登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2020年第8期

2020-09-01 13:50:06

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞2084个,其中高危漏洞735个,中危漏洞1129个,低危漏洞220个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1729个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Google多款产品存在安全漏洞

CNVD编号

CNVD-2020-43677、CNVD-2020-43680

CNVD-2020-43682、CNVD-2020-43681

CNVD-2020-43684、CNVD-2020-43683

CNVD-2020-46237、CNVD-2020-46287

CNVD-2020-46327、CNVD-2020-46326

本月,Google多款产品存在安全漏洞。攻击者可利用漏洞提升权限,执行任意代码等。本月漏洞包括:Google Android External Memory Interface权限提升漏洞、Google Android System远程代码执行漏洞(CNVD-2020-43680、CNVD-2020-43681)、Google Android Media Framework权限提升漏洞(CNVD-2020-43682、CNVD-2020-46237)、Google Android Framework权限提升漏洞(CNVD-2020-43684、CNVD-2020-43683)、Google Android Kernel Airbrush资源管理错误漏洞、Google Android Kernel Audio组件缓冲区溢出漏洞、Google Android Kernel Audio组件权限提升漏洞等。

 
 
 
 
 

其他编号

CVE-2020-0231、CVE-2020-0225

CVE-2020-0226、CVE-2020-0224

CVE-2020-0122、CVE-2020-0227

CVE-2020-0095、CVE-2020-0232

CVE-2020-0235、CVE-2020-0223

 
 
 
 
 

发布时间

2020/08/01

 

影响产品

Google Android

 
 
 
 
 
 
 
 

2

Apple多款产品存在安全漏洞

CNVD编号

CNVD-2020-43675、CNVD-2020-49299

CNVD-2020-49302、CNVD-2020-49300

CNVD-2020-49304、CNVD-2020-49312

CNVD-2020-49315、CNVD-2020-49314

CNVD-2020-49313、CNVD-2020-49317

本月,Apple多款产品存在安全漏洞。攻击者可利用漏洞绕过内核内存的缓解措施,执行任意代码,导致内存损坏等。本月漏洞包括:多款Apple产品Kernel组件缓冲区溢出漏洞(CNVD-2020-43675)、多款Apple产品Audio组件任意代码执行漏洞(CNVD-2020-49299、CNVD-2020-49300)、多款Apple产品ImageIO组件任意代码执行漏洞、Apple iOS、iPadOS和watchOS Kernel组件内存破坏漏洞、Apple iOS、iPadOS和macOS Catalina Wi-Fi组件双重释放漏洞、Apple macOS Catalina Graphics Drivers组件越界读取漏洞、Apple macOS Catalina Security组件逻辑缺陷漏洞、Apple macOS Catalina Sandbox组件命令注入漏洞、Apple macOS Catalina ksh shell命令执行漏洞等。

 
 
 
 
 

其他编号

CVE-2020-9909、CVE-2020-9891

CVE-2020-9936、CVE-2020-9888

CVE-2020-9923、CVE-2020-9844

CVE-2020-9799、CVE-2020-9864

CVE-2020-9939、CVE-2020-14868

 
 
 
 
 

发布时间

2020/08/29

 

影响产品

Apple iPadOS

Apple tvOS

Apple watchOS

Apple macOS Catalina

Apple iOS

Apple iTunes for Windows

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Mozilla多款产品存在安全漏洞

CNVD编号

CNVD-2020-43758、CNVD-2020-43766

CNVD-2020-44565、CNVD-2020-44564

CNVD-2020-46331、CNVD-2020-46330

CNVD-2020-46333、CNVD-2020-46334

CNVD-2020-46338、CNVD-2020-46370

本月,Mozilla多款产品存在安全漏洞。攻击者可以利用漏洞获取敏感信息,执行任意代码,导致拒绝服务等。本月漏洞包括:Mozilla Firefox拒绝服务漏洞(CNVD-2020-43758)、Mozilla Firefox资源管理错误漏洞(CNVD-2020-43766)、Mozilla Firefox缓冲区溢出漏洞(CNVD-2020-44565、CNVD-2020-44564、CNVD-2020-46370)、Mozilla Firefox信息泄露漏洞(CNVD-2020-46331、CNVD-2020-46338)、Mozilla Firefox ESR代码问题漏洞、Mozilla Firefox输入验证错误漏洞(CNVD-2020-46333)、Mozilla Firefox路径遍历漏洞等。

 
 
 
 
 

其他编号

CVE-2020-15656、CVE-2020-12416

CVE-2020-12425、CVE-2020-12422

CVE-2020-15647、CVE-2020-15649

CVE-2020-15651、CVE-2020-15661

CVE-2020-15653、CVE-2020-12426

 
 
 
 
 

发布时间

2020/08/17

 

影响产品

Mozilla Firefox

Mozilla Firefox ESR

Mozilla Thunderbird

 
 
 
 
 
 
 
 

4

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2020-44062、CNVD-2020-44066

CNVD-2020-44065、CNVD-2020-44064

CNVD-2020-44063、CNVD-2020-44069

CNVD-2020-44067、CNVD-2020-47609

CNVD-2020-47607、CNVD-2020-47611

本月,Cisco多款产品存在安全漏洞。攻击者可利用漏洞获取数据库敏感信息,写入任意文件,执行任意命令等。本月漏洞包括:Cisco Data Center Network Manager信任管理问题漏洞、Cisco Data Center Network Manager授权问题漏洞、Cisco Data Center Network Manager输入验证错误漏洞、Cisco Data Center Network Manager命令注入漏洞、Cisco Data Center Network Manager操作系统命令注入漏洞、Cisco Data Center Network Manager SQL注入漏洞、Cisco Data Center Network Manager访问控制错误漏洞(CNVD-2020-44067)、Cisco NX-OS Software命令注入漏洞(CNVD-2020-47609、CNVD-2020-47611、CNVD-2020-47607)等。

 
 
 
 
 

其他编号

CVE-2020-3382、CVE-2020-3386

CVE-2020-3383、CVE-2020-3384

CVE-2020-3377、CVE-2020-3462

CVE-2020-3376、CVE-2019-1607

CVE-2019-1606、CVE-2019-1614

 
 
 
 
 

发布时间

2020/08/03

 

影响产品

Cisco Data Center Network Manager

Cisco Nexus 7700 Series Switches

Cisco Nexus 7000 Series Switches

Cisco Nexus 3000 Series Switches

Cisco Nexus 3500 Series Switches

Cisco Nexus 9000 Series Switches in standalone NX-OS mode

Cisco Nexus 6000 Series Switches

Cisco Nexus 5600 Platform Switches

Cisco Nexus 5500 Platform Switches

Cisco Nexus 2000 Series Fabric Extenders

Cisco Nexus 3500 Platform Switches

Cisco MDS 9000 Series Multilayer Switches

Cisco Nexus 9000 Series Switches in standalone NX-OS mode

 

5

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2020-44076、CNVD-2020-44626

CNVD-2020-45104、CNVD-2020-46229

CNVD-2020-49353、CNVD-2020-49352

CNVD-2020-49351、CNVD-2020-49356

CNVD-2020-49354、CNVD-2020-49512

本月,IBM多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,执行任意代码,导致缓冲区溢出或堆溢出等。本月漏洞包括:IBM Verify Gateway (IVG)硬编码凭据漏洞、IBM WebSphere Application Server跨站脚本漏洞(CNVD-2020-44626)、IBM UrbanCode Deploy代码问题漏洞、IBM WebSphere Application Server远程代码执行漏洞、IBM Security Guardium Insights信息泄露漏洞(CNVD-2020-49353、CNVD-2020-49352、CNVD-2020-49351、CNVD-2020-49354)、IBM Security Guardium Insights跨站请求伪造漏洞、IBM Sterling Connect:Direct for UNIX栈缓冲区溢出漏洞等。

 
 
 
 
 

其他编号

CVE-2020-4385、CVE-2020-4534

CVE-2020-4481、CVE-2020-4589

CVE-2020-4172、CVE-2020-4171

CVE-2020-4166、CVE-2020-4170

CVE-2020-4175、CVE-2020-4587

 
 
 
 
 

发布时间

2020/08/31

 

影响产品

IBM Verify Gateway (IVG)

IBM WebSphere Application Server

IBM UrbanCode Deploy

IBM Security Guardium Insights

IBM Sterling Connect:Direct for UNIX

 

6

Apache多款产品存在安全漏洞

CNVD编号

CNVD-2020-44093、CNVD-2020-44094

CNVD-2020-44095、CNVD-2020-44098

CNVD-2020-44097、CNVD-2020-46202

CNVD-2020-46201、CNVD-2020-46280

CNVD-2020-46579、CNVD-2020-49483

本月,Apache多款产品存在安全漏洞。攻击者可利用漏洞获取数据库敏感信息,绕过身份验证,执行任意代码,导致拒绝服务等。本月漏洞包括:Apache Airflow操作系统命令注入漏洞、Apache Airflow远程代码执行漏洞(CNVD-2020-44094)、Apache Airflow跨站脚本漏洞(CNVD-2020-44095)、Apache Archiva注入漏洞(CNVD-2020-44097、CNVD-2020-44098)、Apache Struts2 S2-059远程代码执行漏洞、Apache Struts2 S2-060拒绝服务漏洞、Apache HTTP Server缓冲区溢出漏洞、Apache Shiro权限绕过漏洞、Apache SkyWalking SQL注入漏洞(CNVD-2020-49483)等。

 
 
 
 
 

其他编号

CVE-2020-11981、CVE-2020-11982

CVE-2020-9485、CVE-2020-9495

CVE-2020-11989、CVE-2019-0230

CVE-2019-0233、CVE-2020-11984

CVE-2020-13933、CVE-2020-13921

 
 
 
 
 

发布时间

2020/08/04

 

影响产品

Apache Airflow

Apache Archiva login service

Apache struts

Apache HTTP Server

Apache Shiro

Apache SkyWalking

 

7

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2020-44615、CNVD-2020-44622

CNVD-2020-44847、CNVD-2020-44854

CNVD-2020-44853、CNVD-2020-44855

CNVD-2020-46036、CNVD-2020-46035

CNVD-2020-46039、CNVD-2020-46038

本月,Adobe多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码等。本月漏洞包括:Adobe Magento Commerce和Magento Open Source跨站脚本漏洞、Adobe Magento Commerce和Magento Open Source路径遍历漏洞、Adobe Download Manager注入漏洞、Adobe Creative Cloud Desktop Application后置链接漏洞(CNVD-2020-44853、CNVD-2020-44854)、Adobe Creative Cloud Desktop Application不安全文件权限漏洞、Adobe Acrobat/Reader越界读取漏洞(CNVD-2020-46036、CNVD-2020-46035、CNVD-2020-46039、CNVD-2020-46038)等。

 
 
 
 
 

其他编号

CVE-2020-9691、CVE-2020-9689

CVE-2020-9688、CVE-2020-9670

CVE-2020-9682、CVE-2020-9671

CVE-2020-9718、CVE-2020-9719

CVE-2020-9710、CVE-2020-9716

 
 
 
 
 

发布时间

2020/08/14

 

影响产品

Adobe Magento Commerce 2

Adobe Magento Open Source 2

Adobe Download Manager

Adobe Creative Cloud Desktop Application

Adobe Acrobat DC (Continuous)

Adobe Acrobat Reader DC (Continuous)

Adobe Acrobat 2020 (Classic 2020)

Adobe Acrobat Reader 2020 (Classic 2020)

Adobe Acrobat 2017 (Classic 2017)

Adobe Acrobat Reader 2017 (Classic 2017)

Adobe Acrobat 2015 (Classic 2015)

Adobe Acrobat Reader 2015 (Classic 2015)

 

8

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2020-45325、CNVD-2020-45324

CNVD-2020-45323、CNVD-2020-45326

CNVD-2020-48258、CNVD-2020-48261

CNVD-2020-48270、CNVD-2020-48274

CNVD-2020-49358、CNVD-2020-49363

本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞提升权限,执行任意代码等。本月漏洞包括:Microsoft Hyper-V RemoteFX vGPU缓冲区溢出漏洞(CNVD-2020-45324、CNVD-2020-45325、CNVD-2020-45323)、Microsoft Hyper-V RemoteFX vGPU资源管理错误漏洞、Microsoft Windows和Microsoft Windows Server权限提升漏洞(CNVD-2020-48258、CNVD-2020-48261、CNVD-2020-48270、CNVD-2020-48274、CNVD-2020-49358)、Microsoft Windows和Microsoft Windows Server远程代码执行漏洞(CNVD-2020-49363)等。

 
 
 
 
 

其他编号

CVE-2020-1040、CVE-2020-1032

CVE-2020-1036、CVE-2020-1042

CVE-2020-1571、CVE-2020-1377

CVE-2020-1549、CVE-2020-1550

CVE-2020-1467、CVE-2020-1520

 
 
 
 
 

发布时间

2020/08/10

 

影响产品

Microsoft Windows Server 2008

Microsoft Windows 7

Microsoft Windows Server 2012

Microsoft Windows 8.1

Microsoft Windows RT 8.1

Microsoft Windows 10

Microsoft Windows Server 2016

Microsoft Windows Server 2019

Microsoft Windows Server

 

表1 本月重要漏洞信息


 1.2漏洞分类统计   

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前12个月相比,本月操作系统,WEB应用的数量处于高位,应用程序,网络设备(交换机、路由器等网络端设备),智能设备(物联网终端设备),数据库,安全产品漏洞的数量处于低位。


图1 漏洞类型分布


     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

上海覆盆子信息科技有限公司认证机构信息管理系统存在SQL注入漏洞(CNVD-2020-41229)

CNVD-2020-41229

2020/8/3

2

奇安信网站卫士SQL注入规则绕过

CNVD-2020-23552

2020/8/8

3

Siemens Opcenter Execution Core访问控制错误漏洞(CNVD-2020-43671)

CNVD-2020-43671

2020/8/1

4

多款Apple产品Audio组件代码注入漏洞

CNVD-2020-43673

2020/8/1

5

Apple iOS和iPadOS WiFi组件代码问题漏洞

CNVD-2020-43672

2020/8/1

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是上海覆盆子信息科技有限公司认证机构信息管理系统存在SQL注入漏洞(CNVD-2020-41229),其访问量达到6336次以上。攻击者可利用该漏洞获取数据库敏感信息。

   

     1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞2084个,与前12个月平均收录数量1778个相比,处于高位;本月高危漏洞735个,与前12个月高危漏洞平均收录数量595个相比,处于高位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月31日发布的安全漏洞数量最多,都高达249个,主要是因为收录了Microsoft、IBM等多款产品存在的多个漏洞。


      2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,北京神州绿盟科技有限公司、哈尔滨安天科技集团股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、深信服科技股份有限公司等单位报送公开收集的漏洞数量较多。国瑞数码零点实验室、山东华鲁科技发展股份有限公司、北京云科安信科技有限公司(Seraph安全实验室)、远江盛邦(北京)网络安全科技股份有限公司、山东新潮信息技术有限公司、杭州迪普科技股份有限公司、北京华云安信息技术有限公司、河南灵创电子科技有限公司、山东道普测评技术有限公司、山东云天安全技术有限公司、安徽长泰信息安全服务有限公司、河南信安世纪科技有限公司、北京天地和兴科技有限公司、杭州海康威视数字技术股份有限公司、吉林谛听信息技术有限公司、南京众智维信息科技有限公司、内蒙古奥创科技有限公司、北京禹宏信安科技有限公司、中科华威(北京)信息技术研究院、星云博创科技有限公司、长春嘉诚信息技术股份有限公司、上海观安信息技术股份有限公司、北京长亭科技有限公司、浙江宇视科技有限公司、国家互联网应急中心、杭州安信检测技术有限公司、河北千诚电子科技有限公司、博智安全科技股份有限公司、广州三零卫士信息安全有限公司、平安银河实验室、广州安亿信软件科技有限公司、京东云安全、泽鹿安全、四川哨兵信息科技有限公司、北京顶象技术有限公司、北京智游网安科技有限公司、浙江安腾信息技术有限公司、上海犀点意象网络科技有限公司、北京卓识网安技术股份有限公司、广西等保安全测评有限公司、普华永道商务咨询(上海)有限公司广州分公司、郑州云智信安安全技术有限公司、中国工商银行、广州弈安信息科技有限公司、北京惠而特科技有限公司及其他个人白帽子向CNVD提交了16875个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的12482条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

斗象科技(漏洞盒子)

6676

6676

奇安信网神(补天平台)

3461

3461

上海交大

2345

2345

北京神州绿盟科技有限公司

1122

27

哈尔滨安天科技集团股份有限公司

785

0

北京天融信网络安全技术有限公司

676

41

华为技术有限公司

623

0

深信服科技股份有限公司

430

2

新华三技术有限公司

324

0

北京启明星辰信息安全技术有限公司

255

4

中国电信集团系统集成有限责任公司

185

185

北京数字观星科技有限公司

58

0

北京奇虎科技有限公司

51

51

北京安信天行科技有限公司

50

50

西安四叶草信息技术有限公司

29

29

浙江大华技术股份有限公司

27

27

北京知道创宇信息技术股份有限公司

19

0

沈阳东软系统集成工程有限公司

2

2

国瑞数码零点实验室

857

857

山东华鲁科技发展股份有限公司

263

263

北京云科安信科技有限公司(Seraph安全实验室)

220

220

远江盛邦(北京)网络安全科技股份有限公司

196

196

山东新潮信息技术有限公司

118

118

杭州迪普科技股份有限公司

117

1

北京华云安信息技术有限公司

99

99

河南灵创电子科技有限公司

96

96

山东道普测评技术有限公司

84

84

山东云天安全技术有限公司

49

49

安徽长泰信息安全服务有限公司

39

39

河南信安世纪科技有限公司

33

33

北京天地和兴科技有限公司

27

27

杭州海康威视数字技术股份有限公司

24

24

吉林谛听信息技术有限公司

23

23

南京众智维信息科技有限公司

23

23

内蒙古奥创科技有限公司

20

20

北京禹宏信安科技有限公司

15

15

中科华威(北京)信息技术研究院

11

11

星云博创科技有限公司

9

9

长春嘉诚信息技术股份有限公司

8

8

上海观安信息技术股份有限公司

8

8

北京长亭科技有限公司

8

8

浙江宇视科技有限公司

8

8

国家互联网应急中心

8

8

西门子(中国)有限公司

8

0

杭州安信检测技术有限公司

7

7

河北千诚电子科技有限公司

7

7

博智安全科技股份有限公司

7

7

广州三零卫士信息安全有限公司

6

6

平安银河实验室

6

6

广州安亿信软件科技有限公司

5

5

京东云安全

4

4

泽鹿安全

4

4

四川哨兵信息科技有限公司

3

3

北京顶象技术有限公司

3

3

北京智游网安科技有限公司

3

3

浙江安腾信息技术有限公司

3

3

上海犀点意象网络科技有限公司

2

2

北京卓识网安技术股份有限公司

2

2

广西等保安全测评有限公司

2

2

普华永道商务咨询(上海)有限公司广州分公司

1

1

郑州云智信安安全技术有限公司

1

1

中国工商银行

1

1

广州弈安信息科技有限公司

1

1

北京惠而特科技有限公司

1

1

个人

1659

1659

总计

2084(去重)

16875

表3 单位和个人上报漏洞统计

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论