登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2020年第2期

2020-03-02 14:42:11

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞2308个,其中高危漏洞906个,中危漏洞1185个,低危漏洞217个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1970个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2020-03534,CNVD-2020-03536

CNVD-2020-03537,CNVD-2020-03545

CNVD-2020-03546,CNVD-2020-03548

CNVD-2020-08134,CNVD-2020-10151

CNVD-2020-10152,CNVD-2020-10154

本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞提升权限,执行代码,损坏内存等。本月漏洞包括:Microsoft Excel远程代码执行漏洞(CNVD-2020-03534、CNVD-2020-10154、CNVD-2020-03536)、Microsoft Excel代码执行漏洞、Microsoft Windows和Microsoft Windows Server提权漏洞(CNVD-2020-03545、CNVD-2020-03546、CNVD-2020-03548)、Microsoft ChakraCore和Edge内存破坏漏洞(CNVD-2020-08134)、Microsoft ChakraCore和Edge远程代码执行漏洞(CNVD-2020-10151、CNVD-2020-10152)等。

 
 
 
 
 

其他编号

CVE-2020-0653,CVE-2020-0651

CVE-2020-0650,CVE-2020-0635

CVE-2020-0642,CVE-2020-0644

CVE-2020-0711,CVE-2020-0710

CVE-2020-0712,CVE-2020-0759

 
 
 
 
 

发布时间

2020/02/18

 

影响产品

Microsoft Windows Server

Microsoft Windows Server 2008

Microsoft Windows Server 2012

Microsoft Windows Server 2016

Microsoft Windows Server 2019

Microsoft Windows 7

Microsoft Windows 8.1

Microsoft Windows RT 8.1

Microsoft Windows 10

Microsoft ChakraCore

Microsoft Edge (EdgeHTML-based)

Microsoft Edge

Microsoft Excel

Microsoft Excel 2010

Microsoft Excel 2013

Microsoft Excel 2016

Microsoft Excel 2019

Microsoft Office

Microsoft Office 365 ProPlus

 
 
 
 
 
 
 
 

2

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2020-03723、CNVD-2020-03752

CNVD-2020-03756、CNVD-2020-04819

CNVD-2020-10705、CNVD-2020-10707

CNVD-2020-12740、CNVD-2020-12738

CNVD-2020-13488、CNVD-2020-14349

本月,Cisco多款产品存在安全漏洞。攻击者可利用漏洞修改配置,提升权限,执行任意命令,导致拒绝服务等。本月漏洞包括:Cisco IOS和Cisco IOS XE Software跨站请求伪造漏洞、Cisco Webex Video Mesh Software命令注入漏洞 、Cisco Hosted Collaboration Mediation Fulfillment跨站请求伪造漏洞(CNVD-2020-03756)、Cisco Small Business Switches web UI拒绝服务漏洞、Cisco Data Center Network Manager权限提升漏洞(CNVD-2020-10705)、Cisco Data Center Network Manager跨站请求伪造漏洞(CNVD-2020-10707)、Cisco Webex Teams操作系统命令注入漏洞、Cisco HyperFlex Software访问控制错误漏洞、Cisco Unified Contact Center Express命令执行漏洞、Cisco IOS XR资源管理错误漏洞(CNVD-2020-14349)等。

 
 
 
 
 

其他编号

CVE-2019-16009、CVE-2019-16005

CVE-2020-3124、CVE-2020-3147

CVE-2020-3112、CVE-2020-3114

CVE-2019-1636、CVE-2019-1664

CVE-2019-1888、CVE-2019-16022

 
 
 
 
 

发布时间

2020/02/23

 

影响产品

Cisco IOS

Cisco IOS XR

Cisco Webex Teams

Cisco IOS XE Software

Cisco HyperFlex Software

Cisco Small Business Switches

Cisco Data Center Network Manager

Cisco Webex Video Mesh Software releases

Cisco Hosted Collaboration Mediation Fulfillment

Cisco Unified Contact Center Express(Unified CCX)

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2020-08146、CNVD-2020-08147

CNVD-2020-08148、CNVD-2020-08151

CNVD-2020-08149、CNVD-2020-08150

CNVD-2020-08152、CNVD-2020-08153

CNVD-2020-08154、CNVD-2020-08155

本月,Adobe多款产品存在越界写入漏洞。攻击者可以利用漏洞执行任意代码。本月漏洞包括:Adobe FrameMaker越界写入漏洞(CNVD-2020-08146、CNVD-2020-08147、CNVD-2020-08148、CNVD-2020-08151、CNVD-2020-08149、CNVD-2020-08150、CNVD-2020-08152、CNVD-2020-08153、CNVD-2020-08154、CNVD-2020-08155)等。

 
 
 
 
 

其他编号

CVE-2020-3732、CVE-2020-3733

CVE-2020-3736、CVE-2020-3724

CVE-2020-3737、CVE-2020-3738

CVE-2020-3725、CVE-2020-3726

CVE-2020-3727、CVE-2020-3728

 
 
 
 
 

发布时间

2020/02/14

 

影响产品

Adobe Framemaker

 
 
 
 
 
 
 
 

4

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2020-04545、CNVD-2020-04910

CNVD-2020-10493、CNVD-2020-10506

CNVD-2020-13057、CNVD-2020-14207

CNVD-2020-14208、CNVD-2020-14211

CNVD-2020-14212、CNVD-2020-14213

本月,IBM多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,执行任意代码,造成拒绝服务等。本月漏洞包括:IBM Security Access Manager Appliance XXE注入漏洞、IBM Security Secret Server加密问题漏洞、IBM Tivoli Monitoring Service拒绝服务漏洞、IBM DB2缓冲区溢出漏洞(CNVD-2020-10506)、IBM Emptoris Spend Analysis SQL注入漏洞(CNVD-2020-13057)、IBM Spectrum Protect Plus命令注入漏洞(CNVD-2020-14207、CNVD-2020-14211、CNVD-2020-14208、CNVD-2020-14212、CNVD-2020-14213)等。

 
 
 
 
 

其他编号

CVE-2019-4707、CVE-2019-4639

CVE-2019-4592、CVE-2020-4204

CVE-2019-4752、CVE-2020-4213

CVE-2020-4210、CVE-2020-4211

CVE-2020-4212、CVE-2020-4222

 
 
 
 
 

发布时间

2020/02/27

 

影响产品

IBM DB2

IBM Spectrum Protect Plus

IBM Security Secret Server

IBM Tivoli Monitoring Service

IBM IBM Emptoris Spend Analysis

IBM Security Access Manager Appliance

 

5

GitLab多款产品存在安全漏洞

CNVD编号

CNVD-2020-04294、CNVD-2020-04295

CNVD-2020-05082、CNVD-2020-05083

CNVD-2020-07211、CNVD-2020-13192

CNVD-2020-13199、CNVD-2020-13690

CNVD-2020-13700、CNVD-2020-14338

本月,GitLab多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,执行任意代码等。本月漏洞包括:GitLab EE权限提升漏洞(CNVD-2020-13199、CNVD-2020-04294)、GitLab EE信息泄露漏洞(CNVD-2020-04295、CNVD-2020-07211)、GitLab信息泄露漏洞(CNVD-2020-05082、CNVD-2020-05083)、GitLab授权问题漏洞(CNVD-2020-13192)、GitLab EE目录遍历漏洞、GitLab EE不正确访问控制漏洞(CNVD-2020-13700)、GitLab EE不安全权限漏洞(CNVD-2020-14338)等。

 
 
 
 
 

其他编号

CVE-2019-19628、CVE-2019-19629

CVE-2019-15583、CVE-2019-5470

CVE-2020-7969、CVE-2019-15585

CVE-2020-8795、CVE-2020-7966

CVE-2020-7968、CVE-2020-8114

 
 
 
 
 

发布时间

2020/02/13

 

影响产品

GitLab GitLab

GitLab GitLab EE

 

6

Intel多款产品存在安全漏洞

CNVD编号

CNVD-2020-04686、CNVD-2020-04687

CNVD-2020-04707、CNVD-2020-08113

CNVD-2020-10447、CNVD-2020-10448

CNVD-2020-12697、CNVD-2020-12698

CNVD-2020-12699、CNVD-2020-12700

本月,Intel多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,提升权限,导致拒绝服务等。本月漏洞包括:Intel Renesas Electronics USB权限提漏洞、Intel Raid Web Console 2权限提升漏洞、Intel RAID Web Console 3 (RWC3) for Windows权限提升漏洞、Intel Manycore Platform Software Stack (MPSS)权限提升漏洞、Intel Baseboard Management Controller缓冲区溢出漏洞(CNVD-2020-12697)、Intel Baseboard Management Controller拒绝服务漏洞、Intel Baseboard Management Controller内存损坏漏洞、Intel Baseboard Management Controller输入验证错误漏洞、Intel Baseboard Management Controller堆损坏漏洞、Intel Baseboard Management Controller授权问题漏洞等。

 
 
 
 
 

其他编号

CVE-2019-11171、CVE-2019-11170

CVE-2020-0560、CVE-2020-0562

CVE-2020-0564、CVE-2020-0563

CVE-2019-11181、CVE-2019-11177

CVE-2019-11182、CVE-2019-11180

 
 
 
 
 

发布时间

2020/02/12

 

影响产品

Intel Raid Web Console 2

Intel Renesas Electronics USB

Intel Baseboard Management Controller(BMC)

Intel RAID Web Console 3 (RWC3) for Windows

Intel Manycore Platform Software Stack (MPSS)

 

7

Moxa多款产品存在安全漏洞

CNVD编号

CNVD-2020-13508、CNVD-2020-13510

CNVD-2020-13515、CNVD-2020-13511

CNVD-2020-13512、CNVD-2020-13513

CNVD-2020-13514、CNVD-2020-13516

CNVD-2020-13517、CNVD-2020-13518

本月,Moxa多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,执行任意代码,导致拒绝服务等。本月漏洞包括:Moxa EDS-G516E和EDS-510E series缓冲区溢出漏洞(CNVD-2020-13508、CNVD-2020-13515)、Moxa EDS-G516E和EDS-510E series弱密码漏洞、Moxa EDS-G516E和EDS-510E series弱密码算法漏洞、Moxa EDS-G516E和EDS-510E series硬编码漏洞、Moxa EDS-G516E和EDS-510E series硬凭证漏洞、Moxa PT-7528和PT-7828 Series弱密码算法漏洞、Moxa PT-7528和PT-7828 Series硬编码漏洞、Moxa PT-7528和PT-7828 Series硬凭证漏洞、Moxa PT-7528和PT-7828 Series弱密码漏洞等。

 
 
 
 
 

其他编号

CVE-2020-6989、CVE-2020-6991

CVE-2020-7007、CVE-2020-6987

CVE-2020-6983、CVE-2020-6985

CVE-2020-6995、CVE-2020-7001

CVE-2020-6979、CVE-2020-6981

 
 
 
 
 

发布时间

2020/02/26

 

影响产品

Moxa EDS-510E Series firmware

Moxa EDS-G516E Series firmware

Moxa PT-7828 series firmware

Moxa PT-7528 series firmware

 

8

Apple多款产品存在安全漏洞

CNVD编号

CNVD-2020-14243、CNVD-2020-14244

CNVD-2020-14261、CNVD-2020-14260

CNVD-2020-14683、CNVD-2020-14685

CNVD-2020-14688、CNVD-2020-14689

CNVD-2020-14694、CNVD-2020-14695

本月,Apple多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码,导致拒绝服务等。本月漏洞包括:多款Apple产品WebKit组件内存破坏漏洞(CNVD-2020-14243、CNVD-2020-14244)、多款Apple产品Foundation组件缓冲区溢出漏洞、Apple iOS、Apple macOS Mojave和watchOS FaceTime组件缓冲区溢出漏洞、Apple iOS、Apple tvOS和watchOS Core Data组件资源管理错误漏洞、Apple macOS Mojave Carbon Core组件内存错误引用漏洞、多款Apple产品Core Data组件缓冲区溢出漏洞、多款Apple产品Quick Look组件资源管理错误漏洞、Apple macOS Catalina内存破坏漏洞(CNVD-2020-14694、CNVD-2020-14695 )等。

 
 
 
 
 

其他编号

CVE-2019-8814、CVE-2019-8816

CVE-2019-8641、CVE-2019-8648

CVE-2019-8647、CVE-2019-8661

CVE-2019-8660、CVE-2019-8662

CVE-2020-3871、CVE-2020-3854

 
 
 
 
 

发布时间

2020/02/29

 

影响产品

Apple iOS

Apple tvOS

Apple iPadOS

Apple Safari

Apple watchOS

Apple macOS Mojave

Apple macOS Catalina

Apple iTunes for Windows

Apple iCloud for Windows

 

表1 本月重要漏洞信息


    1.2漏洞被关注情况

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前12个月相比,本月操作系统,WEB应用,智能设备(物联网终端设备)漏洞,应用程序,数据库,网络设备(交换机、路由器等网络端设备),安全产品的数量处于高位。


图1 漏洞类型分布

     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

Apache Tomcat服务器存在文件包含漏洞

CNVD-2020-10487

2020/02/20

2

Redgate SQL Monitor SQL注入漏洞

CNVD-2020-10712

2020/02/21

3

NEC Aterm WG2600HS跨站脚本漏洞

CNVD-2020-11876

2020/02/21

4

QEMU缓冲区溢出漏洞(CNVD-2020-10714)

CNVD-2020-10714

2020/02/21

5

GitLab Mermaid插件跨站脚本漏洞

CNVD-2020-10713

2020/02/21

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是ApacheTomcat服务器存在文件包含漏洞,其访问量达到12738次以上。攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件。


    1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞2308个,与前12个月平均收录数量1349个相比,处于高位;本月高危漏洞906个,与前12个月高危漏洞平均收录数量413个相比,处于高位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月14日发布的安全漏洞数量最多,都高达165个,主要是因为收录了Adobe、Google等多款产品存在的多个漏洞。


      2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,北京天融信网络安全技术有限公司、阿里云计算有限公司、华为技术有限公司、哈尔滨安天科技集团股份有限公司、北京启明星辰信息安全技术有限公司等单位报送公开收集的漏洞数量较多。内蒙古洞明科技有限公司、远江盛邦(北京)网络安全科技股份有限公司、北京华云安信息技术有限公司、河南灵创电子科技有限公司、长春嘉诚信息技术股份有限公司、山东新潮信息技术有限公司、北京铭图天成信息技术有限公司、山东云天安全技术有限公司、杭州迪普科技股份有限公司、国瑞数码零点实验室、北京圣博润高新技术股份有限公司、南京众智维信息科技有限公司、北京机沃科技有限公司、四川哨兵信息科技有限公司、内蒙古奥创科技有限公司、山石网科通信技术股份有限公司、北京长亭科技有限公司、厦门靠谱云股份有限公司、中科信息安全共性技术国家工程研究中心有限公司、中科汇能科技有限公司、河南信安世纪科技有限公司、北京智游网安科技有限公司、鼎信信息科技有限责任公司、北京小米科技有限责任公司、江苏保旺达软件技术有限公司、成都思维世纪科技有限公司、南瑞集团公司(国网电力科学研究院)、广州市巨晟网络科技有限公司、南京森林警察学院网络安全工作室、新疆海狼科技有限公司、上海观安信息技术股份有限公司、深圳市魔方安全科技有限公司、博智安全科技股份有限公司及其他个人白帽子向CNVD提交了12476个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的5276条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

上海交大

2080

2080

斗象科技(漏洞盒子)

1780

1780

奇安信网神(补天平台)

1416

1416

北京天融信网络安全技术有限公司

963

26

阿里云计算有限公司

652

0

华为技术有限公司

418

0

哈尔滨安天科技集团股份有限公司

344

0

北京启明星辰信息安全技术有限公司

328

14

恒安嘉新(北京)科技股份公司

275

0

北京神州绿盟科技有限公司

259

3

四川无声信息技术有限公司

212

212

新华三技术有限公司

204

0

北京数字观星科技有限公司

92

0

厦门服云信息科技有限公司

84

16

中国电信集团系统集成有限责任公司

84

63

深信服科技股份有限公司

74

2

西安四叶草信息技术有限公司

27

27

南京铱迅信息技术股份有限公司

4

4

南京联成科技发展股份有限公司

3

3

杭州安恒信息技术股份有限公司

1

1

内蒙古洞明科技有限公司

421

421

远江盛邦(北京)网络安全科技股份有限公司

380

380

北京华云安信息技术有限公司

245

245

河南灵创电子科技有限公司

215

215

长春嘉诚信息技术股份有限公司

187

187

山东新潮信息技术有限公司

101

101

北京铭图天成信息技术有限公司

80

80

山东云天安全技术有限公司

62

62

杭州迪普科技股份有限公司

59

0

国瑞数码零点实验室

55

55

北京圣博润高新技术股份有限公司

43

43

南京众智维信息科技有限公司

42

42

北京机沃科技有限公司

31

31

四川哨兵信息科技有限公司

24

24

内蒙古奥创科技有限公司

22

22

山石网科通信技术股份有限公司

14

14

北京长亭科技有限公司

13

13

厦门靠谱云股份有限公司

13

13

中科信息安全共性技术国家工程研究中心有限公司

8

8

中科汇能科技有限公司

7

7

河南信安世纪科技有限公司

6

6

北京智游网安科技有限公司

3

3

鼎信信息科技有限责任公司

3

3

北京小米科技有限责任公司

2

2

江苏保旺达软件技术有限公司

2

2

成都思维世纪科技有限公司

2

2

南瑞集团公司(国网电力科学研究院)

2

2

广州市巨晟网络科技有限公司

1

1

南京森林警察学院网络安全工作室

1

1

新疆海狼科技有限公司

1

1

上海观安信息技术股份有限公司

1

1

深圳市魔方安全科技有限公司

1

1

博智安全科技股份有限公司

1

1

个人

4840

4840

总计

2308(去重)

12476

表3 单位和个人上报漏洞统计

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论