登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2019年第10期

2019-11-01 13:44:18

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞1613个,其中高危漏洞402个,中危漏洞1070个,低危漏洞141个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1375个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Google多款产品存在安全漏洞

CNVD编号

CNVD-2019-34131、CNVD-2019-34469

CNVD-2019-36638、CNVD-2019-36640

CNVD-2019-36641、CNVD-2019-36639

CNVD-2019-36905、CNVD-2019-36924

CNVD-2019-36945、CNVD-2019-36948

本月,Google多款产品存在安全漏洞。攻击者可利用漏洞提升权限,执行代码,获取敏感信息和导致拒绝服务等。本月漏洞包括:Google Android拒绝服务漏洞(CNVD-2019-34131)、Google Android VPN信息泄露漏洞、Google Android MNH提权漏洞(CNVD-2019-36638、CNVD-2019-36640、CNVD-2019-36641、CNVD-2019-36639)、Google Chrome audio资源管理错误漏洞、Google Chrome V8资源管理错误漏洞(CNVD-2019-36924)、Google Chrome IndexedDB资源管理错误漏洞、Google Chrome WebRTC资源管理错误漏洞等。

 
 
 
 
 

其他编号

CVE-2019-9349、CVE-2019-9461

CVE-2019-9441、CVE-2019-9274

CVE-2019-9275、CVE-2019-9442

CVE-2019-13695、CVE-2019-13696

CVE-2019-13693、CVE-2019-13694

 
 
 
 
 

发布时间

2019/10/24

 

影响产品

Google Android

Google Chrome

 
 
 
 
 
 
 
 

2

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2019-34392、CNVD-2019-34465

CNVD-2019-34599、CNVD-2019-34598

CNVD-2019-34597、CNVD-2019-34602

CNVD-2019-34605、CNVD-2019-34604

CNVD-2019-34603、CNVD-2019-35782

本月,IBM多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,提升权限,执注入任意的JavaScript代码等。本月漏洞包括:IBM Sterling Connect:Direct for Unix提权漏洞、IBM Maximo Asset Management信息泄露漏洞(CNVD-2019-34599)、IBM WebSphere Application Server信息泄露漏洞(CNVD-2019-34602)、IBM Sterling File Gateway信息泄露漏洞(CNVD-2019-34605)、IBM Daeja ViewONE Virtual信息泄露漏洞(NVD-C-2019-144873)、IBM Security Key Lifecycle Manager信息泄露漏洞(CNVD-2019-34598)、IBM Security Key Lifecycle Manager跨站脚本漏洞、IBM Jazz Reporting Service跨站脚本漏洞(CNVD-2019-35782、CNVD-2019-34597、CNVD-2019-34392)等。

 
 
 
 
 

其他编号

CVE-2019-4495、CVE-2019-4529

CVE-2019-4512、CVE-2019-4514

CVE-2019-4497、CVE-2019-4441

CVE-2019-4280、CVE-2019-4246

CVE-2019-4564、CVE-2019-4494

 
 
 
 
 

发布时间

2019/10/11

 

影响产品

IBM Jazz Reporting Service(JRS)

IBM Sterling Connect:Direct for Unix

IBM Maximo Asset Management

IBM WebSphere Application Server

IBM Sterling File Gateway

IBM Daeja ViewONE Virtual

IBM Security Key Lifecycle Manager(Tivoli Key Lifecycle Manager)

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2019-35604、CNVD-2019-35605

CNVD-2019-35606、CNVD-2019-35607

CNVD-2019-35608、CNVD-2019-35610

CNVD-2019-35611、CNVD-2019-35609

CNVD-2019-35612、CNVD-2019-35613

本月,Adobe多款产品存在安全漏洞。攻击者可以利用漏洞执行任意代码。本月漏洞包括:Adobe Acrobat/Reader内存错误引用漏洞(CNVD-2019-35604、CNVD-2019-35605、CNVD-2019-35606、CNVD-2019-35607、CNVD-2019-35608、CNVD-2019-35610、CNVD-2019-35611、CNVD-2019-35609、CNVD-2019-35612、CNVD-2019-35613)等。

 
 
 
 
 

其他编号

CVE-2019-8219、CVE-2019-8220

CVE-2019-8221、CVE-2019-8223

CVE-2019-8224、CVE-2019-8213

CVE-2019-8214、CVE-2019-8225

CVE-2019-8215、CVE-2019-8217

 
 
 
 
 

发布时间

2019/10/17

 

影响产品

Adobe Acrobat DC (Continuous)

Adobe Acrobat Reader DC (Continuous)

Adobe Acrobat 2017 (Classic 2017)

Adobe Acrobat Reader 2017 (Classic 2017)

Adobe Acrobat 2015 (Classic 2015)

Adobe Acrobat Reader 2015 (Classic 2015)

 
 
 
 
 
 
 
 

4

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2019-35567、CNVD-2019-35571

CNVD-2019-36634、CNVD-2019-36635

CNVD-2019-36637、CNVD-2019-36636

CNVD-2019-36876、CNVD-2019-36877

CNVD-2019-36878、CNVD-2019-36879

本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码,造成内存破坏。本月漏洞包括:Microsoft Internet Explorer远程代码执行漏洞(CNVD-2019-35567、CNVD-2019-35571)、Microsoft Edge Chakra脚本引擎内存破坏漏洞(CNVD-2019-36634、CNVD-2019-36635、CNVD-2019-36637、CNVD-2019-36636、CNVD-2019-36876、CNVD-2019-36877、CNVD-2019-36878、CNVD-2019-36879)等。

 
 
 
 
 

其他编号

CVE-2019-1371、CVE-2019-1239

CVE-2019-1307、CVE-2019-1308

CVE-2019-1300、CVE-2019-1335

CVE-2019-1138、CVE-2019-1217

CVE-2019-1237、CVE-2019-1298

 
 
 
 
 

发布时间

2019/10/23

 

影响产品

Microsoft Internet Explorer

Microsoft Edge

 

5

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2019-34714、CNVD-2019-34718

CNVD-2019-34719、CNVD-2019-34731

CNVD-2019-34732、CNVD-2019-34734

CNVD-2019-34736、CNVD-2019-34733

CNVD-2019-34737、CNVD-2019-34738

本月,Cisco多款产品存在安全漏洞。攻击者可利用漏洞执行任意命令。本月漏洞包括:Cisco Firepower Management Center缓冲区溢出漏洞(CNVD-2019-34718、CNVD-2019-34734)、Cisco Firepower Management Center SQL注入漏洞(CNVD-2019-34719、CNVD-2019-34731、CNVD-2019-34732、CNVD-2019-34714、CNVD-2019-34736、CNVD-2019-34733、CNVD-2019-34737、CNVD-2019-34738)等。

 
 
 
 
 

其他编号

CVE-2019-12685、CVE-2019-12687

CVE-2019-12686、CVE-2019-12683

CVE-2019-12682、CVE-2019-12688

CVE-2019-12684、CVE-2019-12681

CVE-2019-12680、CVE-2019-12679

 
 
 
 
 

发布时间

2019/10/12

 

影响产品

Cisco Firepower Management Center

 

6

Apple多款产品存在安全漏洞

CNVD编号

CNVD-2019-34365、CNVD-2019-34371

CNVD-2019-36616、CNVD-2019-36617

CNVD-2019-36614、CNVD-2019-36618

CNVD-2019-36619、CNVD-2019-37180

CNVD-2019-37184、CNVD-2019-37185

本月,Apple多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码。本月漏洞包括:Apple Xcode ld64组件任意代码执行漏洞(CNVD-2019-34365、CNVD-2019-37184、CNVD-2019-37185、CNVD-2019-34371)、Apple iTunes for Windows和Apple iCloud for Windows WebKit组件内存破坏漏洞(CNVD-2019-36617、CNVD-2019-36616、CNVD-2019-36618、CNVD-2019-36619)、Apple macOS Catalina内存破坏漏洞、Apple Xcode otool组件任意代码执行漏洞(CNVD-2019-37180)等。

 
 
 
 
 

其他编号

CVE-2019-8722、CVE-2019-8724

CVE-2019-8763、CVE-2019-8735

CVE-2019-8781、CVE-2019-8733

CVE-2019-8726、CVE-2019-8738

CVE-2019-8723、CVE-2019-8721

 
 
 
 
 

发布时间

2019/10/22

 

影响产品

Apple Xcode

Apple iTunes for Windows

Apple iCloud for Windows

Apple macOS Catalina

 

7

Oracle多款产品存在安全漏洞

CNVD编号

CNVD-2019-34704、CNVD-2019-36881

CNVD-2019-36880、CNVD-2019-37208

CNVD-2019-37209、CNVD-2019-37218

CNVD-2019-37227、CNVD-2019-37228

CNVD-2019-37384、CNVD-2019-37385

本月,Oracle多款产品存在安全漏洞。攻击者可利用漏洞未授权读取、更新、插入或删除数据,导致拒绝服务等。本月漏洞包括:Oracle Enterprise Manager Products Suite Application Testing Suite组件访问控制错误漏洞、Oracle MySQL Server信息泄露漏洞(CNVD-2019-36881、CNVD-2019-36880)、Oracle Database Server Core RDBMS组件信息泄露漏洞(CNVD-2019-37209、CNVD-2019-37208)、Oracle Java SE和Java SE Embedded信息泄露漏洞、Oracle Fusion Middleware Business Intelligence Enterprise Edition信息泄露漏洞(CNVD-2019-37227、CNVD-2019-37228)、Oracle Open Design Alliance Drawings SDK缓冲区溢出漏洞(CNVD-2019-37385、CNVD-2019-37384)等。

 
 
 
 
 

其他编号

CVE-2019-2727、CVE-2019-2922

CVE-2019-2923、CVE-2019-2913

CVE-2019-2939、CVE-2019-2933

CVE-2019-2905、CVE-2019-2900

CVE-2018-18223、CVE-2018-18224

 
 
 
 
 

发布时间

2019/10/25

 

影响产品

Oracle Application Testing Suite

Oracle MySQL Server

Oracle Database Server

Oracle Java SE

Oracle Java SE Embedded

Oracle Fusion Middleware Business Intelligence Enterprise Edition

Oracle Open Design Alliance Drawings SDK

 

8

CloudBees多款产品存在安全漏洞

CNVD编号

CNVD-2019-34780、CNVD-2019-34779

CNVD-2019-34783、CNVD-2019-34784

CNVD-2019-34785、CNVD-2019-34786

CNVD-2019-34787、CNVD-2019-36104

CNVD-2019-36114、CNVD-2019-36115

本月,CloudBees多款产品存在安全漏洞。攻击者可利用漏洞提升权限,获取敏感信息,执行客户端代码等。本月漏洞包括:CloudBees Project Inheritance Plugin信息泄露漏洞、CloudBees Jenkins Aqua MicroScanner Plugin权限提升漏洞、CloudBees Jenkins和LTS跨站脚本漏洞(CNVD-2019-34784、CNVD-2019-34783、CNVD-2019-34785、CNVD-2019-34786、CNVD-2019-34787)、CloudBees Jenkins Script Security Plugin信息泄露漏洞、CloudBees Jenkins Dashboard View Plugin跨站脚本漏洞、CloudBees Jenkins Beaker Builder信息泄露漏洞等。

 
 
 
 
 

其他编号

CVE-2019-10407、CVE-2019-10427

CVE-2019-10401、CVE-2019-10402

CVE-2019-10403、CVE-2019-10404

CVE-2019-10405、CVE-2019-10431

CVE-2019-10396、CVE-2019-10398

 
 
 
 
 

发布时间

2019/10/12

 

影响产品

CloudBees Jenkins

CloudBees Jenkins LTS

CloudBees Aqua MicroScanner Plugin

CloudBees Jenkins Script Security Plugin

CloudBees Jenkins Dashboard View Plugin

CloudBees Jenkins Beaker Builder Plugin

CloudBees Jenkins Project Inheritance Plugin

 

表1 本月重要漏洞信息


    1.2漏洞分类统计

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前9个月相比,本月操作系统、应用程序、数据库和智能设备(物联网终端设备)漏洞的数量处于高位,WEB应用的数量处于低位,网络设备(交换机、路由器等网络端设备)和安全产品的数量基本持平。


图1 漏洞类型分布


     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

成都任我行科技有限责任公司移动端商城系统存在逻辑缺陷漏洞

CNVD-2019-30698

2019/10/12

2

江苏楚淮软件科技开发有限公司手机信访(群众版)APP接口存在SQL注入漏洞

CNVD-2019-28894

2019/10/12

3

CloudBees Jenkins和LTS跨站脚本漏洞(CNVD-2019-34786)

CNVD-2019-34786

2019/10/12

4

SugarCRM PHP代码注入漏洞(CNVD-2019-34421)

CNVD-2019-34421

2019/10/11

5

zzzphp sm***.php页面存在SQL注入漏洞

CNVD-2019-30678

2019/10/12

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是成都任我行科技有限责任公司移动端商城系统存在逻辑缺陷漏洞,其访问量达到5189次以上。攻击者可利用该漏洞越权修改其他用户密码。


     1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞1613个,与前9个月平均收录数量1248个相比,处于高位;本月高危漏洞402个,与前9个月高危漏洞平均收录数量384个相比,处于高位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月11日发布的安全漏洞数量最多,都高达209个,主要是因为收录了SugarCRM、Oracle等多款产品存在的多个漏洞。


      2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、华为技术有限公司、北京神州绿盟科技有限公司、深信服科技股份有限公司等单位报送公开收集的漏洞数量较多。远江盛邦(北京)网络安全科技股份有限公司、国瑞数码零点实验室、南京众智维信息科技有限公司、长春嘉诚信息技术股份有限公司、山东新潮信息技术有限公司、山东云天安全技术有限公司、北京铭图天成信息技术有限公司、内蒙古奥创科技有限公司、任子行网络技术股份有限公司、北京华云安信息技术有限公司、北京君信安科技有限公司、广州锦行网络科技有限公司、杭州海康威视数字技术股份有限公司、山石网科通信技术股份有限公司、上海并擎软件科技有限公司、河南信安世纪科技有限公司、北京智游网安科技有限公司、北京圣博润高新技术股份有限公司、上海端御信息科技有限公司、山东华鲁科技发展股份有限公司、成都安美勤信息技术股份有限公司、兰州冠云科技发展有限公司、新疆海狼科技有限公司、重庆贝特计算机系统工程有限公司、郑州赛欧思科技有限公司、弘康人寿保险股份有限公司、杭州美创科技有限公司、北京容辉智信科技有限公司、深圳市魔方安全科技有限公司、腾讯公司、北京信联科汇科技有限公司及其他个人白帽子向CNVD提交了22179个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的18939条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

奇安信网神(补天平台)

11926

11926

斗象科技(漏洞盒子)

4942

4942

上海交大

2071

2071

北京天融信网络安全技术有限公司

1181

28

哈尔滨安天科技集团股份有限公司

840

0

华为技术有限公司

699

0

北京神州绿盟科技有限公司

315

13

深信服科技股份有限公司

296

1

恒安嘉新(北京)科技股份公司

210

0

四川无声信息技术有限公司

201

201

厦门服云信息科技有限公司

199

2

新华三技术有限公司

173

0

中国电信集团系统集成有限责任公司

161

161

北京启明星辰信息安全技术有限公司

134

0

中新网络信息安全股份有限公司

78

78

北京数字观星科技有限公司

63

0

西安四叶草信息技术有限公司

52

52

北京知道创宇信息技术股份有限公司

20

3

阿里云计算有限公司

18

0

南京联成科技发展股份有限公司

4

4

远江盛邦(北京)网络安全科技股份有限公司

434

434

国瑞数码零点实验室

389

389

南京众智维信息科技有限公司

210

210

长春嘉诚信息技术股份有限公司

180

180

山东新潮信息技术有限公司

151

151

山东云天安全技术有限公司

128

128

北京铭图天成信息技术有限公司

60

60

内蒙古奥创科技有限公司

37

37

任子行网络技术股份有限公司

35

35

北京华云安信息技术有限公司

32

32

北京君信安科技有限公司

30

30

广州锦行网络科技有限公司

30

30

杭州海康威视数字技术股份有限公司

18

18

山石网科通信技术股份有限公司

13

13

上海并擎软件科技有限公司

12

12

河南信安世纪科技有限公司

8

8

北京智游网安科技有限公司

8

8

北京圣博润高新技术股份有限公司

8

8

上海端御信息科技有限公司

6

6

山东华鲁科技发展股份有限公司

4

4

成都安美勤信息技术股份有限公司

2

2

兰州冠云科技发展有限公司

2

2

新疆海狼科技有限公司

2

2

重庆贝特计算机系统工程有限公司

2

2

郑州赛欧思科技有限公司

1

1

弘康人寿保险股份有限公司

1

1

杭州美创科技有限公司

1

1

北京容辉智信科技有限公司

1

1

深圳市魔方安全科技有限公司

1

1

腾讯公司

1

1

北京信联科汇科技有限公司

1

1

个人

889

889

总计

1613(去重)

22179

表3 单位和个人上报漏洞统计

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论