登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2020年第3期

2020-04-01 15:17:23

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞2076个,其中高危漏洞765个,中危漏洞997个,低危漏洞314个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1591个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2020-18394、CNVD-2020-19897

CNVD-2020-19898、CNVD-2020-19968

CNVD-2020-20367、CNVD-2020-20365

CNVD-2020-20368、CNVD-2020-20369

CNVD-2020-20370、CNVD-2020-20384

本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码,破坏内存等。本月漏洞包括:Microsoft Windows Graphics Device Interface信息泄露漏洞(CNVD-2020-18394)、Microsoft Windows Installer提权漏洞(CNVD-2020-19897、CNVD-2020-19898)、Microsoft Internet Explorer脚本引擎远程代码执行漏洞(CNVD-2020-19968)、Microsoft ChakraCore和Edge远程代码执行漏洞(CNVD-2020-20367、CNVD-2020-20365、CNVD-2020-20368、CNVD-2020-20369、CNVD-2020-20370)、Microsoft Excel远程代码执行漏洞(CNVD-2020-20384)等。

 
 
 
 
 

其他编号

CVE-2020-0882、CVE-2020-0798

CVE-2020-0814、CVE-2020-0832

CVE-2020-0823、CVE-2020-0829

CVE-2020-0825、CVE-2020-0826

CVE-2020-0827、CVE-2019-1448

 
 
 
 
 

发布时间

2020/03/20

 

影响产品

Microsoft Office 365 ProPlus

Microsoft Office 2019 for Mac

Microsoft Office 2016 for Mac

Microsoft Windows Server 2008

Microsoft Windows Server 2012

Microsoft Windows Server 2016

Microsoft Windows Server 2019

Microsoft Internet Explorer

Microsoft Windows RT 8.1

Microsoft ChakraCore

Microsoft Windows 8.1

Microsoft Windows 10

Microsoft Windows 7

Microsoft Office 2019

Microsoft Excel 2010

Microsoft Excel 2013

Microsoft Excel 2016

Microsoft Edge

 
 
 
 
 
 
 
 

2

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2020-14763、CNVD-2020-15979

CNVD-2020-16487、CNVD-2020-17614

CNVD-2020-19220、CNVD-2020-19263

CNVD-2020-19864、CNVD-2020-19862

CNVD-2020-19867、CNVD-2020-19868

本月,IBM多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码,导致缓冲区溢出或堆溢出等。本月漏洞包括:IBM Security Identity Manager信任管理问题漏洞、多款IBM产品权限提升漏洞、IBM Spectrum Scale拒绝服务漏洞、IBM Sterling Connect:Direct权限提升漏洞、IBM Content Navigator会话固定漏洞、IBM DB2缓冲区溢出漏洞(CNVD-2020-19263)、IBM Watson IoT Message Gateway代码执行漏洞、IBM WebSphere Application Server权限提升漏洞(CNVD-2020-19862)、IBM Cloud Orchestrator安全绕过漏洞、多款IBM产品缓冲区溢出漏洞等。

 
 
 
 
 

其他编号

CVE-2019-4675、CVE-2020-4278

CVE-2020-4217、CVE-2018-1903

CVE-2020-4253、CVE-2019-4584

CVE-2020-4207、CVE-2020-4276

CVE-2019-4394、CVE-2018-1992

 
 
 
 
 

发布时间

2020/03/25

 

影响产品

IBM Spectrum Computing Suite for High Performance Analytics (HPA)

IBM IBM Security Identity Manager(ISIM)

IBM Sterling Connect:Direct for Unix

IBM WebSphere Application Server

IBM WIoTP Message Gateway

IBM Cloud Orchestrator

IBM Power System S922

IBM Content Navigator

IBM Spectrum Scale

IBM Platform LSF

IBM Power 9 FW910

IBM Power 9 OP920

IBM Power 9 OP910

IBM DB2

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Google多款产品存在安全漏洞

CNVD编号

CNVD-2020-16074、CNVD-2020-17105

CNVD-2020-17111、CNVD-2020-19198

CNVD-2020-19199、CNVD-2020-19200

CNVD-2020-19204、CNVD-2020-19205

CNVD-2020-19208、CNVD-2020-19577

本月,Google多款产品存在越界写入漏洞。攻击者可利用漏洞获取敏感信息,执行任意代码。本月漏洞包括:Google Android Media Framework代码执行漏洞(CNVD-2020-16074)、Google Android System信息泄露漏洞(CNVD-2020-17105、CNVD-2020-17111)、Google Chrome内存错误引用漏洞(CNVD-2020-19198、CNVD-2020-19199、CNVD-2020-19200、CNVD-2020-19204、CNVD-2020-19205、CNVD-2020-19208)、Google Android代码执行漏洞(CNVD-2020-19577)等。

 
 
 
 
 

其他编号

CVE-2020-0032、CVE-2020-0039

CVE-2020-0038、CVE-2020-6428

CVE-2020-6429、CVE-2020-6449

CVE-2020-6422、CVE-2020-6424

CVE-2020-6427、CVE-2020-0086

 
 
 
 
 

发布时间

2020/03/14

 

影响产品

Google Android

Google Chrome

 
 
 
 
 
 
 
 

4

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2020-14722、CNVD-2020-14729

CNVD-2020-14757、CNVD-2020-14803

CNVD-2020-14814、CNVD-2020-15700

CNVD-2020-16474、CNVD-2020-16485

CNVD-2020-19239、CNVD-2020-19238

本月,Cisco多款产品存在安全漏洞。攻击者可利用漏洞提升权限并修改设备配置文件,执行任意代码,或发起拒绝服务攻击等。本月漏洞包括:Cisco SD-WAN Solution vContainer访问控制错误漏洞、Cisco SD-WAN Solution权限许可和访问控制漏洞、Cisco NX-OS Software信任管理问题漏洞、Cisco IP Phone远程代码执行漏洞、Cisco MDS 9000 Series Multilayer Switches NX-OS Software拒绝服务漏洞、Cisco Prime Network Registrar跨站请求伪造漏洞、Cisco Integrated Management Controller权限提升漏洞、Cisco Nexus 9000 Series Fabric Switches缓冲区溢出漏洞、Cisco Data Center Network Manager路径遍历漏洞、Cisco SD-WAN Solution vManage命令注入漏洞等。

 
 
 
 
 

其他编号

CVE-2019-1647、CVE-2019-1646

CVE-2020-3165、CVE-2020-3111

CVE-2020-3175、CVE-2020-3148

CVE-2019-1863、CVE-2019-1901

CVE-2019-15982、CVE-2019-16012

 
 
 
 
 

发布时间

2020/03/01

 

影响产品

Cisco Cisco Integrated Management Controller

Cisco MDS 9000 Series Multilayer Switches

Cisco vManage Network Management Software

Cisco Nexus 9000 Series Switch Software

Cisco Data Center Analytics Framework

Cisco vEdge Cloud Router Platform

Cisco vBond Orchestrator Software

Cisco vSmart Controller Software

Cisco vEdge 1000 Series Routers

Cisco vEdge 2000 Series Routers

Cisco vEdge 5000 Series Routers

Cisco Prime Network Registrar

Cisco SD-WAN Solution vManage

Cisco Prime Network Registrar

Cisco SD-WAN Solution

Cisco NX-OS Software

 

5

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2020-17966、CNVD-2020-17967

CNVD-2020-17976、CNVD-2020-17977

CNVD-2020-17978、CNVD-2020-18348

CNVD-2020-18349、CNVD-2020-18350

CNVD-2020-18351、CNVD-2020-18352

本月,Adobe多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码。本月漏洞包括:Adobe Photoshop缓冲区溢出漏洞(CNVD-2020-17966、CNVD-2020-17967、CNVD-2020-17976、CNVD-2020-17977、CNVD-2020-17978)、Adobe Acrobat/Reader内存错误引用漏洞(CNVD-2020-18348、CNVD-2020-18349、CNVD-2020-18350、CNVD-2020-18351、CNVD-2020-18352)等。

 
 
 
 
 

其他编号

CVE-2020-3776、CVE-2020-3780

CVE-2020-3772、CVE-2020-3774

CVE-2020-3775、CVE-2020-3792

CVE-2020-3793、CVE-2020-3801

CVE-2020-3802、CVE-2020-3805

 
 
 
 
 

发布时间

2020/03/19

 

影响产品

Adobe Acrobat Reader 2017 (Classic 2017)

Adobe Acrobat Reader 2015 (Classic 2015)

Adobe Acrobat Reader DC (Continuous)

Adobe Acrobat 2015 (Classic 2015)

Adobe Acrobat 2017 (Classic 2017)

Adobe Acrobat DC (Continuous)

Adobe Photoshop CC 2019

Adobe Photoshop 2020

 

6

Dell多款产品存在安全漏洞

CNVD编号

CNVD-2020-15713、CNVD-2020-15714

CNVD-2020-15720、CNVD-2020-15729

CNVD-2020-15769、CNVD-2020-15953

CNVD-2020-16488、CNVD-2020-17176

CNVD-2020-17177、CNVD-2020-17374

本月,Dell多款产品存在安全漏洞。攻击者可利用漏洞获取受影响组件敏感信息,执行客户端代码等。本月漏洞包括:Dell RSA BSAFE Crypto-C Micro Edition信息泄露漏洞、Dell EMC Isilon OneFS授权问题漏洞、多款Dell产品访问控制错误漏洞、Dell EMC RSA BSAFE Micro Edition Suite拒绝服务漏洞、Dell EMC RSA Archer信息泄露漏洞(CNVD-2020-15769)、Dell EMC Avamar Server代码执行漏洞、Dell Security Management Server代码问题漏洞、Dell RSA Authentication Manager跨站脚本漏洞(CNVD-2020-17176、CNVD-2020-17177)、Dell Wyse Management Suite跨站脚本漏洞等。

 
 
 
 
 

其他编号

CVE-2019-3733、CVE-2020-5318

CVE-2019-3717、CVE-2018-15769

CVE-2019-3756、CVE-2020-5341

CVE-2020-5327、CVE-2020-5340

CVE-2020-5339、CVE-2019-3770

 
 
 
 
 

发布时间

2020/03/06

 

影响产品

Dell EMC RSA BSAFE Crypto-C Micro Edition

Dell EMC RSA BSAFE Micro Edition Suite

Dell Security Management Server

Dell RSA Authentication Manager

Dell Wyse Management Suite(WMS)

Dell Embedded Box PC 5000

Dell EMC Avamar Server

Dell EMC Isilon OneFS

Dell ChengMing 3977

Dell EMC RSA Archer

Dell G3 3579

Dell G7 7590

Dell G7 7790

Dell G3 3779

Dell G5 5587

Dell G5 5590

Dell G7 7588

 

7

Apple多款产品存在安全漏洞

CNVD编号

CNVD-2020-15279、CNVD-2020-15285

CNVD-2020-15286、CNVD-2020-15293

CNVD-2020-15564、CNVD-2020-15565

CNVD-2020-15566、CNVD-2020-15569

CNVD-2020-15570、CNVD-2020-19872

本月,Apple多款产品存在安全漏洞。攻击者可利用漏洞任意代码执行,导致缓冲区溢出或堆溢出等。本月漏洞包括:多款Apple产品WebKit组件存在多个内存破坏漏洞、多款Apple产品Kernel组件内存破坏漏洞(CNVD-2020-15285、CNVD-2020-15286、CNVD-2020-15293、CNVD-2020-15564、CNVD-2020-15565)、多款Apple产品内存破坏漏洞(CNVD-2020-15566)、多款Apple产品IOAcceleratorFamily组件内存破坏漏洞、多款Apple产品Kernel组件内存破坏漏洞(CNVD-2020-15570)、多款Apple产品缓冲区溢出漏洞(CNVD-2020-19872)等。

 
 
 
 
 

其他编号

CVE-2020-3868、CVE-2020-3842

CVE-2020-3858、CVE-2020-3829

CVE-2020-3853、CVE-2020-3856

CVE-2020-3857、CVE-2020-3837

CVE-2020-3860、CVE-2020-3910

 
 
 
 
 

发布时间

2020/03/05

 

影响产品

Apple iCloud for Windows

Apple iTunes for Windows

Apple macOS Catalina

Apple watchOS

Apple iPadOS

Apple Safari

Apple tvOS

Apple iOS

 

8

GitLab多款产品存在安全漏洞

CNVD编号

CNVD-2020-15485、CNVD-2020-15488

CNVD-2020-15490、CNVD-2020-17382

CNVD-2020-17383、CNVD-2020-19019

CNVD-2020-19021、CNVD-2020-19581

CNVD-2020-19607、CNVD-2020-19910

本月,GitLab多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息。本月漏洞包括:GitLab信息泄露漏洞(CNVD-2020-15485、CNVD-2020-15488、CNVD-2020-15490、CNVD-2020-17382、CNVD-2020-17383、CNVD-2020-19019、CNVD-2020-19021、CNVD-2020-19581、CNVD-2020-19607、CNVD-2020-19910)。

 
 
 
 
 

其他编号

CVE-2019-18461、CVE-2019-18456

CVE-2019-18449、CVE-2020-10084

CVE-2020-10080、CVE-2019-12434

CVE-2019-12432、CVE-2020-10087

CVE-2020-10090、CVE-2019-12446

 
 
 
 
 

发布时间

2020/03/26

 

影响产品

GitLab CE and EE

 

表1 本月重要漏洞信息


1.2漏洞被关注情况

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前2个月相比,本月操作系统、应用程序、WEB应用、网络设备(交换机、路由器等网络端设备)、安全产品和智能设备(物联网终端设备)漏洞的数量处于高位,数据库的数量处于低位。


图1 漏洞类型分布


     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

Microsoft Windows SMBv3远程代码执行漏洞

CNVD-2020-16676

2020/03/11

2

Microsoft Edge内存破坏漏洞(CNVD-2020-16694)

CNVD-2020-16694

2020/03/11

3

Huawei Mate 20授权问题漏洞

CNVD-2020-14858

2020/03/04

4

Mozilla Firefox/Firefox ESR命令注入漏洞

CNVD-2020-16722

2020/03/11

5

Apache ShardingSphere远程代码执行漏洞

CNVD-2020-16838

2020/03/12

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是MicrosoftWindows SMBv3远程代码执行漏洞,其访问量达到2005次以上。攻击者可以通过精心构造的请求包进行远程代码执行。


    1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞2076个,与前2个月平均收录数量1678个相比,处于高位;本月高危漏洞765个,与前2个月高危漏洞平均收录数量658个相比,处于高位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月23日发布的安全漏洞数量最多,都高达158个,主要是因为收录了SemCms、MyuCMS等多款产品存在的多个漏洞。


      2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,哈尔滨安天科技集团股份有限公司、北京天融信网络安全技术有限公司、恒安嘉新(北京)科技股份公司、华为技术有限公司、阿里云计算有限公司等单位报送公开收集的漏洞数量较多。北京华云安信息技术有限公司、远江盛邦(北京)网络安全科技股份有限公司、南京众智维信息科技有限公司、长春嘉诚信息技术股份有限公司、北京铭图天成信息技术有限公司、国瑞数码零点实验室、内蒙古奥创科技有限公司、河南灵创电子科技有限公司、山东新潮信息技术有限公司、山石网科通信技术股份有限公司、内蒙古洞明科技有限公司、杭州迪普科技股份有限公司、北京圣博润高新技术股份有限公司、上海观安信息技术股份有限公司、北京机沃科技有限公司、山东云天安全技术有限公司、河北千诚电子科技有限公司、博智安全科技股份有限公司、杭州海康威视数字技术股份有限公司、深圳市魔方安全科技有限公司、北京智游网安科技有限公司、北京信联科汇科技有限公司、河南信安世纪科技有限公司、新疆海狼科技有限公司、银行卡检测中心、广东堡塔安全技术有限公司、北京长亭科技有限公司、广西网信信息安全等级保护测评有限公司、河北昆时网络科技股份有限公司、广西启汇壹星信息科技有限公司、辽宁北方实验室有限公司、北京墨云科技有限公司、广州万方计算机科技有限公司、济南三泽信息安全测评有限公司、南瑞集团公司(国网电力科学研究院)、厦门靠谱云股份有限公司、吉林省吉林祥云信息技术有限公司、安吉加加信息技术有限公司、北京冠程科技有限公司、广州厚极信息科技有限公司、四川哨兵信息科技有限公司、北京天防安全科技有限公司、天津市兴先道科技有限公司、星云博创科技有限公司及其他个人白帽子向CNVD提交了12759个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的8743条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

斗象科技(漏洞盒子)

3572

3572

奇安信网神(补天平台)

3088

3088

上海交大

2083

2083

哈尔滨安天科技集团股份有限公司

1017

0

北京天融信网络安全技术有限公司

971

31

恒安嘉新(北京)科技股份公司

941

0

华为技术有限公司

735

0

阿里云计算有限公司

538

0

北京启明星辰信息安全技术有限公司

360

51

深信服科技股份有限公司

351

9

新华三技术有限公司

305

0

北京神州绿盟科技有限公司

278

18

中新网络信息安全股份有限公司

146

146

北京数字观星科技有限公司

99

0

中国电信集团系统集成有限责任公司

76

60

北京奇虎科技有限公司

66

0

南京联成科技发展股份有限公司

47

47

西安四叶草信息技术有限公司

32

32

北京安信天行科技有限公司

20

20

杭州安恒信息技术股份有限公司

18

18

北京知道创宇信息技术股份有限公司

17

1

四川无声信息技术有限公司

13

13

南京铱迅信息技术股份有限公司

10

10

沈阳东软系统集成工程有限公司

6

6

北京华云安信息技术有限公司

311

311

远江盛邦(北京)网络安全科技股份有限公司

275

275

南京众智维信息科技有限公司

248

248

长春嘉诚信息技术股份有限公司

177

177

北京铭图天成信息技术有限公司

173

173

国瑞数码零点实验室

163

163

内蒙古奥创科技有限公司

129

129

河南灵创电子科技有限公司

125

125

山东新潮信息技术有限公司

76

76

山石网科通信技术股份有限公司

72

72

内蒙古洞明科技有限公司

71

71

杭州迪普科技股份有限公司

70

0

北京圣博润高新技术股份有限公司

54

54

上海观安信息技术股份有限公司

41

41

北京机沃科技有限公司

27

27

山东云天安全技术有限公司

11

11

河北千诚电子科技有限公司

9

9

博智安全科技股份有限公司

6

6

杭州海康威视数字技术股份有限公司

5

5

深圳市魔方安全科技有限公司

5

5

北京智游网安科技有限公司

4

4

北京信联科汇科技有限公司

4

4

河南信安世纪科技有限公司

4

4

新疆海狼科技有限公司

4

4

银行卡检测中心

4

4

广东堡塔安全技术有限公司

3

3

北京长亭科技有限公司

3

3

广西网信信息安全等级保护测评有限公司

3

3

河北昆时网络科技股份有限公司

3

3

广西启汇壹星信息科技有限公司

2

2

辽宁北方实验室有限公司

2

2

北京墨云科技有限公司

2

2

广州万方计算机科技有限公司

2

2

济南三泽信息安全测评有限公司

2

2

南瑞集团公司(国网电力科学研究院)

2

2

厦门靠谱云股份有限公司

2

2

吉林省吉林祥云信息技术有限公司

1

1

安吉加加信息技术有限公司

1

1

北京冠程科技有限公司

1

1

广州厚极信息科技有限公司

1

1

四川哨兵信息科技有限公司

1

1

北京天防安全科技有限公司

1

1

天津市兴先道科技有限公司

1

1

星云博创科技有限公司

1

1

个人

1522

1522

总计

2376(去重)

12759

表3 单位和个人上报漏洞统计
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论