登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2020年第6期

2020-07-01 15:37:01

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞1969个,其中高危漏洞631个,中危漏洞1109个,低危漏洞229个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1594个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

CloudBees多款产品存在安全漏洞

CNVD编号

CNVD-2020-33638、CNVD-2020-33637

CNVD-2020-33636、CNVD-2020-33740

CNVD-2020-33744、CNVD-2020-33748

CNVD-2020-33747、CNVD-2020-33756

CNVD-2020-33755、CNVD-2020-33754

本月,CloudBees多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,执行任意代码,实施中间人攻击等。本月漏洞包括:CloudBees Jenkins AWS SAM Plugin代码问题漏洞、CloudBees Jenkins Yaml Axis Plugin代码问题漏洞、CloudBees Jenkins Parasoft Findings Plugin代码问题漏洞、CloudBees Jenkins Self-Organizing Swarm Plug-in Modules Plugin跨站请求伪造漏洞、CloudBees Jenkins Selenium Plugin跨站请求伪造漏洞、CloudBees Jenkins Play Framework Plugin操作系统命令注入漏洞、CloudBees Jenkins Subversion Partial Release Manager Plugin跨站脚本漏洞、CloudBees Jenkins Amazon EC2 Plugin授权问题漏洞、CloudBees Jenkins Amazon EC2 Plugin信任管理问题漏洞、CloudBees Jenkins Amazon EC2 Plugin跨站请求伪造漏洞等。

 
 
 
 
 

其他编号

CVE-2020-2180、CVE-2020-2179

CVE-2020-2178、CVE-2020-2192

CVE-2020-2196、CVE-2020-2200

CVE-2020-2199、CVE-2020-2188

CVE-2020-2187、CVE-2020-2186

 
 
 
 
 

发布时间

2020/06/20

 

影响产品

CloudBees Jenkins AWS SAM Plugin

CloudBees Jenkins Yaml Axis Plugin

CloudBees Jenkins Parasoft Findings Plugin

CloudBees Jenkins Self-Organizing Swarm Plug-in Modules Plugin

CloudBees Jenkins Selenium Plugin

CloudBees Jenkins Play Framework Plugin

CloudBees Jenkins Subversion Partial Release Manager Plugin

CloudBees Jenkins Amazon EC2 Plugin

 
 
 
 
 
 
 
 

2

Apple多款产品存在安全漏洞

CNVD编号

CNVD-2020-31284、CNVD-2020-32218

CNVD-2020-32217、CNVD-2020-33215

CNVD-2020-34135、CNVD-2020-34631

CNVD-2020-34634、CNVD-2020-34641

CNVD-2020-34933、CNVD-2020-34936

本月,Apple多款产品存在安全漏洞。攻击者可利用漏洞读取内核内存,获取管理员权限,执行任意代码等。本月漏洞包括:Apple macOS Catalina Accounts组件安全限制绕过漏洞、Apple macOS Catalina Wi-Fi组件内存破坏漏洞(CNVD-2020-32218、CNVD-2020-32217)、Apple macOS Catalina PackageKit组件权限提升漏洞、Apple macOS Catalina Security组件输入验证错误漏洞、Apple macOS Catalina Intel Graphics Driver组件缓冲区溢出漏洞、多款Apple产品Kernel组件资源管理错误漏洞(CNVD-2020-33215)、多款Apple产品Kernel组件信息泄露漏洞(CNVD-2020-34135)、多款Apple产品Kernel组件缓冲区溢出漏洞(CNVD-2020-34936)、多款Apple产品FontParser组件缓冲区溢出漏洞等。

 
 
 
 
 

其他编号

CVE-2020-9772、CVE-2020-9830

CVE-2020-9834、CVE-2020-9859

CVE-2020-9812、CVE-2020-9817

CVE-2020-9788、CVE-2020-9822

CVE-2020-9816、CVE-2020-9821

 
 
 
 
 

发布时间

2020/06/24

 

影响产品

Apple macOS Catalina

Apple tvOS

Apple watchOS

Apple iOS

Apple iPadOS

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Apache多款产品存在安全漏洞

CNVD编号

CNVD-2020-31759、CNVD-2020-31758

CNVD-2020-32424、CNVD-2020-32881

CNVD-2020-32886、CNVD-2020-33326

CNVD-2020-34445、CNVD-2020-34449

CNVD-2020-35391、CNVD-2020-35390

本月,Apache多款产品存在安全漏洞。攻击者可以利用漏洞获取服务器权限,执行任意代码,导致内存不足等。本月漏洞包括:Apache Syncope注入漏洞、Apache Syncope代码注入漏洞、Apache NiFi Registry代码问题漏洞、Apache Log4j信任管理问题漏洞、Apache IoTDB信任管理问题漏洞、Apache Tika内存溢出漏洞(CNVD-2020-33326)、Apache Spark远程代码执行漏洞、Apache Tomcat代码问题漏洞、Apache OFBiz注入漏洞、Apache OFBiz跨站请求伪造漏洞等。

 
 
 
 
 

其他编号

CVE-2020-1961、CVE-2020-1959

CVE-2020-9482、CVE-2020-9488

CVE-2020-1952、CVE-2020-9489

CVE-2020-9480、CVE-2020-9484

CVE-2019-12425、CVE-2019-0235

 
 
 
 
 

发布时间

2020/06/14

 

影响产品

Apache Syncope

Apache NiFi Registry

Apache Log4j

Apache IoTDB

Apache Tika

Apache Spark

Apache Tomcat

Apache OFBiz

 
 
 
 
 
 
 
 

4

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2020-31959、CNVD-2020-31962

CNVD-2020-31964、CNVD-2020-31970

CNVD-2020-31969、CNVD-2020-31971

CNVD-2020-31974、CNVD-2020-31976

CNVD-2020-31991、CNVD-2020-31996

本月,Cisco多款产品存在安全漏洞。攻击者可利用漏洞提升权限,执行任意代码,导致拒绝服务等。本月漏洞包括:Cisco IOS XE命令注入漏洞(CNVD-2020-31959、CNVD-2020-31962、CNVD-2020-31969、CNVD-2020-31974)、Cisco IOS XE Software输入验证错误漏洞、

Cisco IOS XE Software命令注入漏洞、Cisco IOS XE权限许可和访问控制问题漏洞(CNVD-2020-31976、CNVD-2020-31964、CNVD-2020-31996)、Cisco IOS XE数据伪造问题漏洞(CNVD-2020-31991)等。

 
 
 
 
 

其他编号

CVE-2020-3207、CVE-2020-3212

CVE-2020-3214、CVE-2020-3218

CVE-2020-3211、CVE-2020-3219

CVE-2020-3224、CVE-2020-3227

CVE-2020-3209、CVE-2020-3229

 
 
 
 
 

发布时间

2020/06/09

 

影响产品

Cisco Catalyst 3650 Series Switches

Cisco Catalyst 3850 Series Switches

Cisco Catalyst 9300 Series Switches

Cisco Catalyst 9200 Series Switches

Cisco Catalyst 9500 Series Switches

Cisco IOS XE Web Management Software

Cisco IOS XE Software

Cisco IOS XE

 

5

Foxit多款产品存在安全漏洞

CNVD编号

CNVD-2020-32092、CNVD-2020-32091

CNVD-2020-32090、CNVD-2020-32439

CNVD-2020-32443、CNVD-2020-32448

CNVD-2020-32450、CNVD-2020-32453

CNVD-2020-32466、CNVD-2020-32467

本月,Foxit多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码,导致拒绝服务和缓冲区溢出等。本月漏洞包括:Foxit Reader和PhantomPDF资源管理错误漏洞(CNVD-2020-32092、CNVD-2020-32091、CNVD-2020-32443)、Foxit Reader和PhantomPDF代码问题漏洞、Foxit Reader和PhantomPDF缓冲区溢出漏洞(CNVD-2020-32453)、Foxit Reader和PhantomPDF 3D 插件缓冲区溢出漏洞、Foxit PhantomPDF缓冲区溢出漏洞(CNVD-2020-32448)、Foxit PhantomPDF Mac和Reader for Mac缓冲区溢出漏洞、Foxit PhantomPDF信息泄露漏洞(CNVD-2020-32466)、Foxit PhantomPDF代码问题漏洞(CNVD-2020-32467)等。

 
 
 
 
 

其他编号

CVE-2019-20819、CVE-2019-20818

CVE-2019-20817、CVE-2019-20822

CVE-2020-13814、CVE-2019-20825

CVE-2019-20827、CVE-2019-20830

CVE-2018-21242、CVE-2018-21244

 
 
 
 
 

发布时间

2020/06/11

 

影响产品

Foxit Reader

Foxit PhantomPDF

Foxit PhantomPDF Mac

Foxit Reader for Mac

 

6

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2020-32371、CNVD-2020-32370

CNVD-2020-34119、CNVD-2020-34122

CNVD-2020-34121、CNVD-2020-34120

CNVD-2020-34125、CNVD-2020-34124

CNVD-2020-34123、CNVD-2020-34126

本月,Adobe多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码等。本月漏洞包括:Adobe Bridge代码执行漏洞(CNVD-2020-32370、CNVD-2020-32371)、Adobe Audition越界写入漏洞(CNVD-2020-34119、CNVD-2020-34120)、Adobe Premiere Rush越界写入漏洞(CNVD-2020-34122、CNVD-2020-34123)、Adobe Premiere Rush越界读取漏洞(CNVD-2020-34121)、Adobe Premiere Pro越界写入漏洞(CNVD-2020-34125、CNVD-2020-34126)、Adobe Premiere Pro越界读取漏洞(CNVD-2020-34124)等。

 
 
 
 
 

其他编号

CVE-2020-9566、CVE-2020-9567

CVE-2020-9659、CVE-2020-9657

CVE-2020-9655、CVE-2020-9658

CVE-2020-9654、CVE-2020-9652

CVE-2020-9656、CVE-2020-9653

 
 
 
 
 

发布时间

2020/06/23

 

影响产品

Adobe Bridge

Adobe Audition

Adobe Premiere Rush

Adobe Premiere Pro

 

7

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2020-32587、CNVD-2020-32590

CNVD-2020-32589、CNVD-2020-32588

CNVD-2020-33077、CNVD-2020-33432

CNVD-2020-33431、CNVD-2020-33430

CNVD-2020-33800、CNVD-2020-34939

本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞在当前进程的上下文中执行任意代码等。本月漏洞包括:Microsoft Windows Jet Database Engine远程代码执行漏洞(CNVD-2020-32587)、Microsoft Windows win32k权限提升漏洞(CNVD-2020-32590、CNVD-2020-32589、CNVD-2020-32588、CNVD-2020-33800)、Microsoft Windows Jet Database Engine远程代码执行漏洞(CNVD-2020-33077、CNVD-2020-33432、CNVD-2020-33431、CNVD-2020-33430、CNVD-2020-34939)等。

 
 
 
 
 

其他编号

CVE-2020-0953、CVE-2020-0958

CVE-2020-0957、CVE-2020-0956

CVE-2020-0959、CVE-2020-1174

CVE-2020-1175、CVE-2020-1176

CVE-2020-1143、CVE-2020-0960

 
 
 
 
 

发布时间

2020/06/12

 

影响产品

Microsoft Windows Server 2008

Microsoft Windows 7

Microsoft Windows Server 2012

Microsoft Windows RT 8.1

Microsoft Windows 10

Microsoft Windows Server 2016

Microsoft Windows Server 2019

Microsoft Windows Server

Microsoft Windows 8.1

 

8

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2020-32639、CNVD-2020-32642

CNVD-2020-32640、CNVD-2020-32648

CNVD-2020-33084、CNVD-2020-33083

CNVD-2020-33082、CNVD-2020-33087

CNVD-2020-33085、CNVD-2020-33143

本月,IBM多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,执行任意代码,导致拒绝服务等。本月漏洞包括:IBM MobileFirst Foundation授权问题漏洞、IBM WebSphere Application Server代码问题漏洞(CNVD-2020-32642)、IBM WebSphere Application Server Network Deployment代码问题漏洞、IBM Security Guardium操作系统命令注入漏洞(CNVD-2020-32648)、IBM Spectrum Protect Plus文件上传漏洞、IBM Spectrum Protect Plus拒绝服务漏洞、IBM Spectrum Protect Plus代码执行漏洞、IBM Spectrum Protect Plus信息泄露漏洞(CNVD-2020-33087)、IBM Spectrum Protect信息泄露漏洞(CNVD-2020-33085)、多款IBM产品缓冲区溢出漏洞(CNVD-2020-33143)等。

 
 
 
 
 

其他编号

CVE-2020-4229、CVE-2020-4450

CVE-2020-4448、CVE-2020-4180

CVE-2020-4470、CVE-2020-4471

CVE-2020-4469、CVE-2020-4477

CVE-2020-4494、CVE-2020-4433

 
 
 
 
 

发布时间

2020/06/16

 

影响产品

IBM MobileFirst Foundation

IBM WebSphere Application Server

IBM WebSphere Virtual Enterprise

IBM WebSphere Application Server ND

IBM Security Guardium

IBM Spectrum Protect Plus

IBM Spectrum Protect Client(Linux and Windows)

IBM Spectrum Protect Client(AIX)

IBM Spectrum Protect for Space Management(AIX)

IBM Spectrum Protect for Space Management (Linux)

IBM Aspera High-Speed Transfer Server

IBM High-Speed Transfer Endpoint

IBM Proxy Server

IBM Transfer Cluster Manager

IBM Faspex On Demand

IBM Server On Demand

IBM Shares On Demand

IBM Streaming

IBM High-Speed Transfer Server for Cloud Pak for Integration (CP4I)

 

表1 本月重要漏洞信息


     1.2漏洞分类统计

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前12个月相比,本月操作系统,WEB应用的数量处于高位,应用程序,网络设备(交换机、路由器等网络端设备),智能设备(物联网终端设备),数据库,安全产品漏洞的数量处于低位。


图1 漏洞类型分布


     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

苏州托普斯网络科技有限公司建站系统存在SQL注入漏洞(CNVD-2020-30143)

CNVD-2020-30143

2020/06/29

2

IBM Spectrum Protect Plus拒绝服务漏洞

CNVD-2020-33083

2020/06/16

3

米拓企业建站系统存在任意文件删除漏洞

CNVD-2020-29421

2020/06/10

4

Advantech WebAccess Node缓冲区溢出漏洞(CNVD-2020-32232)

CNVD-2020-32232

2020/06/10

5

武汉衍艺广告有限公司建站系统存在未授权访问漏洞

CNVD-2020-28081

2020/06/17

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是苏州托普斯网络科技有限公司建站系统存在SQL注入漏洞(CNVD-2020-30143),其访问量达到12518次以上。攻击者可利用该漏洞获取数据库敏感信息。


    1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞1969个,与前12个月平均收录数量1700个相比,处于高位;本月高危漏洞631个,与前12个月高危漏洞平均收录数量581个相比,处于高位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月16日发布的安全漏洞数量最多,都高达215个,主要是因为收录了Google、IBM等多款产品存在的多个漏洞。


      2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,恒安嘉新(北京)科技股份公司、北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、阿里云计算有限公司、华为技术有限公司等单位报送公开收集的漏洞数量较多。远江盛邦(北京)网络安全科技股份有限公司、北京华云安信息技术有限公司、长春嘉诚信息技术股份有限公司、河南灵创电子科技有限公司、山东道普测评技术有限公司、杭州迪普科技股份有限公司、国瑞数码零点实验室、山东云天安全技术有限公司、山东新潮信息技术有限公司、吉林谛听信息技术有限公司、上海观安信息技术股份有限公司、河南信安世纪科技有限公司、河北华测信息技术有限公司、北京顶象技术有限公司、北京天地和兴科技有限公司、京东云安全、南京众智维信息科技有限公司、广州竞远安全技术股份有限公司、国网山东省电力公司、内蒙古奥创科技有限公司、上海纽盾科技股份有限公司、成都安美勤信息技术股份有限公司、国家互联网应急中心、济南三泽信息安全测评有限公司、广州安亿信软件科技有限公司、北京禹宏信安科技有限公司、北京智游网安科技有限公司、北京长亭科技有限公司、北京浩瀚深度信息技术股份有限公司、博智安全科技股份有限公司、上海上讯信息技术股份有限公司、北京圣博润高新技术股份有限公司、内蒙古洞明科技有限公司、四川哨兵信息科技有限公司、北京云科安信科技有限公司、江苏省信息安全测评中心、中国—东盟信息港股份有限公司、南瑞集团公司(国网电力科学研究院)、南方电网数字电网研究院有限公司、北京神荼科技有限公司、安徽长泰信息安全服务有限公司、深圳市魔方安全科技有限公司、山东华鲁科技发展股份有限公司、星云博创科技有限公司及其他个人白帽子向CNVD提交了13638个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的10557条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

斗象科技(漏洞盒子)

4731

4731

奇安信网神(补天平台)

3830

3830

上海交大

1996

1996

恒安嘉新(北京)科技股份公司

1540

0

北京天融信网络安全技术有限公司

1194

50

哈尔滨安天科技集团股份有限公司

1062

0

阿里云计算有限公司

784

0

华为技术有限公司

710

0

新华三技术有限公司

553

0

深信服科技股份有限公司

385

1

北京启明星辰信息安全技术有限公司

361

34

北京奇虎科技有限公司

212

109

北京神州绿盟科技有限公司

211

52

厦门服云信息科技有限公司

84

0

中国电信集团系统集成有限责任公司

60

60

北京数字观星科技有限公司

54

4

西安四叶草信息技术有限公司

25

25

北京知道创宇信息技术股份有限公司

23

12

沈阳东软系统集成工程有限公司

4

4

北京安信天行科技有限公司

4

4

深圳市腾讯计算机系统有限公司(玄武实验室)

3

2

南京铱迅信息技术股份有限公司

1

1

远江盛邦(北京)网络安全科技股份有限公司

231

231

北京华云安信息技术有限公司

178

178

长春嘉诚信息技术股份有限公司

174

174

河南灵创电子科技有限公司

113

113

山东道普测评技术有限公司

80

80

杭州迪普科技股份有限公司

67

0

国瑞数码零点实验室

64

64

山东云天安全技术有限公司

41

41

山东新潮信息技术有限公司

35

35

吉林谛听信息技术有限公司

28

28

上海观安信息技术股份有限公司

21

21

河南信安世纪科技有限公司

14

14

河北华测信息技术有限公司

12

12

北京顶象技术有限公司

11

11

北京天地和兴科技有限公司

10

10

京东云安全

9

9

南京众智维信息科技有限公司

9

9

广州竞远安全技术股份有限公司

9

9

国网山东省电力公司

8

8

内蒙古奥创科技有限公司

5

5

上海纽盾科技股份有限公司

5

5

成都安美勤信息技术股份有限公司

5

5

国家互联网应急中心

5

5

济南三泽信息安全测评有限公司

5

5

广州安亿信软件科技有限公司

5

5

北京禹宏信安科技有限公司

4

4

北京智游网安科技有限公司

4

4

北京长亭科技有限公司

4

4

北京浩瀚深度信息技术股份有限公司

3

3

博智安全科技股份有限公司

3

3

上海上讯信息技术股份有限公司

2

2

北京圣博润高新技术股份有限公司

2

2

内蒙古洞明科技有限公司

2

2

四川哨兵信息科技有限公司

2

2

北京云科安信科技有限公司

2

2

江苏省信息安全测评中心

1

1

中国—东盟信息港股份有限公司

1

1

南瑞集团公司(国网电力科学研究院)

1

1

南方电网数字电网研究院有限公司

1

1

北京神荼科技有限公司

1

1

安徽长泰信息安全服务有限公司

1

1

深圳市魔方安全科技有限公司

1

1

山东华鲁科技发展股份有限公司

1

1

星云博创科技有限公司

1

1

个人

1609

1609

总计

1969(去重)

13638

表3 单位和个人上报漏洞统计

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论