登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2020年第4期

2020-05-06 16:37:41

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞1986个,其中高危漏洞890个,中危漏洞920个,低危漏洞176个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1636个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2020-21239、CNVD-2020-23435

CNVD-2020-23440、CNVD-2020-23446

CNVD-2020-24132、CNVD-2020-24131

CNVD-2020-25579、CNVD-2020-25578

CNVD-2020-25580、CNVD-2020-25583

本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞提升权限,执行代码,损坏内存等。本月漏洞包括:Microsoft Office远程执行代码漏洞(CNVD-2020-23440)、Microsoft Edge内存破坏漏洞(CNVD-2020-23446)、Microsoft Windows Graphics Components远程代码执行漏洞、Microsoft Windows Graphics Components提权漏洞(CNVD-2020-25580、CNVD-2020-21239)、Microsoft Excel远程代码执行漏洞(CNVD-2020-24131、CNVD-2020-23435)、Microsoft Windows Kernel提权漏洞(CNVD-2020-25583、CNVD-2020-25579、CNVD-2020-25578)等。

 
 
 
 
 

其他编号

CVE-2020-0898、CVE-2020-0979

CVE-2020-0991、CVE-2020-0969

CVE-2020-0907、CVE-2020-0906

CVE-2020-1003、CVE-2020-1000

CVE-2020-1004、CVE-2020-1027

 
 
 
 
 

发布时间

2020/04/29

 

影响产品

Microsoft Windows 10

Microsoft Windows Server 2016

Microsoft Office 365 ProPlus

Microsoft Office 2010

Microsoft Office 2013 RT

Microsoft Office 2013

Microsoft Office 2016

Microsoft Office 2019

Microsoft Windows Server 2019

Microsoft Windows Server 2008

Microsoft Windows 7

Microsoft Windows Server 2012

Microsoft Windows 8.1

Microsoft Windows RT 8.1

Microsoft Windows Server

Microsoft Excel 2010

Microsoft Excel 2013

Microsoft Excel 2016

Microsoft Windows Server 2012

 
 
 
 
 
 
 
 

2

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2020-22326、CNVD-2020-22325

CNVD-2020-25346、CNVD-2020-25345

CNVD-2020-25344、CNVD-2020-25349

CNVD-2020-25348、CNVD-2020-25347

CNVD-2020-25351、CNVD-2020-25350

本月,Cisco多款产品存在安全漏洞。攻击者可利用漏洞写入或执行任意代码,导致拒绝服务等。本月漏洞包括:Cisco Webex Network Recording Player和Webex Player代码执行漏洞、Cisco Firepower 2100 Series Firepower Threat Defense资源管理错误漏洞、Cisco Firepower Threat Defense操作系统命令注入漏洞、Cisco UCS Director和Cisco UCS Director Express for Big Data输入验证错误漏洞(CNVD-2020-25346、CNVD-2020-25347)、Cisco UCS Director和Cisco UCS Director Express for Big Data路径遍历漏洞(CNVD-2020-25345、CNVD-2020-25351、CNVD-2020-25349、CNVD-2020-25348、CNVD-2020-25350)等。

 
 
 
 
 

其他编号

CVE-2019-1703、CVE-2019-1699

CVE-2020-3240、CVE-2020-3239

CVE-2020-3194、CVE-2020-3248

CVE-2020-3247、CVE-2020-3243

CVE-2020-3251、CVE-2020-3249

 
 
 
 
 

发布时间

2020/04/28

 

影响产品

Cisco Firepower 2100 Series

Cisco Firepower Threat Defense (FTD) Software

Cisco UCS Director

Cisco UCS Director Express for Big Data

Cisco WebEx Network Recording Player

Cisco WebEx Player

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2020-25758、CNVD-2020-25761

CNVD-2020-25760、CNVD-2020-25765

CNVD-2020-25767、CNVD-2020-25766

CNVD-2020-25790、CNVD-2020-25793

CNVD-2020-25792、CNVD-2020-25791

本月,Adobe多款产品存在安全漏洞。攻击者可以利用漏洞执行任意代码。本月漏洞包括:Adobe Bridge内存破坏漏洞、Adobe Bridge堆栈溢出漏洞(CNVD-2020-25766、CNVD-2020-25767)、Adobe Bridge越界写入漏洞(CNVD-2020-25790、CNVD-2020-25793、CNVD-2020-25792、CNVD-2020-25791、CNVD-2020-25758、CNVD-2020-25761、CNVD-2020-25760)等。

 
 
 
 
 

其他编号

CVE-2020-9560、CVE-2020-9554

CVE-2020-9556、CVE-2020-9568

CVE-2020-9562、CVE-2020-9563

CVE-2020-9569、CVE-2020-9561

CVE-2020-9564、CVE-2020-9565

 
 
 
 
 

发布时间

2020/04/29

 

影响产品

Adobe Bridge

 
 
 
 
 
 
 
 

4

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2020-20699、CNVD-2020-20698

CNVD-2020-20702、CNVD-2020-20701

CNVD-2020-23047、CNVD-2020-23046

CNVD-2020-23045、CNVD-2020-23049

CNVD-2020-24015、CNVD-2020-25563

本月,IBM多款产品存在安全漏洞。攻击者可利用漏洞绕过身份验证,提升权限,执行任意代码等。本月漏洞包括:IBM Spectrum Protect Plus命令执行漏洞(CNVD-2020-20699、CNVD-2020-20698、CNVD-2020-20702)、IBM Spectrum Protect Plus身份验证绕过漏洞、IBM QRadar SIEM文件上传漏洞、IBM QRadar SIEM命令执行漏洞、IBM QRadar SIEM权限提升漏洞、IBM QRadar SIEM服务器端请求伪造漏洞(CNVD-2020-23049)、IBM InfoSphere Information Server权限提升漏洞(CNVD-2020-24015)、IBM Spectrum Protect代码执行漏洞等。

 
 
 
 
 

其他编号

CVE-2020-4206、CVE-2020-4241

CVE-2020-4242、CVE-2020-4208

CVE-2020-4272、CVE-2020-4271

CVE-2020-4270、CVE-2020-4294

CVE-2020-4347、CVE-2020-4415

 
 
 
 
 

发布时间

2020/04/16

 

影响产品

IBM Spectrum Protect Plus

IBM QRadar SIEM

IBM InfoSphere Information Server

IBM Spectrum Protect

 

5

Google多款产品存在安全漏洞

CNVD编号

CNVD-2020-21256、CNVD-2020-22855

CNVD-2020-24030、CNVD-2020-24773

CNVD-2020-24772、CNVD-2020-24776

CNVD-2020-24775、CNVD-2020-24774

CNVD-2020-24778、CNVD-2020-24777

本月,Google多款产品存在安全漏洞。攻击者可利用漏洞提升权限,执行任意代码,导致拒绝服务等。本月漏洞包括:Google Chrome堆缓冲区溢出漏洞(CNVD-2020-21256)、Google Chrome代码执行漏洞(CNVD-2020-22855)、Google Closure Library输入验证错误漏洞、Google Android FPC Iris TZ App越界写入漏洞、Google Android System越界写入漏洞(CNVD-2020-24776、CNVD-2020-24775、CNVD-2020-24774、CNVD-2020-24773)、Google Android Media framework越界写入漏洞(CNVD-2020-24777、CNVD-2020-24778)等。

 
 
 
 
 

其他编号

CVE-2020-6452、CVE-2020-6448

CVE-2020-8910、CVE-2020-0073

CVE-2020-0076、CVE-2020-0070

CVE-2020-0071、CVE-2020-0072

CVE-2020-0078、CVE-2020-0079

 
 
 
 
 

发布时间

2020/04/26

 

影响产品

Google Chrome

Google Closure Library

Google Android

 

6

Oracle多款产品存在安全漏洞

CNVD编号

CNVD-2020-23015、CNVD-2020-23014

CNVD-2020-23016、CNVD-2020-23018

CNVD-2020-23019、CNVD-2020-23465

CNVD-2020-23751、CNVD-2020-23750

CNVD-2020-23753、CNVD-2020-23752

本月,Oracle多款产品存在安全漏洞。攻击者可利用漏洞远程执行代码,影响数据的可用性、保密性和完整性等。本月漏洞包括:Oracle Fusion Middleware WebLogic Server远程代码执行漏洞(CNVD-2020-23015、CNVD-2020-23016、CNVD-2020-23014)、Oracle Weblogic WlsSSLAdapter远程代码执行漏洞、Oracle Weblogic SOAPInvokeState远程代码执行漏洞、Oracle MySQL Server拒绝服务漏洞(CNVD-2020-23465)、Oracle E-Business Suite Email Center未授权操作漏洞(CNVD-2020-23751、CNVD-2020-23752)、Oracle E-Business Suite Marketing Encyclopedia System未授权操作漏洞、Oracle E-Business Suite General Ledger未授权访问漏洞等。

 
 
 
 
 

其他编号

CVE-2020-2883、CVE-2020-2884

CVE-2020-2801、CVE-2020-2798

CVE-2020-2963、CVE-2020-2804

CVE-2020-2796、CVE-2020-2807

CVE-2020-2750、CVE-2020-2794

 
 
 
 
 

发布时间

2020/04/16

 

影响产品

Oracle WebLogic Server

Oracle MySQL Server

Oracle E-Business Suite

 

7

Foxit多款产品存在安全漏洞

CNVD编号

CNVD-2020-24443、CNVD-2020-24446

CNVD-2020-24445、CNVD-2020-24444

CNVD-2020-24448、CNVD-2020-24447

CNVD-2020-24455、CNVD-2020-24454

CNVD-2020-24461、CNVD-2020-24464

本月,Foxit多款产品存在安全漏洞。攻击者可利用漏洞在当前进程的上下文中执行任意代码等。本月漏洞包括:Foxit Reader和PhantomPDF类型混淆远程代码执行漏洞(CNVD-2020-24443、CNVD-2020-24455、CNVD-2020-24446、CNVD-2020-24445、CNVD-2020-24444、CNVD-2020-24448、CNVD-2020-24447)、Foxit Reader和PhantomPDF资源管理错误漏洞(CNVD-2020-24461、CNVD-2020-24464)、Foxit Reader和PhantomPDF任意文件写入漏洞等。

 
 
 
 
 

其他编号

CVE-2020-10908、CVE-2020-10911

CVE-2020-10910、CVE-2020-10909

CVE-2020-10913、CVE-2020-10912

CVE-2020-10891、CVE-2020-10892

CVE-2020-10906、CVE-2020-10899

 
 
 
 
 

发布时间

2020/04/24

 

影响产品

Foxit Reader

Foxit PhantomPDF

 

8

Apple多款产品存在安全漏洞

CNVD编号

CNVD-2020-22118、CNVD-2020-22121

CNVD-2020-22129、CNVD-2020-22128

CNVD-2020-22133、CNVD-2020-22464

CNVD-2020-22467、CNVD-2020-22470

CNVD-2020-22469、CNVD-2020-23217

本月,Apple多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码等。本月漏洞包括:多款Apple产品Kernel组件内存破坏漏洞(CNVD-2020-22118)、多款Apple产品Image Processing组件资源管理错误漏洞、多款Apple产品WebKit组件类型混淆漏洞(CNVD-2020-22129)、多款Apple产品WebKit组件内存消耗漏洞、多款Apple产品WebKit组件内存破坏漏洞(CNVD-2020-22133)、Apple macOS Catalina Apple HSSPI Support组件内存破坏漏洞、Apple macOS Catalina AppleGraphicsControl组件内存破坏漏洞、Apple macOS Catalina Bluetooth组件内存破坏漏洞(CNVD-2020-22464、CNVD-2020-22469)、Apple macOS Catalina Bluetooth组件内存损坏漏洞等。

 
 
 
 
 

其他编号

CVE-2020-9785、CVE-2020-9768

CVE-2020-3897、CVE-2020-3899

CVE-2020-3895、CVE-2020-3893

CVE-2020-3903、CVE-2020-3904

CVE-2020-3905、CVE-2020-3892

 
 
 
 
 

发布时间

2020/04/09

 

影响产品

Apple iOS

Apple iPadOS

Apple watchOS

Apple tvOS

Apple macOS Catalina

Apple iCloud for Windows

Apple iTunes for Windows

Apple Safari

 

表1 本月重要漏洞信息


1.2漏洞被关注情况

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前12个月相比,本月应用程序,WEB应用,数据库,安全产品的数量处于高位,操作系统,网络设备(交换机、路由器等网络端设备),智能设备(物联网终端设备)漏洞的数量处于低位。


图1漏洞类型分布


     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

深信服远程拷机工具存在命令执行漏洞

CNVD-2019-43425

2020/04/01

2

ZOHO ManageEngine ADSelfService Plus代码执行漏洞

CNVD-2020-23238

2020/04/17

3

超星汇雅电子图书平台存在SQL注入漏洞

CNVD-2020-18702

2020/04/07

4

FlashFXP本地拒绝服务漏洞

CNVD-2020-20443

2020/04/01

5

115CMS存在文件上传漏洞(CNVD-2020-21044)

CNVD-2020-21044

2020/04/20

表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是深信服远程拷机工具存在命令执行漏洞,其访问量达到1369次以上。攻击者可利用该漏洞取得服务器权限。


    1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞1986个,与前12个月平均收录数量1556个相比,处于高位;本月高危漏洞890个,与前12个月高危漏洞平均收录数量503个相比,处于高位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月30日发布的安全漏洞数量最多,都高达132个,主要是因为收录了NETGEAR、PrestaShop等多款产品存在的多个漏洞。


      2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,恒安嘉新(北京)科技股份公司、北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、阿里云计算有限公司、华为技术有限公司等单位报送公开收集的漏洞数量较多。远江盛邦(北京)网络安全科技股份有限公司、北京铭图天成信息技术有限公司、北京华云安信息技术有限公司、长春嘉诚信息技术股份有限公司、河南灵创电子科技有限公司、国瑞数码零点实验室、南京众智维信息科技有限公司、山东新潮信息技术有限公司、杭州迪普科技股份有限公司、上海观安信息技术股份有限公司、内蒙古奥创科技有限公司、山石网科通信技术股份有限公司、内蒙古洞明科技有限公司、博智安全科技股份有限公司、杭州海康威视数字技术股份有限公司、北京机沃科技有限公司、山东云天安全技术有限公司、北京圣博润高新技术股份有限公司、新疆海狼科技有限公司、浙江国利网安科技有限公司、四川哨兵信息科技有限公司、河南信安世纪科技有限公司、广州安亿信软件科技有限公司、京东云安全、北京墨云科技有限公司、深圳市魔方安全科技有限公司、北京智游网安科技有限公司、北京浩瀚深度信息技术股份有限公司、郑州赛欧思科技有限公司、北京信联科汇科技有限公司、成都安美勤信息技术股份有限公司、四川月安客信息技术有限公司、西安秦易信息技术有限公司、南方电网数字电网研究院有限公司、吉林省吉林祥云信息技术有限公司、广西网信信息安全等级保护测评有限公司、山东云天安全大数据技术有限公司、天津市兴先道科技有限公司、鼎信信息科技有限责任公司、北京丁牛科技有限公司、中移(杭州)信息技术有限公司、河北千诚电子科技有限公司、北京冠程科技有限公司、广州美杜莎网络科技有限公司及其他个人白帽子向CNVD提交了17382个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的13274条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

斗象科技(漏洞盒子)

6072

6072

奇安信网神(补天平台)

3848

3848

上海交大

3354

3354

恒安嘉新(北京)科技股份公司

1719

0

北京天融信网络安全技术有限公司

1238

17

哈尔滨安天科技集团股份有限公司

1072

0

阿里云计算有限公司

940

0

华为技术有限公司

809

0

深信服科技股份有限公司

414

0

北京神州绿盟科技有限公司

327

48

中新网络信息安全股份有限公司

285

285

新华三技术有限公司

275

0

北京启明星辰信息安全技术有限公司

273

54

厦门服云信息科技有限公司

101

0

北京奇虎科技有限公司

90

15

北京数字观星科技有限公司

68

0

四川无声信息技术有限公司

63

63

杭州安恒信息技术股份有限公司

62

62

中国电信集团系统集成有限责任公司

59

59

西安四叶草信息技术有限公司

38

38

北京知道创宇信息技术股份有限公司

28

10

北京安信天行科技有限公司

23

23

沈阳东软系统集成工程有限公司

3

3

南京铱迅信息技术股份有限公司

2

2

南京联成科技发展股份有限公司

1

1

远江盛邦(北京)网络安全科技股份有限公司

289

289

北京铭图天成信息技术有限公司

283

283

北京华云安信息技术有限公司

244

244

长春嘉诚信息技术股份有限公司

201

201

河南灵创电子科技有限公司

179

179

国瑞数码零点实验室

162

162

南京众智维信息科技有限公司

129

129

山东新潮信息技术有限公司

95

95

杭州迪普科技股份有限公司

75

0

上海观安信息技术股份有限公司

73

73

内蒙古奥创科技有限公司

40

40

山石网科通信技术股份有限公司

35

35

内蒙古洞明科技有限公司

33

33

博智安全科技股份有限公司

23

23

杭州海康威视数字技术股份有限公司

23

23

北京机沃科技有限公司

19

19

山东云天安全技术有限公司

18

18

北京圣博润高新技术股份有限公司

17

17

新疆海狼科技有限公司

8

8

浙江国利网安科技有限公司

8

8

四川哨兵信息科技有限公司

6

6

河南信安世纪科技有限公司

6

6

广州安亿信软件科技有限公司

6

6

京东云安全

5

5

北京墨云科技有限公司

4

4

深圳市魔方安全科技有限公司

4

4

北京智游网安科技有限公司

3

3

北京浩瀚深度信息技术股份有限公司

3

3

郑州赛欧思科技有限公司

3

3

北京信联科汇科技有限公司

3

3

成都安美勤信息技术股份有限公司

3

3

四川月安客信息技术有限公司

3

3

西安秦易信息技术有限公司

3

3

南方电网数字电网研究院有限公司

3

3

吉林省吉林祥云信息技术有限公司

2

2

广西网信信息安全等级保护测评有限公司

2

2

山东云天安全大数据技术有限公司

2

2

天津市兴先道科技有限公司

2

2

鼎信信息科技有限责任公司

2

2

北京丁牛科技有限公司

2

2

中移(杭州)信息技术有限公司

1

1

河北千诚电子科技有限公司

1

1

北京冠程科技有限公司

1

1

广州美杜莎网络科技有限公司

1

1

个人

1478

1478

总计

1986(去重)

17382

表3 单位和个人上报漏洞统计

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论