登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2020年第7期

2020-08-04 14:44:26

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞1476个,其中高危漏洞447个,中危漏洞838个,低危漏洞191个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1181个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2020-37833、CNVD-2020-37832

CNVD-2020-37835、CNVD-2020-40487

CNVD-2020-40627、CNVD-2020-40876

CNVD-2020-40881、CNVD-2020-41714

CNVD-2020-43099、CNVD-2020-43107

本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞提升权限,执行任意代码,导致内存损坏。本月漏洞包括:Microsoft Windows Error Reporting Manager权限提升漏洞、Microsoft Windows Now Playing Session Manager权限提升漏洞、Microsoft ChakraCore和Edge远程执行代码漏洞(CNVD-2020-37835)、Microsoft Windows Server DNS Server远程代码执行漏洞、Microsoft Internet Explorer VBScript Engine远程代码执行漏洞(CNVD-2020-40627)、Microsoft Windows远程代码执行漏洞(CNVD-2020-40876)、Microsoft Remote Desktop Client远程代码执行漏洞、Microsoft Excel缓冲区溢出漏洞(CNVD-2020-41714)、Microsoft Windows Update Stack权限提升漏洞、Microsoft Windows Kernel权限提升漏洞(CNVD-2020-43107)等。

 
 
 
 
 

其他编号

CVE-2020-1197、CVE-2020-1201

CVE-2020-1073、CVE-2020-1350

CVE-2020-1058、CVE-2020-1421

CVE-2020-1374、CVE-2020-0901

CVE-2020-1424、CVE-2020-1411

 
 
 
 
 

发布时间

2020/07/09

 

影响产品

Microsoft 365 Apps for Enterprise

Microsoft Office 2019 for Mac

Microsoft Office 2016 for Mac

Microsoft Windows Server 2008

Microsoft Windows Server 2012

Microsoft Windows Server 2016

Microsoft Windows Server 2019

Microsoft Internet Explorer

Microsoft Windows Server

Microsoft Windows RT 8.1

Microsoft Excel 2013 RT

Microsoft Office 2019

Microsoft Windows 8.1

Microsoft Windows 10

Microsoft ChakraCore

Microsoft Excel 2010

Microsoft Excel 2016

Microsoft Windows 7

Microsoft Edge

 
 
 
 
 
 
 
 

2

Siemens多款产品存在安全漏洞

CNVD编号

CNVD-2020-40613、CNVD-2020-40617

CNVD-2020-40621、CNVD-2020-40620

CNVD-2020-40618、CNVD-2020-40622

CNVD-2020-40862、CNVD-2020-40861

CNVD-2020-40865、CNVD-2020-40864

本月,Siemens多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,执行任意代码,造成拒绝服务情况等。本月漏洞包括:多款Siemens产品信息泄露漏洞、Siemens SICAM MMU、SGU和T缓冲区溢出漏洞、Siemens SICAM MMU、SGU和T访问控制错误漏洞、Siemens SICAM MMU、SGU和T敏感信息泄露漏洞、Siemens SICAM MMU、SGU和T跨站脚本漏洞、Siemens SICAM MMU、SGU和T越界读取漏洞、Siemens Opcenter Execution Core SQL注入漏洞、Siemens Opcenter Execution Core访问控制错误漏洞、Siemens SIMATIC S7-200 Smart CPU系列拒绝服务漏洞、Siemens LOGO! 8 BM缓冲区溢出漏洞等。

 
 
 
 
 

其他编号

CVE-2020-7592、CVE-2020-10042

CVE-2020-10038、CVE-2020-10039

CVE-2020-10041、CVE-2020-10037

CVE-2020-7577、CVE-2020-7578

CVE-2020-7584、CVE-2020-7593

 
 
 
 
 

发布时间

2020/07/19

 

影响产品

Siemens SIMATIC HMI Basic Panels 2nd Generation(incl. SIPLUS variants)

Siemens SIMATIC HMI Comfort Panels (incl. SIPLUS vari-ants)

Siemens SIMATIC HMI Mobile Panels 2nd Generation

Siemens LOGO! 8 BM (incl. SIPLUS variants)

Siemens SIMATIC HMI KTP700F Mobile Arctic

Siemens SIMATIC S7-200 SMART CPU family

Siemens SIMATIC WinCC Runtime Advanced

Siemens Camstar Enterprise Platform

Siemens Opcenter Execution Core

Siemens SICAM SGU

Siemens SICAM MMU

Siemens SICAM T

 
 
 
 
 
 
 

3

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2020-36219、CNVD-2020-36222

CNVD-2020-36221、CNVD-2020-36220

CNVD-2020-36225、CNVD-2020-36224

CNVD-2020-36227、CNVD-2020-36226

CNVD-2020-38191、CNVD-2020-38190

本月,Adobe多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码。本月漏洞包括:Adobe Illustrator缓冲区溢出漏洞(CNVD-2020-36219、CNVD-2020-36222、CNVD-2020-36221、CNVD-2020-36220)、Adobe After Effects缓冲区溢出漏洞(CNVD-2020-36225、CNVD-2020-36224、CNVD-2020-36227、CNVD-2020-36226)、Adobe DNG Software Development Kit缓冲区溢出漏洞(CNVD-2020-38191、CNVD-2020-38190)等。

 
 
 
 
 

其他编号

CVE-2020-9639、CVE-2020-9575

CVE-2020-9641、CVE-2020-9640

CVE-2020-9637、CVE-2020-9638

CVE-2020-9660、CVE-2020-9662

CVE-2020-9620、CVE-2020-9621

 
 
 
 
 

发布时间

2020/07/05

 

影响产品

Adobe DNG Software Development Kit(for Windows and macOS)

Adobe Illustrator 2020

Adobe After Effects

 
 
 
 
 
 
 

4

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2020-41233、CNVD-2020-41232

CNVD-2020-41237、CNVD-2020-41236

CNVD-2020-41235、CNVD-2020-41804

CNVD-2020-42259、CNVD-2020-42257

CNVD-2020-42261、CNVD-2020-43668

本月,Cisco多款产品存在安全漏洞。攻击者可利用漏洞在受影响的应用程序中读写文件,获取存储在底层数据库中的数据,以root用户权限登录账户,执行任意代码或导致设备重启(拒绝服务)等。本月漏洞包括:多款Cisco产品缓冲区溢出漏洞(CNVD-2020-41233)、多款Cisco产品任意代码执行漏洞、Cisco SD-WAN vManage Software XML外部实体注入漏洞、Cisco Vision Dynamic Signage Director SQL注入漏洞、Cisco SD-WAN vEdge 5000 Series Routers和SD-WAN vEdge Cloud Router拒绝服务漏洞、Cisco Enterprise NFV Infrastructure Software路径遍历漏洞(CNVD-2020-41804)、Cisco SD-WAN vManage Software授权问题漏洞、Cisco Data Center Network Manager参数注入漏洞、Cisco SD-WAN Solution权限许可和访问控制问题漏洞(CNVD-2020-42261)、Cisco SD-WAN Solution缓冲区溢出漏洞等。

 
 
 
 
 

其他编号

CVE-2020-3146、CVE-2020-3357

CVE-2020-3405、CVE-2020-3450

CVE-2020-3369、CVE-2020-3236

CVE-2020-3388、CVE-2020-3380

CVE-2020-3180、CVE-2020-3375

 
 
 
 
 

发布时间

2020/07/21

 

影响产品

Cisco Small Business RV340 Dual WAN Gigabit VPN Router

Cisco RV340W Dual WAN Gigabit Wireless-AC VPN Router

Cisco RV130W Wireless-N Multifunction VPN Router

Cisco RV110W Wireless-N VPN Firewall firmware

Cisco Enterprise NFV Infrastructure Software

Cisco RV345P Dual WAN Gigabit POE VPN Router

Cisco Data Center Network Manager (DCNM)

Cisco RV345 Dual WAN Gigabit VPN Router

Cisco SD-WAN vEdge 5000 Series Routers

Cisco Vision Dynamic Signage Director

Cisco RV215W Wireless-N VPN Router

Cisco SD-WAN vBond Orchestrator

Cisco SD-WAN vEdge Cloud Router

Cisco SD-WAN vSmart Controller

Cisco SD-WAN vManage Software

Cisco SD-WAN vEdge Routers

Cisco RV130 VPN Router

Cisco SD-WAN Solution

 

5

Rockwell Automation多款产品存在安全漏洞

CNVD编号

CNVD-2020-38419、CNVD-2020-38417

CNVD-2020-38691、CNVD-2020-38690

CNVD-2020-38694、CNVD-2020-38693

CNVD-2020-38698、CNVD-2020-38701

CNVD-2020-38700、CNVD-2020-38702

本月,Rockwell Automation多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,执行任意代码,造成拒绝服务等。本月漏洞包括:Rockwell Automation FactoryTalk View SE信息泄露漏洞(CNVD-2020-38419、CNVD-2020-38417)、Rockwell Automation FactoryTalk View SE输入验证错误漏洞、Rockwell Automation FactoryTalk View SE缓冲区溢出漏洞、多款Rockwell Automation产品路径遍历漏洞、多款Rockwell Automation产品代码问题漏洞、Rockwell Automation Arena Simulation Software信息泄露漏洞、Rockwell Automation FactoryTalk Services Platform堆缓冲区溢出漏洞、Rockwell Automation PanelView 5510访问控制错误漏洞、多款Rockwell Automation产品拒绝服务漏洞等。

 
 
 
 
 

其他编号

CVE-2020-12027、CVE-2020-14480

CVE-2020-12029、CVE-2020-12031

CVE-2020-12003、CVE-2020-12005

CVE-2019-13511、CVE-2018-18981

CVE-2019-10970、CVE-2018-17924

 
 
 
 
 

发布时间

2020/07/14

 

影响产品

Rockwell Automation MicroLogix 1400 Controllers Series A

Rockwell Automation Studio 5000 Logix Designer software

Rockwell Automation Connected Components Workbench

Rockwell Automation FactoryTalk Services Platform

Rockwell Automation Arena Simulation Software

Rockwell Automation FactoryTalk Asset Centre

Rockwell Automation FactoryTalk Linx CommDTM

Rockwell Automation Studio 5000 Launcher

Rockwell Automation FactoryTalk View SE

Rockwell Automation ControlFLASH Plus

Rockwell Automation FactoryTalk Linx

Rockwell Automation RSLinx Classic

Rockwell Automation PanelView 5510

Rockwell Automation 1756-EN2F Series C

Rockwell Automation 1756-EN2F Series B

Rockwell Automation 1756-EN2F Series A

Rockwell Automation ControlFLASH

Rockwell Automation Series B

Rockwell Automation Series C

Rockwell Automation 1756-ENBT

 

6

Google多款产品存在安全漏洞

CNVD编号

CNVD-2020-36706、CNVD-2020-36705

CNVD-2020-36704、CNVD-2020-36709

CNVD-2020-36708、CNVD-2020-36707

CNVD-2020-36711、CNVD-2020-36710

CNVD-2020-36932、CNVD-2020-36931

本月,Google多款产品存在安全漏洞。攻击者可利用漏洞提升权限,造成拒绝服务。本月漏洞包括:Google Android System组件权限提升漏洞(CNVD-2020-36706、CNVD-2020-36705、CNVD-2020-36704、CNVD-2020-36707、CNVD-2020-36711)、Google Android System组件缓冲区溢出漏洞(CNVD-2020-36709、CNVD-2020-36708)、Google Android System组件资源管理错误漏洞(CNVD-2020-36710)、Google Android Media Framework资源管理错误漏洞(CNVD-2020-36932、CNVD-2020-36931)等。

 
 

其他编号

CVE-2020-0215、CVE-2020-0183

CVE-2020-0133、CVE-2020-0218

CVE-2020-0217、CVE-2020-0216

CVE-2020-0219、CVE-2020-0233

CVE-2020-0173、CVE-2020-0172

 
 
 
 
 

发布时间

2020/07/07

 

影响产品

Google Android

 

7

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2020-35725、CNVD-2020-36386

CNVD-2020-36385、CNVD-2020-36384

CNVD-2020-36388、CNVD-2020-36387

CNVD-2020-36478、CNVD-2020-36477

CNVD-2020-41863、CNVD-2020-42653

本月,IBM多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,以root权限执行任意代码,造成拒绝服务等。本月漏洞包括:IBM MQ权限提升漏洞(CNVD-2020-35725)、IBM API Connect信息泄露漏洞(CNVD-2020-36386)、IBM Business Process Manager和Business Automation Workflow跨站脚本漏洞

IBM DB2缓冲区溢出漏洞(CNVD-2020-36384)、IBM Security Secret Server信息泄露漏洞(CNVD-2020-36388、CNVD-2020-36387)、IBM Security Guardium安全特征问题漏洞、IBM MQ拒绝服务漏洞(CNVD-2020-36477)、IBM Maximo Asset Management安全绕过漏洞(CNVD-2020-41863)、IBM QRadar SIEM Carbon Black Response跨站脚本漏洞等。

 
 
 

其他编号

CVE-2020-4352、CVE-2020-4452

CVE-2020-4557、CVE-2020-4363

CVE-2020-4413、CVE-2020-4327

CVE-2020-4188、CVE-2020-4376

CVE-2019-4591、CVE-2020-4275

 
 
 
 
 

发布时间

2020/07/06

 

影响产品

IBM QRadar SIEM Carbon Black Response

IBM Business Automation Workflow

IBM Business Process Manager

IBM Maximo Asset Management

IBM Security Secret Server

IBM Security Guardium

IBM MQ for HPE NonStop

IBM IBM API Connect

IBM MQ

IBM DB2

 

8

Red Hat多款产品存在安全漏洞

CNVD编号

CNVD-2020-35487、CNVD-2020-35490

CNVD-2020-35679、CNVD-2020-36231

CNVD-2020-36230、CNVD-2020-36229

CNVD-2020-36236、CNVD-2020-40740

CNVD-2020-41082、CNVD-2020-43605

本月,Red Hat多款产品存在安全漏洞。攻击者可利用漏洞修改/etc/passwd,添加用户并提升权限,绕过限制并访问应用程序,成拒绝服务(内存不足)等。本月漏洞包括:Red Hat docker资源管理错误漏洞、Red Hat OpenShift Container Platform openshift/apb-base不安全修改漏洞、Red Hat Undertow环境问题漏洞、Red Hat Keycloak输入验证错误漏洞(CNVD-2020-36231)、Red Hat Wildfly代码问题漏洞、Red Hat OpenShift API Server资源管理错误漏洞、Red Hat Undertow缓冲区溢出漏洞、Red Hat Keycloak授权问题漏洞(CNVD-2020-40740)、Red Hat Resteasy跨站脚本漏洞(CNVD-2020-41082)、Red Hat AMQ Online跨站请求伪造漏洞等。

 
 
 
 
 

其他编号

CVE-2020-1702、CVE-2019-19348

CVE-2020-10719、CVE-2020-1727

CVE-2020-10740、CVE-2020-10752

CVE-2020-10705、CVE-2020-1718

CVE-2020-10688、CVE-2020-14319

 
 
 
 
 

发布时间

2020/07/17

 

影响产品

Red Hat OpenShift API Server

Red Hat openshift/apb-base

Red Hat AMQ Online

Red Hat Undertow

Red Hat Keycloak

Red Hat Wildfly

Red Hat docker

 

表1 本月重要漏洞信息


 1.2漏洞分类统计    

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前12个月相比,本月数据库的漏洞数量处于高位,应用程序、网络设备(交换机、路由器等网络端设备)、安全产品、智能设备(物联网终端设备)漏洞的数量处于低位,操作系统、WEB应用的漏洞数量基本持平。


图1 漏洞类型分布


     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

ESPCMS存在代码执行漏洞(CNVD-2020-32575)

CNVD-2020-32575

2020/07/07

2

Kuicms存在文件包含漏洞

CNVD-2020-32579

2020/07/01

3

Ntop nDPI缓冲区溢出漏洞(CNVD-2020-36698)

CNVD-2020-36698

2020/07/07

4

多款Siemens产品信息泄露漏洞

CNVD-2020-40613

2020/07/17

5

Siemens SICAM MMU、SGU和T缓冲区溢出漏洞

CNVD-2020-40617

2020/07/17

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是ESPCMS存在代码执行漏洞(CNVD-2020-32575),其访问量达到12218次以上。攻击者可利用该漏洞执行恶意代码,获取服务器管理权限。

   

     1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞1476个,与前12个月平均收录数量1785个相比,处于低位;本月高危漏洞447个,与前12个月高危漏洞平均收录数量607个相比,处于低位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月21日发布的安全漏洞数量最多,都高达158个,主要是因为收录了Oracle、Mattermost等多款产品存在的多个漏洞。


      2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,哈尔滨安天科技集团股份有限公司、阿里云计算有限公司、北京神州绿盟科技有限公司、北京天融信网络安全技术有限公司、华为技术有限公司等单位报送公开收集的漏洞数量较多。国瑞数码零点实验室、北京云科安信科技有限公司、长春嘉诚信息技术股份有限公司、远江盛邦(北京)网络安全科技股份有限公司、山东道普测评技术有限公司、北京华云安信息技术有限公司、河南灵创电子科技有限公司、山东新潮信息技术有限公司、南京众智维信息科技有限公司、山东云天安全技术有限公司、山东华鲁科技发展股份有限公司、北京天地和兴科技有限公司、北京禹宏信安科技有限公司、泽鹿安全、河南信安世纪科技有限公司、吉林谛听信息技术有限公司、内蒙古洞明科技有限公司、上海观安信息技术股份有限公司、广西网信信息技术有限公司、北京安华金和科技有限公司、京东云安全、广州市蓝爵计算机科技有限公司、上海纽盾科技股份有限公司、广州安亿信软件科技有限公司、广州三零卫士信息安全有限公司、北京智游网安科技有限公司、安徽长泰信息安全服务有限公司、奇安信-工控安全实验室、北京圣博润高新技术股份有限公司、浙江鹏信信息科技股份有限公司、河北华测信息技术有限公司、四川哨兵信息科技有限公司、成都安美勤信息技术股份有限公司、星云博创科技有限公司、上海上讯信息技术股份有限公司、四川赛闯检测股份有限公司、北京长亭科技有限公司、内蒙古奥创科技有限公司、信联科技(南京)有限公司、浙江宇视科技有限公司、杭州安信检测技术有限公司、南方电网数字电网研究院有限公司、北京信联科汇科技有限公司、浙江安腾信息技术有限公司、北京赛克艾威科技有限公司、河北千诚电子科技有限公司、武汉绿色网络信息服务有限责任公司、赛尔网络有限公司山东分公司、北京浩瀚深度信息技术股份有限公司、山东云天安全大数据技术有限公司及其他个人白帽子向CNVD提交了16089个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的11294条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

斗象科技(漏洞盒子)

5368

5368

奇安信网神(补天平台)

3733

3733

上海交大

2193

2193

哈尔滨安天科技集团股份有限公司

1566

0

阿里云计算有限公司

999

0

北京神州绿盟科技有限公司

880

11

北京天融信网络安全技术有限公司

718

75

华为技术有限公司

700

0

深信服科技股份有限公司

616

0

北京数字观星科技有限公司

439

0

新华三技术有限公司

354

0

恒安嘉新(北京)科技股份公司

327

3

北京启明星辰信息安全技术有限公司

217

35

北京奇虎科技有限公司

153

120

中国电信集团系统集成有限责任公司

60

60

西安四叶草信息技术有限公司

26

26

北京知道创宇信息技术股份有限公司

22

1

杭州安恒信息技术股份有限公司

8

8

沈阳东软系统集成工程有限公司

4

4

北京安信天行科技有限公司

3

3

卫士通信息产业股份有限公司

2

2

深圳市腾讯计算机系统有限公司(玄武实验室)

1

1

国瑞数码零点实验室

643

643

北京云科安信科技有限公司

429

429

长春嘉诚信息技术股份有限公司

350

350

远江盛邦(北京)网络安全科技股份有限公司

261

261

山东道普测评技术有限公司

235

235

北京华云安信息技术有限公司

190

190

河南灵创电子科技有限公司

111

111

杭州迪普科技股份有限公司

97

0

山东新潮信息技术有限公司

91

91

南京众智维信息科技有限公司

51

51

山东云天安全技术有限公司

46

46

山东华鲁科技发展股份有限公司

45

45

北京天地和兴科技有限公司

30

30

西门子(中国)有限公司

27

0

北京禹宏信安科技有限公司

26

26

泽鹿安全

24

24

河南信安世纪科技有限公司

22

22

吉林谛听信息技术有限公司

20

20

内蒙古洞明科技有限公司

17

17

上海观安信息技术股份有限公司

14

14

广西网信信息技术有限公司

9

9

北京安华金和科技有限公司

9

9

京东云安全

9

9

广州市蓝爵计算机科技有限公司

8

8

上海纽盾科技股份有限公司

7

7

广州安亿信软件科技有限公司

7

7

广州三零卫士信息安全有限公司

5

5

北京智游网安科技有限公司

5

5

安徽长泰信息安全服务有限公司

4

4

奇安信-工控安全实验室

3

3

北京圣博润高新技术股份有限公司

3

3

浙江鹏信信息科技股份有限公司

3

3

河北华测信息技术有限公司

3

3

四川哨兵信息科技有限公司

2

2

成都安美勤信息技术股份有限公司

2

2

星云博创科技有限公司

2

2

上海上讯信息技术股份有限公司

2

2

四川赛闯检测股份有限公司

2

2

北京长亭科技有限公司

2

2

内蒙古奥创科技有限公司

1

1

信联科技(南京)有限公司

1

1

浙江宇视科技有限公司

1

1

杭州安信检测技术有限公司

1

1

南方电网数字电网研究院有限公司

1

1

北京信联科汇科技有限公司

1

1

浙江安腾信息技术有限公司

1

1

北京赛克艾威科技有限公司

1

1

河北千诚电子科技有限公司

1

1

武汉绿色网络信息服务有限责任公司

1

1

赛尔网络有限公司山东分公司

1

1

北京浩瀚深度信息技术股份有限公司

1

1

山东云天安全大数据技术有限公司

1

1

个人

1741

1741

总计

1476(去重)

16089

表3 单位和个人上报漏洞统计
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论