32062

CNVD-2019-32063、CNVD-2019-32064

CNVD-2019-32067、CNVD-2019-33476

本月,Cisco多款产品存在安全漏洞。攻击者可利用漏洞执行未授权的操作,获取敏感信息,造成拒绝服务等。本月漏洞包括:Cisco Identity Services Engine跨站脚本漏洞(CNVD-2019-31301)、Cisco Jabber Client Framework输入验证错误漏洞、Cisco Unified Contact Center Express代码问题漏洞、Cisco NX-OS Software和Cisco FXOS Software输入验证错误漏洞、Cisco NX-OS Software Cisco Fabric Services组件输入验证错误漏洞、Cisco NX-OS Software资源管理错误漏洞(CNVD-2019-32062)、Cisco NX-OS Software输入验证错误漏洞、Cisco NX-OS Software资源管理错误漏洞、Cisco UCS C-Series Servers和UCS S-Series Servers信息泄露漏洞、Cisco IOS XE跨站脚本漏洞(CNVD-2019-33476)等。

 
 
 
 
 

其他编号

CVE-2019-12644、CVE-2019-12645

CVE-2019-12633、CVE-2019-1963

CVE-2019-1962、CVE-2019-1965

CVE-2019-1968、CVE-2019-1967

CVE-2019-1908、CVE-2019-12667

 
 
 
 
 

发布时间

2019/09/19

 

影响产品

Cisco Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode

Cisco Nexus 9000 Series Switches in standalone NX-OS mode

Cisco Nexus 1000 Virtual Edge for VMware vSphere

Cisco Nexus 1000V Switch for Microsoft Hyper-V

Cisco Cisco Jabber Client Framework for Mac

Cisco Cisco Unified Contact Center Express

Cisco Nexus 1000V Switch for VMware vSphere

Cisco UCS 6400 Series Fabric Interconnects

Cisco Nexus 9500 R-Series Switching Platform

Cisco MDS 9000 Series Multilayer Switches

Cisco UCS 6200 Series Fabric Interconnects

Cisco UCS 6300 Series Fabric Interconnects

Cisco MDS 9000 Series Multilayer Switches

Cisco Firepower 9300 Security Appliances

Cisco Cisco Identity Services Engine

Cisco Nexus 5600 Platform Switches

Cisco Nexus 5500 Platform Switches

Cisco Nexus 3500 Platform Switches

Cisco Nexus 3600 Platform Switches

Cisco Nexus 9000 Series Switches

Cisco Nexus 7000 Series Switches

Cisco Nexus 3000 Series Switches

Cisco Nexus 6000 Series Switches

Cisco Nexus 7700 Series Switches

Cisco Firepower 4100 Series

Cisco UCS C-Series Servers

Cisco IOS XE

 

6

Mozilla多款产品存在安全漏洞

CNVD编号

CNVD-2019-30437、CNVD-2019-30438

CNVD-2019-30440、CNVD-2019-30441

CNVD-2019-30446、CNVD-2019-30447

CNVD-2019-30445、CNVD-2019-32237

CNVD-2019-32240、CNVD-2019-32242

本月,Mozilla多款产品存在安全漏洞。攻击者可利用漏洞绕过安全限制,获取敏感信息,提升权限,执行任意代码,造成沙盒逃逸等。本月漏洞包括:Mozilla Firefox信息泄露漏洞(CNVD-2019-30437)、Mozilla Firefox未授权访问漏洞(CNVD-2019-30438)、Mozilla Firefox权限提升漏洞(CNVD-2019-30440)、Mozilla Firefox安全策略绕过漏洞、Mozilla Firefox跨站脚本漏洞(CNVD-2019-30446、CNVD-2019-30447)、Mozilla Firefox类型混淆漏洞、Mozilla Firefox和Mozilla Firefox ESR权限提升漏洞、Mozilla Firefox和Mozilla Firefox ESR代码执行漏洞、Mozilla Firefox和Mozilla Firefox ESR沙盒逃逸漏洞等。

 
 
 
 
 

其他编号

CVE-2019-11743、CVE-2019-11742

CVE-2019-11736、CVE-2019-11737

CVE-2019-11741、CVE-2019-11744

CVE-2019-11750、CVE-2019-11753

CVE-2019-11735、CVE-2019-9812

 
 
 
 
 

发布时间

2019/09/05

 

影响产品

Mozilla Firefox

Mozilla Firefox ESR

 

7

Linux多款产品存在安全漏洞

CNVD编号

CNVD-2019-29723、CNVD-2019-31637

CNVD-2019-31641、CNVD-2019-31638

CNVD-2019-31639、CNVD-2019-31643

CNVD-2019-31646、CNVD-2019-31655

CNVD-2019-31656、CNVD-2019-31660

本月,Linux多款产品存在安全漏洞。攻击者可利用漏洞导致缓冲区溢出或堆溢出等。本月漏洞包括:Linux kernel缓冲区溢出漏洞(CNVD-2019-29723)、Linux kernel空指针解引用漏洞(CNVD-2019-31637、CNVD-2019-31641、CNVD-2019-31638、CNVD-2019-31639、CNVD-2019-31643、CNVD-2019-31646、CNVD-2019-31655、CNVD-2019-31656、CNVD-2019-31660)等。

 
 
 
 
 

其他编号

CVE-2019-15090、CVE-2019-16232

CVE-2019-16234、CVE-2019-16231

CVE-2019-16230、CVE-2019-16233

CVE-2019-15922、CVE-2019-15924

CVE-2019-15923、CVE-2019-16229

 
 
 
 
 

发布时间

2019/09/16

 

影响产品

Linux kernel

 

8

Huawei多款产品存在安全漏洞

CNVD编号

CNVD-2019-33474、CNVD-2019-33477

CNVD-2019-33478、CNVD-2019-33606

CNVD-2019-33610、CNVD-2019-33612

CNVD-2019-33616、CNVD-2019-33618

CNVD-2019-33622、CNVD-2019-33624

本月,Huawei多款产品存在安全漏洞。攻击者可利用漏洞造成拒绝服务或执行恶意代码等。本月漏洞包括:Huawei ELLE-AL00B不充分校验漏洞、Huawei P30整形溢出漏洞、Huawei P30整形溢出漏洞(CNVD-2019-33478)、Huawei Mate RS锁屏绕过漏洞、Huawei PCManager代码执行漏洞、Huawei CloudEngine 6800鉴权不当漏洞、Huawei Emily-L29C重释放漏洞、Huawei P20 FRP安全绕过漏洞、Huawei Emily-L29C FRP绕过漏洞、Huawei Hima-AL00B内存重释放漏洞等。

 
 
 
 
 

其他编号

CVE-2019-5246、CVE-2019-5288

CVE-2019-5287、CVE-2018-7929

CVE-2019-5238、CVE-2019-5304

CVE-2019-5236、CVE-2019-5306

CVE-2019-5297、CVE-2019-5282

 
 
 
 
 

发布时间

2019/09/29

 

影响产品

Huawei ELLE-AL00B

Huawei P30

Huawei Mate RS

Huawei PCManager

Huawei CloudEngine 12800

Huawei Emily-L29C

Huawei P20

Huawei Emily-L29C

Huawei Hima-AL00B

 

表1 本月重要漏洞信息


    1.2漏洞被关注情况

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前8个月相比,本月操作系统、应用程序、WEB应用和智能设备(物联网终端设备)漏洞的数量处于高位,数据库的数量处于低位,网络设备(交换机、路由器等网络端设备)和安全产品的数量基本持平。


图1 漏洞类型分布


     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

泛微OA存在任意文件下载漏洞

CNVD-2019-29900

2019/09/18

2

Fastjson远程代码执行漏洞(CNVD-2019-32498)

CNVD-2019-32498

2019/09/23

3

WordPress Checklist跨站点脚本漏洞

CNVD-2019-31192

2019/09/12

4

PbootCMS v1.4.1前台搜索页面模板存在命令执行漏洞

CNVD-2019-27743

2019/09/13

5

深圳市硕赢互动信息技术有限公司建站系统存在未授权访问漏洞

CNVD-2019-27741

2019/09/13

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是泛微OA存在任意文件下载漏洞,其访问量达到1646次以上。攻击者可利用该漏洞获取敏感信息。


     1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞2003个,与前8个月平均收录数量1154个相比,处于高位;本月高危漏洞546个,与前8个月高危漏洞平均收录数量363个相比,处于高位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月20日发布的安全漏洞数量最多,都高达209个,主要是因为收录了WordPress、IBM等多款产品存在的多个漏洞。


      2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、阿里云计算有限公司、华为技术有限公司、深信服科技股份有限公司等单位报送公开收集的漏洞数量较多。长春嘉诚信息技术股份有限公司、北京铭图天成信息技术有限公司、南京众智维信息科技有限公司、远江盛邦(北京)网络安全科技股份有限公司、山东新潮信息技术有限公司、山东云天安全技术有限公司、任子行网络技术股份有限公司、国瑞数码零点实验室、国网思极检测技术(北京)有限公司、北京君信安科技有限公司、广州锦行网络科技有限公司、北京圣博润高新技术股份有限公司、北京天地和兴科技有限公司、内蒙古奥创科技有限公司、浙江国利网安科技有限公司、上海银基信息安全技术股份有限公司、北京智游网安科技有限公司、山东华鲁科技发展股份有限公司、河南信安世纪科技有限公司、上海市信息安全测评认证中心、山石网科通信技术股份有限公司、北京信联科汇科技有限公司、深圳市魔方安全科技有限公司及其他个人白帽子向CNVD提交了11763个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的9172条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

奇安信网神(补天平台)

3960

3960

斗象科技(漏洞盒子)

3814

3814

上海交大

1398

1398

北京天融信网络安全技术有限公司

1056

25

哈尔滨安天科技集团股份有限公司

933

0

阿里云计算有限公司

812

0

华为技术有限公司

602

0

深信服科技股份有限公司

402

0

北京神州绿盟科技有限公司

325

15

北京启明星辰信息安全技术有限公司

225

1

四川无声信息技术有限公司

198

198

新华三技术有限公司

197

0

恒安嘉新(北京)科技股份公司

181

0

厦门服云信息科技有限公司

103

2

北京数字观星科技有限公司

73

0

北京知道创宇信息技术股份有限公司

20

6

南京联成科技发展股份有限公司

15

15

中国电信集团系统集成有限责任公司

15

15

沈阳东软系统集成工程有限公司

14

14

浙江大华技术股份有限公司

14

14

西安四叶草信息技术有限公司

10

10

中新网络信息安全股份有限公司

8

8

长春嘉诚信息技术股份有限公司

342

342

北京铭图天成信息技术有限公司

267

267

南京众智维信息科技有限公司

244

244

远江盛邦(北京)网络安全科技股份有限公司

186

186

山东新潮信息技术有限公司

119

119

山东云天安全技术有限公司

105

105

任子行网络技术股份有限公司

81

81

国瑞数码零点实验室

74

74

国网思极检测技术(北京)有限公司

56

56

北京君信安科技有限公司

40

40

广州锦行网络科技有限公司

31

31

北京圣博润高新技术股份有限公司

16

16

北京天地和兴科技有限公司

16

16

内蒙古奥创科技有限公司

13

13

浙江国利网安科技有限公司

12

12

上海银基信息安全技术股份有限公司

11

11

北京智游网安科技有限公司

8

8

山东华鲁科技发展股份有限公司

8

8

河南信安世纪科技有限公司

7

7

上海市信息安全测评认证中心

5

5

山石网科通信技术股份有限公司

4

4

北京信联科汇科技有限公司

2

2

深圳市魔方安全科技有限公司

1

1

个人

620

620

总计

2003(去重)

11763

表3 单位和个人上报漏洞统计
(编辑:CNVD) | 已有2条评论

评论

2019-10-24 sanqiu sanqiu
为啥没有年报啊
2019-10-24 sanqiu sanqiu
为啥没有年报啊
登录 后才能发表评论
已有2条评论