登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2019年第12期

2020-01-02 13:39:26

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞1279个,其中高危漏洞517个,中危漏洞666个,低危漏洞96个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1096个


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2019-43051、CNVD-2019-44251

CNVD-2019-44974、CNVD-2019-44989

CNVD-2019-46449、CNVD-2019-46616

CNVD-2019-46617、CNVD-2019-46618

CNVD-2019-46619、CNVD-2019-46977

本月,IBM多款产品存在安全漏洞。攻击者可利用漏洞提升权限,执行代码,获取cookie值等。本月漏洞包括:IBM Security Identity Manager任意代码执行漏洞、IBM Cloud Pak System任意文件上传漏洞、IBM Cloud Pak System跨站请求伪造漏洞、IBM Spectrum Protect Servers和Storage Agents权限许可和访问控制问题漏洞、IBM Spectrum Scale输入验证错误漏洞、IBM Financial Transaction Manager for SWIFT Services点击劫持漏洞、IBM Financial Transaction Manager for SWIFT Services跨站脚本漏洞、IBM Financial Transaction Manager for SWIFT Services信息泄露漏洞、IBM Financial Transaction Manager for SWIFT Services跨站请求伪造漏洞、IBM Planning Analytics代码执行漏洞等。

 
 
 
 
 

其他编号

CVE-2019-4561、CVE-2019-4130

CVE-2019-4095、CVE-2019-4088

CVE-2019-4715、CVE-2019-4742

CVE-2019-4744、CVE-2019-4743

CVE-2019-4736、CVE-2019-4716

 
 
 
 
 

发布时间

2019/12/24

 

影响产品

IBM Financial Transaction Manager for SWIFT Services

IBM Security Identity Manager

IBM Planning Analytic

IBM Cloud Pak System

IBM Spectrum Protect

IBM Storage Agents

IBM Spectrum Scale

 
 
 
 
 
 
 
 

2

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2019-43820、CNVD-2019-44283

CNVD-2019-44284、CNVD-2019-44285

CNVD-2019-44286、CNVD-2019-45002

CNVD-2019-46435、CNVD-2019-46433

CNVD-2019-46438、CNVD-2019-46439

本月,Cisco多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,提升权限,执行任意命令,导致拒绝服务等。本月漏洞包括:Cisco IOS XR访问控制错误漏洞、Cisco DNA Spaces:Connector权限许可和访问控制问题漏洞、Cisco DNA Spaces:Connector输入验证错误漏洞、Cisco DNA Spaces:Connector SQL注入漏洞、Cisco Stealthwatch Enterprise跨站脚本漏洞、Cisco Unity Express操作系统命令注入漏洞、Cisco IOS和IOS XE IP Ident拒绝服务漏洞、Cisco IOS和IOS XE会话初始协议拒绝服务漏洞、Cisco IOS XR输入验证错误漏洞(CNVD-2019-46438、CNVD-2019-46439)等。

 
 
 
 
 

其他编号

CVE-2019-15998、CVE-2019-15996

CVE-2019-15997、CVE-2019-15995

CVE-2019-15994、CVE-2019-15986

CVE-2019-12647、CVE-2019-12654

CVE-2019-1910、CVE-2019-1918

 
 
 
 
 

发布时间

2019/12/20

 

影响产品

Cisco DNA Spaces: Connector

Cisco Stealthwatch Enterprise

Cisco Unity Express(CUE)

Cisco IOS XE

Cisco IOS XR

Cisco IOS

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Google多款产品存在安全漏洞

CNVD编号

CNVD-2019-44265、CNVD-2019-44266

CNVD-2019-44273、CNVD-2019-44274

CNVD-2019-44275、CNVD-2019-44277

CNVD-2019-44278、CNVD-2019-44279

CNVD-2019-47020、CNVD-2019-47021

本月,Google多款产品存在安全漏洞。攻击者可以利用漏洞提升权限和执行任意代码。本月漏洞包括:Google Android Framework权限提升漏洞(CNVD-2019-44265、CNVD-2019-44277、CNVD-2019-44278、CNVD-2019-44279)、Google Android System权限提升漏洞(CNVD-2019-44266、CNVD-2019-44274)、Google Android Media Framework远程代码执行漏洞(CNVD-2019-44273、CNVD-2019-44275)、Google Android缓冲区溢出漏洞(CNVD-2019-47020)、Google Android操作系统命令注入漏洞等。

 
 
 
 
 

其他编号

CVE-2019-2217、CVE-2019-2225

CVE-2019-2222、CVE-2019-9468

CVE-2019-2223、CVE-2019-9464

CVE-2019-2218、CVE-2019-2221

CVE-2019-2210、CVE-2019-9467

 
 
 
 
 

发布时间

2019/12/06

 

影响产品

Google Android

 
 
 
 
 
 
 
 

4

Huawei多款产品存在安全漏洞

CNVD编号

CNVD-2019-44535、CNVD-2019-44536

CNVD-2019-44558、CNVD-2019-44559

CNVD-2019-44564、CNVD-2019-44785

CNVD-2019-45008、CNVD-2019-46623

CNVD-2019-46978、CNVD-2019-46979

本月,Huawei多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,执行任意代码,造成拒绝服务等。本月漏洞包括:Huawei E5572-855授权问题漏洞、Huawei S5700和Huawei S6700拒绝服务漏洞、Huawei Myna信息泄露漏洞、Huawei Honor Play信息泄露漏洞、Huawei CloudEngine 12800拒绝服务漏洞、Huawei Honor10 Lite和Huawei Y9拒绝服务漏洞(CNVD-2019-44785)、Huawei Nova 5i pro和Nova 5数组下标校验不当漏洞、Huawei ELLE-AL00B缓冲区溢出漏洞、Huawei P30访问控制错误漏洞、Huawei P30输入验证错误漏洞等。

 
 
 
 
 

其他编号

CVE-2019-5253、CVE-2019-5290

CVE-2019-5271、CVE-2019-5309

CVE-2019-5248、CVE-2019-5303

CVE-2019-5210、CVE-2019-5276

CVE-2019-5265、CVE-2019-5266

 
 
 
 
 

发布时间

2019/12/10

 

影响产品

Huawei CloudEngine 12800

Huawei Honor10 Lite

Huawei Nova 5i pro

Huawei Honor Play

Huawei ELLE-AL00B

Huawei E5572-855

Huawei S5700

Huawei S6700

Huawei Myna

Huawei P30

Huawei Y9

 

5

Apple多款产品存在安全漏洞

CNVD编号

CNVD-2019-44539、CNVD-2019-44541

CNVD-2019-44543、CNVD-2019-44546

CNVD-2019-44547、CNVD-2019-44548

CNVD-2019-45608、CNVD-2019-46120

CNVD-2019-46122、CNVD-2019-46129

本月,Apple多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码等。本月漏洞包括:Apple macOS Catalina权限提升漏洞、Apple macOS Catalina信息泄露漏洞、Apple tvOS、Apple iOS和Apple iPadOS UIFoundation组件缓冲区溢出漏洞、Apple macOS Catalina和Apple iTunes for Windows动态库加载漏洞、Apple macOS Catalina IOGraphics组件缓冲区溢出漏洞、Apple macOS Catalina内存破坏漏洞(CNVD-2019-44548)、多款Apple产品FaceTime组件缓冲区溢出漏洞、Apple iOS和iPadOS IOSurfaceAccelerator组件信息泄露漏洞、多款Apple产品WebKit组件资源管理错误漏洞、Apple Xcode ld64组件缓冲区溢出漏洞等。

 
 
 
 
 

其他编号

CVE-2019-8802、CVE-2019-8761

CVE-2019-8831、CVE-2019-8801

CVE-2019-8759、CVE-2019-8744

CVE-2019-8830、CVE-2019-8841

CVE-2019-8846、CVE-2019-8840

 
 
 
 
 

发布时间

2019/12/10

 

影响产品

Apple iTunes for Windows

Apple macOS Catalina

Apple watchOS

Apple iPadOS

Apple Safari

Apple Xcode

Apple tvOS

Apple IOS

 

6

Siemens多款产品存在安全漏洞

CNVD编号

CNVD-2019-44753、CNVD-2019-44751

CNVD-2019-44755、CNVD-2019-44773

CNVD-2019-44774、CNVD-2019-44775

CNVD-2019-44776、CNVD-2019-44778

CNVD-2019-44779、CNVD-2019-44780

本月,Siemens多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,删除任意文件和执行任意代码。本月漏洞包括:Siemens SiNVR 3 Central Control Server (CCS)信息泄露漏洞、Siemens SiNVR 3 Central Control Server (CCS)权限提升漏洞、Siemens SiNVR 3 Central Control Server (CCS)目录遍历漏洞、Siemens SPPA-T3000堆缓冲区溢出漏洞(CNVD-2019-44773、CNVD-2019-44774、CNVD-2019-44775、CNVD-2019-44776、CNVD-2019-44778、CNVD-2019-44779、CNVD-2019-44780)等。

 
 
 
 
 

其他编号

CVE-2019-13947、CVE-2019-18342

CVE-2019-18338、CVE-2019-18324

CVE-2019-18323、CVE-2019-18326

CVE-2019-18327、CVE-2019-18330

CVE-2019-18329、CVE-2019-18328

 
 
 
 
 

发布时间

2019/12/11

 

影响产品

Siemens SiNVR 3 Central Control Server (CCS)

Siemens SPPA-T3000 MS3000 Migration Server

 

7

Linux多款产品存在安全漏洞

CNVD编号

CNVD-2019-45882、CNVD-2019-46994

CNVD-2019-46999、CNVD-2019-46998

CNVD-2019-47001、CNVD-2019-47003

CNVD-2019-47002、CNVD-2019-47005

CNVD-2019-47010、CNVD-2019-47013

本月,Linux多款产品存在安全漏洞。攻击者可利用漏洞提升权限,执行任意代码,导致拒绝服务等。本月漏洞包括:Linux kernel缓冲区溢出漏洞(CNVD-2019-45882、CNVD-2019-46998、CNVD-2019-47005)、Linux kernel内存错误引用漏洞(CNVD-2019-46994、CNVD-2019-47002、CNVD-2019-47010)、Linux kernel Marvell WiFi chip driver缓冲区溢出漏洞、Linux kernel输入验证错误漏洞(CNVD-2019-47001)、Linux Kernel堆缓冲区溢出漏洞(CNVD-2019-47003)、Linux kernel KVM hypervisor内存错误引用漏洞等。

 
 
 
 
 

其他编号

CVE-2019-19332、CVE-2019-19543

CVE-2019-14901、CVE-2019-14815

CVE-2010-2243、CVE-2019-9500

CVE-2019-18814、CVE-2019-9503

CVE-2019-8912、CVE-2018-16882

 
 
 
 
 

发布时间

2019/12/26

 

影响产品

Linux kernel

 

8

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2019-45963、CNVD-2019-45964

CNVD-2019-45965、CNVD-2019-45970

CNVD-2019-45971、CNVD-2019-45973

CNVD-2019-45974、CNVD-2019-45975

CNVD-2019-45976、CNVD-2019-45977

本月,Adobe多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码。本月漏洞包括:Adobe Acrobat和Reader不受信任指针解引用漏洞(CNVD-2019-45963、CNVD-2019-45964、CNVD-2019-45965)、Adobe Acrobat和Reader内存错误引用漏洞(CNVD-2019-45970、CNVD-2019-45971、CNVD-2019-45973、CNVD-2019-45974、CNVD-2019-45975)、Adobe Acrobat和Reader越界写入漏洞(CNVD-2019-45976、CNVD-2019-45977)等。

 
 
 
 
 

其他编号

CVE-2019-16455、CVE-2019-16460

CVE-2019-16463、CVE-2019-16459

CVE-2019-16464、CVE-2019-16445

CVE-2019-16448、CVE-2019-16452

CVE-2019-16450、CVE-2019-16454

 
 
 
 
 

发布时间

2019/12/18

 

影响产品

Adobe Acrobat Reader 2017 (Classic 2017)

Adobe Acrobat Reader 2015 (Classic 2015)

Adobe Acrobat Reader DC (Continuous)

Adobe Acrobat 2017 (Classic 2017)

Adobe Acrobat 2015 (Classic 2015)

Adobe Acrobat DC (Continuous)

 

表1 本月重要漏洞信息


    1.2漏洞被关注情况

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前11个月相比,本月操作系统,WEB应用,智能设备(物联网终端设备)漏洞的数量处于高位,应用程序,数据库,网络设备(交换机、路由器等网络端设备)的数量处于低位,安全产品的数量基本持平。


图1 漏洞类型分布


     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

Google Android System信息泄露漏洞(CNVD-2019-44263)

CNVD-2019-44263

2019/12/6

2

IBM Spectrum Protect Backup-Archive Client拒绝服务漏洞

CNVD-2019-43052

2019/12/2

3

Red Hat FreeIPA访问控制绕过漏洞

CNVD-2019-43670

2019/12/4

4

Moodle跨站脚本漏洞(CNVD-2019-43888)

CNVD-2019-43888

2019/12/5

5

H3C ACG1000-M交换机存在弱口令漏洞

CNVD-2019-43882

2019/12/21

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是GoogleAndroid System信息泄露漏洞(CNVD-2019-44263),其访问量达到24736次以上。攻击者可利用该漏洞获取敏感数据的访问权限。


     1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞1279个,与前11个月平均收录数量1357个相比,处于低位;本月高危漏洞517个,与前11个月高危漏洞平均收录数量397个相比,处于高位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月3日发布的安全漏洞数量最多,都高达191个,主要是因为收录了海洋CMS、FusionPBX等多款产品存在的多个漏洞。


2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、华为技术有限公司、阿里云计算有限公司、北京神州绿盟科技有限公司等单位报送公开收集的漏洞数量较多。远江盛邦(北京)网络安全科技股份有限公司、内蒙古洞明科技有限公司、内蒙古奥创科技有限公司、山东新潮信息技术有限公司、河南灵创电子科技有限公司、北京铭图天成信息技术有限公司、杭州迪普科技股份有限公司、南京众智维信息科技有限公司、国瑞数码零点实验室、山东云天安全技术有限公司、杭州海康威视数字技术股份有限公司、北京华云安信息技术有限公司、河南信安世纪科技有限公司、北京网思科平科技有限公司、新疆海狼科技有限公司、山石网科通信技术股份有限公司、广州蕴辰网络科技有限公司、上海端御信息科技有限公司、北京圣博润高新技术股份有限公司、山东华鲁科技发展股份有限公司、京东云安全、北京长亭科技有限公司、国家互联网应急中心、北京智游网安科技有限公司、上海并擎软件科技有限公司、北京云科安信科技有限公司、广州万方计算机科技有限公司、广州美杜莎网络科技有限公司、腾讯安全科恩实验室、内蒙古迅如信息安全科技有限公司、江苏保旺达软件技术有限公司、中移(杭州)信息技术有限公司、厦门靠谱云股份有限公司、郑州赛欧思科技有限公司、国网思极检测技术(北京)有限公司、安吉加加信息技术有限公司、北京信联科汇科技有限公司及其他个人白帽子向CNVD提交了19393个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的15795条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

奇安信网神(补天平台)

9515

9515

斗象科技(漏洞盒子)

3817

3817

上海交大

2463

2463

北京天融信网络安全技术有限公司

933

24

哈尔滨安天科技集团股份有限公司

909

0

华为技术有限公司

596

0

阿里云计算有限公司

461

0

北京神州绿盟科技有限公司

376

6

北京知道创宇信息技术股份有限公司

368

362

深信服科技股份有限公司

324

4

中新网络信息安全股份有限公司

289

289

恒安嘉新(北京)科技股份公司

280

0

北京启明星辰信息安全技术有限公司

243

6

新华三技术有限公司

215

0

厦门服云信息科技有限公司

147

9

四川无声信息技术有限公司

110

110

北京数字观星科技有限公司

75

0

中国电信集团系统集成有限责任公司

60

60

西安四叶草信息技术有限公司

35

35

深圳市腾讯计算机系统有限公司(玄武实验室)

29

29

南京联成科技发展股份有限公司

6

6

腾讯安全云鼎实验室

5

0

沈阳东软系统集成工程有限公司

4

4

远江盛邦(北京)网络安全科技股份有限公司

283

283

内蒙古洞明科技有限公司

205

205

内蒙古奥创科技有限公司

201

201

山东新潮信息技术有限公司

171

171

河南灵创电子科技有限公司

111

111

北京铭图天成信息技术有限公司

82

82

杭州迪普科技股份有限公司

73

3

南京众智维信息科技有限公司

63

63

国瑞数码零点实验室

62

62

山东云天安全技术有限公司

58

58

杭州海康威视数字技术股份有限公司

46

46

北京华云安信息技术有限公司

28

28

河南信安世纪科技有限公司

22

22

北京网思科平科技有限公司

17

17

新疆海狼科技有限公司

16

16

山石网科通信技术股份有限公司

12

12

广州蕴辰网络科技有限公司

9

9

上海端御信息科技有限公司

8

8

北京圣博润高新技术股份有限公司

6

6

山东华鲁科技发展股份有限公司

5

5

京东云安全

4

4

北京长亭科技有限公司

4

4

国家互联网应急中心

3

3

北京智游网安科技有限公司

3

3

上海并擎软件科技有限公司

2

2

北京云科安信科技有限公司

2

2

广州万方计算机科技有限公司

2

2

广州美杜莎网络科技有限公司

2

2

腾讯安全科恩实验室

1

1

内蒙古迅如信息安全科技有限公司

1

1

江苏保旺达软件技术有限公司

1

1

中移(杭州)信息技术有限公司

1

1

厦门靠谱云股份有限公司

1

1

郑州赛欧思科技有限公司

1

1

国网思极检测技术(北京)有限公司

1

1

安吉加加信息技术有限公司

1

1

北京信联科汇科技有限公司

1

1

个人

1215

1215

总计

1279(去重)

19393

表3 单位和个人上报漏洞统计

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论