登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2019年第11期

2019-12-02 17:05:04

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞2078个,其中高危漏洞510个,中危漏洞1323个,低危漏洞245个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1740个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2019-38614、CNVD-2019-38615

CNVD-2019-38616、CNVD-2019-38617

CNVD-2019-39012、CNVD-2019-39014

CNVD-2019-39015、CNVD-2019-42608

CNVD-2019-42611、CNVD-2019-42612

本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码。本月漏洞包括:Microsoft Jet Database Engine远程代码执行漏洞(CNVD-2019-38614、CNVD-2019-38615、CNVD-2019-38616、CNVD-2019-38617)、Microsoft Internet Explorer脚本引擎内存破坏漏洞(CNVD-2019-39012、CNVD-2019-39014、CNVD-2019-39015)、Microsoft Windows Hyper-V远程执行代码漏洞(CNVD-2019-42608、CNVD-2019-42611、CNVD-2019-42612)等。

 
 
 
 
 

其他编号

CVE-2019-1248、CVE-2019-1249

CVE-2019-1241、CVE-2019-1243

CVE-2019-1194、CVE-2019-1056

CVE-2019-1059、CVE-2019-0721

CVE-2019-1389、CVE-2019-0719

 
 
 
 
 

发布时间

2019/11/05

 

影响产品

Microsoft Windows Server 2019

Microsoft Windows Server 2016

Microsoft Windows Server 2012

Microsoft Windows Server 2008

Microsoft Internet Explorer

Microsoft Windows RT 8.1

Microsoft Windows 10

Microsoft Windows 8.1

Microsoft Windows 7

 
 
 
 
 
 
 
 

2

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2019-38854、CNVD-2019-38855

CNVD-2019-38858、CNVD-2019-39607

CNVD-2019-39608、CNVD-2019-39617

CNVD-2019-39618、CNVD-2019-39689

CNVD-2019-39704、CNVD-2019-42752

本月,Cisco多款产品存在安全漏洞。攻击者可利用漏洞覆盖或读取底层操作系统上的任意文件,执行任意命令,导致拒绝服务等。本月漏洞包括:Cisco Enterprise NFV Infrastructure Software任意文件读写漏洞、Cisco Enterprise NFV Infrastructure Software命令注入漏洞、Cisco Enterprise NFV Infrastructure Software VNC认证绕过漏洞、Cisco Aironet Access PPTP拒绝服务漏洞、Cisco Video Communications Server命令注入漏洞、Cisco Webex Network Recording Player和Webex Player远程代码执行漏洞(CNVD-2019-39617、CNVD-2019-39618)、Cisco ASR 9000 Series Cisco IOS XR命令注入漏洞、Cisco Integrated Management Controller命令注入漏洞(CNVD-2019-39704)、Cisco Unified Communications Manager SQL注入漏洞(CNVD-2019-42752)等。

 
 
 
 
 

其他编号

CVE-2019-1894、CVE-2019-1893

CVE-2019-1895、CVE-2019-15261

CVE-2011-2538、CVE-2018-15418

CVE-2018-15417、CVE-2019-12709

CVE-2019-1885、CVE-2019-15972

 
 
 
 
 

发布时间

2019/11/08

 

影响产品

Cisco Webex Business Suite WBS31 sites – All Webex Network Recording Player and Webex Player

Cisco Webex Meetings Online – All Webex Network Recording Player and Webex Player

Cisco Webex Meetings Server – All Webex Network Recording Player

Cisco Enterprise NFV Infrastructure Software

Cisco Cisco Integrated Management Controller

Cisco Video Communications Server(VCS)

Cisco Unified Communications Manager

Cisco Aironet 1810 Series APs

Cisco IOS XR

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Apache多款产品存在安全漏洞

CNVD编号

CNVD-2019-40567、CNVD-2019-40568

CNVD-2019-40569、CNVD-2019-41281

CNVD-2019-41284、CNVD-2019-41285

CNVD-2019-41289、CNVD-2019-41851

CNVD-2019-41852、CNVD-2019-41855

本月,Apache多款产品存在安全漏洞。攻击者可利用漏洞监听网络,拦截用户会话令牌,绕过安全限制,执行未授权的操作,执行客户端代码,导致缓冲区溢出或堆溢出等。本月漏洞包括:Apache Mesos拒绝服务漏洞(CNVD-2019-40567)、Apache Hadoop信息泄露漏洞(CNVD-2019-40568)、Apache Karaf任意文件覆盖漏洞、Apache JSPWiki跨站脚本漏洞(CNVD-2019-41281)、Apache Solr认证绕过漏洞、Apache Guacamole信息泄露漏洞、Apache Thrift越界读取漏洞、Apache Hadoop缓冲区溢出漏洞、Apache MINA内存破坏漏洞、Apache Atlas存储型跨站脚本漏洞等。

 
 
 
 
 

其他编号

CVE-2018-11793、CVE-2018-1296

CVE-2019-0191、CVE-2018-20242

CVE-2018-11802、CVE-2018-1340

CVE-2019-0210、CVE-2018-11768

CVE-2019-0231、CVE-2019-10070

 
 
 
 
 

发布时间

2019/11/19

 

影响产品

Apache Guacamole

Apache JSPWiki

Apache Hadoop

Apache Thrift

Apache Karaf

Apache Mesos

Apache Atlas

Apache MINA

Apache Solr

 
 
 
 
 
 
 
 

4

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2019-39531、CNVD-2019-39535

CNVD-2019-39594、CNVD-2019-39592

CNVD-2019-39595、CNVD-2019-41621

CNVD-2019-41622、CNVD-2019-41627

CNVD-2019-41658、CNVD-2019-42432

本月,Adobe多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,提升权限,执行代码等。本月漏洞包括:Adobe Acrobat和Reader路径遍历漏洞、Adobe Creative Cloud Desktop Application安全绕过漏洞(CNVD-2019-39535)、Adobe Flash Player信息泄露漏洞(CNVD-2019-39594)、Adobe Download Manager不安全文件权限漏洞、Adobe Acrobat和Reader越界写入漏洞(CNVD-2019-39595)、Adobe Illustrator内存破坏漏洞、Adobe Media Encoder越界写入漏洞、Adobe Bridge CC内存破坏漏洞(CNVD-2019-41627、CNVD-2019-41658)、Adobe Illustrator DLL劫持漏洞等。

 
 
 
 
 

其他编号

CVE-2019-8238、CVE-2019-8236

CVE-2019-8075、CVE-2019-8071

CVE-2019-7966、CVE-2019-8247

CVE-2019-8246、CVE-2019-8239

CVE-2019-8240、CVE-2019-7962

 
 
 
 
 

发布时间

2019/11/21

 

影响产品

Adobe Flash Player for Microsoft Edge and Internet Explorer 11

Adobe Flash Player for Google Chrome

Adobe Acrobat Reader 2017(Classic 2017)

Adobe Creative Cloud Desktop Application

Adobe Flash Player Desktop Runtime

Adobe Acrobat Reader DC(Classic 2015)

Adobe Acrobat Reader DC(Continuous)

Adobe Acrobat 2017(Classic 2017)

Adobe Acrobat DC(Classic 2015)

Adobe Acrobat DC(Continuous)

Adobe Download Manager

Adobe Bridge CC for Window

Adobe Bridge CC for macOS

Adobe Illustrator CC 2019

Adobe Media Encoder

 

5

Google多款产品存在安全漏洞

CNVD编号

CNVD-2019-38872、CNVD-2019-38876

CNVD-2019-38877、CNVD-2019-38878

CNVD-2019-38881、CNVD-2019-38882

CNVD-2019-38880、CNVD-2019-38883

CNVD-2019-38884、CNVD-2019-38885

本月,Google多款产品存在安全漏洞。攻击者可利用漏洞提升权限。本月漏洞包括:Google Android Framework权限提升漏洞(CNVD-2019-38872、CNVD-2019-38876、CNVD-2019-38877、CNVD-2019-38878、CNVD-2019-38881、CNVD-2019-38882、CNVD-2019-38880、CNVD-2019-38883、CNVD-2019-38884、CNVD-2019-38885)等。

 
 
 
 
 

其他编号

CVE-2019-9378、CVE-2019-9380

CVE-2019-9374、CVE-2019-9269

CVE-2019-2122、CVE-2019-2125

CVE-2019-9288、CVE-2019-9384

CVE-2019-9407、CVE-2019-9460

 
 
 
 
 

发布时间

2019/11/04

 

影响产品

Google Android

 

6

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2019-38499、CNVD-2019-39203

CNVD-2019-39207、CNVD-2019-39355

CNVD-2019-39354、CNVD-2019-40570

CNVD-2019-40571、CNVD-2019-40603

CNVD-2019-40899、CNVD-2019-41415

本月,IBM多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,提升权限,导致缓冲区溢出或堆溢出等。本月漏洞包括:IBM Security Directory Server信息泄露漏洞、IBM Cloud Orchestrator信息泄露漏洞(CNVD-2019-39203、CNVD-2019-39207)、IBM API Connect信息泄露漏洞(CNVD-2019-39355)、IBM OpenPages GRC Platform信息泄露漏洞(CNVD-2019-39354)、IBM Spectrum Scale权限提升漏洞、IBM Workload Scheduler Distributed权限提升漏洞、IBM DB2缓冲区溢出漏洞(CNVD-2019-40603)、IBM API Connect信息泄露漏洞(CNVD-2019-40899)、IBM Cognos Analytics信息泄露漏洞(CNVD-2019-41415)等。

 
 
 
 
 

其他编号

CVE-2019-4549、CVE-2019-4397

CVE-2019-4399、CVE-2019-4600

CVE-2019-4223、CVE-2019-4558

CVE-2019-4031、CVE-2019-4014

CVE-2018-1991、CVE-2019-4334

 
 
 
 
 

发布时间

2019/11/14

 

影响产品

IBM Tivoli Workload Scheduler Distributed

IBM Cloud Orchestrator Enterprise

IBM Security Directory Server

IBM openpages grc platform

IBM Cloud Orchestrator

IBM Cognos Analytics

IBM Spectrum Scale

IBM API Connect

IBM DB2

 

7

Huawei多款产品存在安全漏洞

CNVD编号

CNVD-2019-38501、CNVD-2019-41252

CNVD-2019-41253、CNVD-2019-41255

CNVD-2019-41256、CNVD-2019-41257

CNVD-2019-41258、CNVD-2019-41259

CNVD-2019-41838、CNVD-2019-42427

本月,Huawei多款产品存在安全漏洞。攻击者可利用漏洞获取受影响组件敏感信息,执行恶意代码,导致服务异常等。本月漏洞包括:多款Huawei产品内存泄露漏洞(CNVD-2019-38501)、Huawei P30、Huawei P30 Pro和Honor Princeton-AL10B条件竞争漏洞、Huawei Mate 9 Pro信息泄露漏洞(CNVD-2019-41253)、多款Huawei产品FRP绕过漏洞、多款Huawei产品数字签名校验绕过漏洞、Huawei Emily-L29C信息泄露漏洞、Huawei P20访问控制不当漏洞、Huawei P20文件管理不当漏洞、Huawei P30、Mate 20和P30 Pro缓冲区溢出漏洞、多款Huawei产品输入验证错误漏洞等。

 
 
 
 
 

其他编号

CVE-2019-5293、CVE-2019-5228

CVE-2019-5244、CVE-2018-7911

CVE-2019-5300、CVE-2019-5279

CVE-2019-5212、CVE-2019-5211

CVE-2019-5225、CVE-2019-5268

 
 
 
 
 

发布时间

2019/11/19

 

影响产品

Huawei Huawei Emily-L29C

Huawei HiRouter-CD15-10

Huawei HiRouter-CD20-10

Huawei HiRouter-CD21-16

Huawei HiRouter-CD30-10

Huawei HiRouter-CD30-11

Huawei P30 <ELLE-AL00B

Huawei Charlotte-AL00A

Huawei HiRouter-H1-10

Huawei NetEngine16EX

Huawei ALP-AL00B-RSC

Huawei Emily-AL00A

Huawei Mate 9 Pro

Huawei ALP-AL00B

Huawei TC5200-10

Huawei WS5100-10

Huawei WS5102-10

Huawei WS5106-10

Huawei WS5108-10

Huawei WS5200-10

Huawei WS5200-11

Huawei WS5200-11

Huawei WS5280-10

Huawei WS5280-11

Huawei WS6500-10

Huawei WS6500-11

Huawei WS826-10

Huawei AR2200-S

Huawei AR150-S

Huawei AR120-S

Huawei SRG1300

Huawei SRG2300

Huawei SRG3300

Huawei P30 Pro

Huawei Mate 20

Huawei CD10-10

Huawei CD16-10

Huawei CD17-10

Huawei CD18-10

Huawei AR3200

Huawei AR1200

Huawei AR2200

Huawei AR3600

Huawei AR150

Huawei AR160

Huawei AR200

Huawei Honor

Huawei P30

 

8

Linux多款产品存在安全漏洞

CNVD编号

CNVD-2019-41227、CNVD-2019-41260

CNVD-2019-41263、CNVD-2019-41261

CNVD-2019-41262、CNVD-2019-41266

CNVD-2019-41264、CNVD-2019-41265

CNVD-2019-41268、CNVD-2019-41267

本月,Linux多款产品存在安全漏洞。攻击者可利用漏洞导致拒绝服务。本月漏洞包括:Linux kernel内存泄露漏洞(CNVD-2019-41227、CNVD-2019-41260、CNVD-2019-41263、CNVD-2019-41261、CNVD-2019-41262、CNVD-2019-41266、CNVD-2019-41264、CNVD-2019-41265、CNVD-2019-41268、CNVD-2019-41267)等。

 
 
 
 
 

其他编号

CVE-2019-16994、CVE-2019-19066

CVE-2019-19069、CVE-2019-19065

CVE-2019-19064、CVE-2019-19071

CVE-2019-19068、CVE-2019-19067

CVE-2019-19077、CVE-2019-19070

 
 
 
 
 

发布时间

2019/11/18

 

影响产品

Linux kernel

 

表1 本月重要漏洞信息


    1.2漏洞被关注情况

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前10个月相比,本月操作系统、应用程序、WEB应用、网络设备(交换机、路由器等网络端设备)、安全产品和智能设备(物联网终端设备)漏洞的数量处于高位,数据库的数量处于低位。


图1 漏洞类型分布


     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

Google Chrome资源管理错误漏洞(CNVD-2019-42756)

CNVD-2019-42756

2019/11/29

2

Google Chrome内存错误引用漏洞(CNVD-2019-42589)

CNVD-2019-42589

2019/11/28

3

火绒安全软件存在可信路径权限提升漏洞

CNVD-2019-36904

2019/11/02

4

BlueCMS存在任意文件删除漏洞

CNVD-2019-37112

2019/11/01

5

SIEMENS SIMATIC S7-400存在拒绝服务漏洞(CNVD-2019-37113)

CNVD-2019-37113

2019/11/01

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是GoogleChrome资源管理错误漏洞(CNVD-2019-42756),其访问量达到26463次以上。远程攻击者可借助特制的HTML页面利用该漏洞造成堆破坏。


     1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞2078个,与前10个月平均收录数量1285个相比,处于高位;本月高危漏洞510个,与前10个月高危漏洞平均收录数量386个相比,处于高位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月15日发布的安全漏洞数量最多,都高达234个,主要是因为收录了Magento、Oracle和Google等多款产品存在的多个漏洞。


      2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,阿里云计算有限公司、北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、华为技术有限公司、深信服科技股份有限公司等单位报送公开收集的漏洞数量较多。远江盛邦(北京)网络安全科技股份有限公司、国瑞数码零点实验室、北京铭图天成信息技术有限公司、山东新潮信息技术有限公司、北京华云安信息技术有限公司、山东云天安全技术有限公司、内蒙古奥创科技有限公司、杭州海康威视数字技术股份有限公司、南京众智维信息科技有限公司、杭州迪普科技股份有限公司、广州蕴辰网络科技有限公司、任子行网络技术股份有限公司、北京君信安科技有限公司、河南信安世纪科技有限公司、山东华鲁科技发展股份有限公司、新疆海狼科技有限公司、安徽智云信息安全有限公司、山石网科通信技术股份有限公司、江苏保旺达软件技术有限公司、雷石安全实验室、北京智游网安科技有限公司、上海端御信息科技有限公司、腾讯安全云鼎实验室、北京圣博润高新技术股份有限公司、河南灵创电子科技有限公司、成都安美勤信息技术股份有限公司、亨通工控安全研究院有限公司、江苏安又恒信息科技有限公司、清远职业技术学院、厦门靠谱云股份有限公司、中通服咨询设计研究院有限公司及其他个人白帽子向CNVD提交了18423个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的15557条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

奇安信网神(补天平台)

10289

10289

斗象科技(漏洞盒子)

3454

3454

上海交大

1814

1814

阿里云计算有限公司

1563

1

北京天融信网络安全技术有限公司

963

7

哈尔滨安天科技集团股份有限公司

872

0

华为技术有限公司

464

0

深信服科技股份有限公司

416

7

北京神州绿盟科技有限公司

352

2

北京启明星辰信息安全技术有限公司

229

43

恒安嘉新(北京)科技股份公司

217

0

新华三技术有限公司

207

0

厦门服云信息科技有限公司

197

6

中国电信集团系统集成有限责任公司

81

81

北京数字观星科技有限公司

79

0

四川无声信息技术有限公司

49

49

北京知道创宇信息技术股份有限公司

48

35

浙江大华技术股份有限公司

20

20

西安四叶草信息技术有限公司

13

13

中新网络信息安全股份有限公司

9

9

南京联成科技发展股份有限公司

8

8

远江盛邦(北京)网络安全科技股份有限公司

386

386

国瑞数码零点实验室

221

221

北京铭图天成信息技术有限公司

155

155

山东新潮信息技术有限公司

141

141

北京华云安信息技术有限公司

114

114

山东云天安全技术有限公司

89

89

内蒙古奥创科技有限公司

73

73

杭州海康威视数字技术股份有限公司

71

71

南京众智维信息科技有限公司

50

50

杭州迪普科技股份有限公司

38

8

广州蕴辰网络科技有限公司

24

24

任子行网络技术股份有限公司

20

20

北京君信安科技有限公司

18

18

河南信安世纪科技有限公司

16

16

山东华鲁科技发展股份有限公司

16

16

新疆海狼科技有限公司

13

13

安徽智云信息安全有限公司

10

10

山石网科通信技术股份有限公司

7

7

江苏保旺达软件技术有限公司

6

6

雷石安全实验室

6

6

北京智游网安科技有限公司

5

5

上海端御信息科技有限公司

5

5

腾讯安全云鼎实验室

5

5

北京圣博润高新技术股份有限公司

4

4

河南灵创电子科技有限公司

3

3

成都安美勤信息技术股份有限公司

1

1

亨通工控安全研究院有限公司

1

1

江苏安又恒信息科技有限公司

1

1

清远职业技术学院

1

1

厦门靠谱云股份有限公司

1

1

中通服咨询设计研究院有限公司

1

1

个人

1113

1113

总计

2078(去重)

18423

表3 单位和个人上报漏洞统计
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论