登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2020年第9期

2020-10-09 16:58:46

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞1518个,其中高危漏洞423个,中危漏洞862个,低危漏洞233个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1190个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

 

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Google多款产品存在安全漏洞

CNVD编号

CNVD-2020-49874、CNVD-2020-49877

CNVD-2020-49876、CNVD-2020-49875

CNVD-2020-49879、CNVD-2020-49878

CNVD-2020-49881、CNVD-2020-49880

CNVD-2020-49883、CNVD-2020-49882

本月,Google多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码或造成拒绝服务。本月漏洞包括:Google Chrome代码执行漏洞(CNVD-2020-49874、CNVD-2020-49875、CNVD-2020-49879、CNVD-2020-49881、CNVD-2020-49880、CNVD-2020-49883、CNVD-2020-49882)、Google Chrome安全绕过漏洞(CNVD-2020-49877、CNVD-2020-49878)、Google Chrome缓冲区溢出漏洞(CNVD-2020-49876)等。

 
 
 
 
 

其他编号

CVE-2020-6550、CVE-2020-6547

CVE-2020-6548、CVE-2020-6549

CVE-2020-6545、CVE-2020-6546

CVE-2020-6543、CVE-2020-6544

CVE-2020-6541、CVE-2020-6542

 
 
 
 
 

发布时间

2020/09/01

 

影响产品

Google Chrome

 
 
 
 
 
 
 
 

2

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2020-50118、CNVD-2020-50145

CNVD-2020-50158、CNVD-2020-51780

CNVD-2020-51778、CNVD-2020-51784

CNVD-2020-51783、CNVD-2020-51782

CNVD-2020-51781、CNVD-2020-51785

本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞运行任意代码,破坏内存等。本月漏洞包括:Microsoft Excel内存破坏代码执行漏洞、Microsoft Excel远程代码执行漏洞(CNVD-2020-50145)、Microsoft Outlook代码执行漏洞、Microsoft Internet Explorer VBScript Engine远程代码执行漏洞(CNVD-2020-51780)、Microsoft Internet Explorer VBScript Engine远程代码执行漏洞(CNVD-2020-51780)、Microsoft Internet Explorer远程代码执行漏洞(CNVD-2020-51778)、Microsoft Internet Explorer VBScript Engine远程代码执行漏洞(CNVD-2020-51784、CNVD-2020-51783)、Microsoft Internet Explorer远程代码执行漏洞(CNVD-2020-51782、CNVD-2020-51781)、Microsoft Internet Explorer MSHTML Engine远程代码执行漏洞等。

 
 
 
 
 

其他编号

CVE-2020-1495、CVE-2020-1504

CVE-2020-1483、CVE-2020-1093

CVE-2020-1380、CVE-2020-1035

CVE-2020-1060、CVE-2020-1062

CVE-2020-1092、CVE-2020-1064

 
 
 
 
 

发布时间

2020/09/13

 

影响产品

Microsoft Excel 2010

Microsoft SharePoint Server 2010  

Microsoft Office 2010

Microsoft Office 2013

Microsoft Excel 2013

Microsoft Office 2016

Microsoft Excel 2016

Microsoft Office Online Server

Microsoft SharePoint Enterprise Server 2013

Microsoft Office 2016 for Mac

Microsoft Office 2019

Microsoft Office 2019 for Mac

Microsoft 365 Apps for Enterprise

Microsoft Outlook 2010

Microsoft Outlook 2013

Microsoft Outlook 2016

Microsoft Internet Explorer

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2020-49897、CNVD-2020-49931

CNVD-2020-49933、CNVD-2020-49932

CNVD-2020-50153、CNVD-2020-50288

CNVD-2020-50560、CNVD-2020-50563

CNVD-2020-50564、CNVD-2020-51771

本月,Cisco多款产品存在安全漏洞。攻击者可以利用漏洞执行任意代码,导致拒绝服务等。本月漏洞包括:Cisco IOS和Cisco IOS XR资源管理错误漏洞、Cisco NX-OS远程代码执行漏洞、Cisco NX-OS拒绝服务漏洞(CNVD-2020-49933、CNVD-2020-50288)、Cisco NX-OS命令注入漏洞(CNVD-2020-49932)、Cisco FXOS和NX-OS拒绝服务漏洞(CNVD-2020-50560)、Cisco SD-WAN Solution权限许可和访问控制问题漏洞(CNVD-2020-50563)、Cisco AnyConnect Secure Mobility Client for Windows代码问题漏洞、Cisco Jabber for Windows命令注入漏洞、Cisco Connected Mobile Experiences权限提升漏洞等。

 
 
 
 
 

其他编号

CVE-2020-3566、CVE-2020-3415

CVE-2020-3338、CVE-2020-3454

CVE-2020-3152、CVE-2020-3397

CVE-2020-3517、CVE-2020-3379

CVE-2020-3433、CVE-2020-3430

 
 
 
 
 

发布时间

2020/09/07

 

影响产品

Cisco IOS XR Software

Cisco NX-OS

Cisco Connected Mobile Experiences

Cisco NX-OS Software

Cisco FXOS Software

Cisco SD-WAN vBond Orchestrator

Cisco SD-WAN vEdge Routers

Cisco SD-WAN vSmart Controller

Cisco SD-WAN vManage

Cisco AnyConnect Secure Mobility Client for Windows

Cisco Jabber for Windows

 
 
 
 
 
 
 
 

4

Apple多款产品存在安全漏洞

CNVD编号

CNVD-2020-51491、CNVD-2020-51490

CNVD-2020-51489、CNVD-2020-51492

CNVD-2020-51494、CNVD-2020-51500

CNVD-2020-51499、CNVD-2020-51502

CNVD-2020-51501、CNVD-2020-52143

本月,Apple多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码,导致系统意外终止或内核内存损坏等。本月漏洞包括:Apple iTunes for Windows ImageIO越界写入漏洞(CNVD-2020-51491、CNVD-2020-51492)、Apple iTunes for Windows ImageIO组件越界读取漏洞、Apple iTunes for Windows ImageIO组件远程代码执行漏洞、多款Apple产品Wi-Fi组件越界读取漏洞、多款Apple产品WebKit组件释放后使用漏洞(CNVD-2020-51500、CNVD-2020-51501)、多款Apple产品WebKit组件越界读取漏洞(CNVD-2020-51502)、多款Apple产品Python组件内存损坏漏洞、多款Apple产品Audio组件越界写入漏洞等。

 
 
 
 
 

其他编号

CVE-2020-9937、CVE-2020-9877

CVE-2020-9875、CVE-2020-9879

CVE-2020-9918、CVE-2020-9895

CVE-2020-9889、CVE-2020-9894

CVE-2020-9893、CVE-2020-9793

 
 
 
 
 

发布时间

2020/09/10

 

影响产品

Apple iTunes for Windows

Apple  iOS

Apple Safari

Apple  macOS Catalina

Apple iPadOS

Apple  iOS

Apple tvOS

Apple  watchOS

Apple macOS Catalina

Apple  Safari

Apple iTunes for Windows

Apple  iCloud for Windows

 

5

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2020-49942、CNVD-2020-49945

CNVD-2020-50800、CNVD-2020-52461

CNVD-2020-52615、CNVD-2020-53521

CNVD-2020-54678、CNVD-2020-49852

CNVD-2020-49853、CNVD-2020-49928

本月,IBM多款产品存在安全漏洞。攻击者可利用漏洞获取密码、加密密钥等硬编码凭据,在系统上执行任意命令,导致拒绝服务等。本月漏洞包括:IBM Security Guardium Data Encryption (GDE)硬编码凭据漏洞、IBM Security Guardium Data Encryption (GDE)任意命令执行漏洞、IBM Aspera Connect代码执行漏洞、IBM Maximo Asset Management代码执行漏洞、IBM BladeCenter跨站请求伪造漏洞、IBM Data Risk Manager任意文件上传漏洞、IBM Spectrum Protect代码执行漏洞(CNVD-2020-54678)、IBM Resilient SOAR拒绝服务漏洞、IBM Spectrum Protect输入验证错误漏洞、IBM Resilient路径遍历漏洞等。

 
 
 
 
 

其他编号

CVE-2019-4694、CVE-2019-4713

CVE-2020-4545、CVE-2020-4521

CVE-2020-8340、CVE-2020-4620

CVE-2020-4693、CVE-2019-4533

CVE-2020-4559、CVE-2019-4579

 
 
 
 
 

发布时间

2020/09/02

 

影响产品

IBM Security Guardium Data Encryption (GDE)

IBM Aspera Connect

IBM Maximo Asset Management

IBM BladeCenter

IBM Data Risk Manager

IBM Spectrum Protect Operations Center

IBM Resilient SOAR

IBM Spectrum Protect

IBM Resilient

 

 

6

Atlassian多款产品存在安全漏洞

CNVD编号

CNVD-2020-49900、CNVD-2020-49899

CNVD-2020-50141、CNVD-2020-52946

CNVD-2020-50490、CNVD-2020-50504

CNVD-2020-52848、CNVD-2020-52930

CNVD-2020-52933、CNVD-2020-52940

本月,Atlassian多款产品存在安全漏洞。攻击者可利用漏洞执行客户端代码,修改信息并导致拒绝服务等。本月漏洞包括:Atlassian Confluence XSS漏洞、Atlassian Confluence SSRF漏洞、Atlassian JIRA Server和JIRA Data Center注入漏洞、Atlassian JIRA Server和Data Center注入漏洞、Atlassian Bitbucket Server代码问题漏洞、Atlassian JIRA Server和Data Center代码问题漏洞、Atlassian Jira信息泄露漏洞(CNVD-2020-52848、CNVD-2020-52940)、Atlassian Confluence Server和Data Center注入漏洞、Atlassian Jira Server and Data Center信息泄露漏洞(CNVD-2020-52933)等。

 
 
 
 
 

其他编号

CVE-2020-24897、CVE-2020-24898

CVE-2019-20409、CVE-2020-14172

CVE-2020-14170、CVE-2019-20419

CVE-2020-4028、CVE-2020-4027

CVE-2020-14181、CVE-2020-14178

 

 
 
 
 
 

发布时间

2020/09/21

 

影响产品

Atlassian Confluence

Atlassian JIRA Server

Atlassian Bitbucket Server

Atlassian Jira

Atlassian Confluence Server

Atlassian Atlassian Jira Server and Data Center

Atlassian Jira Data Center

Atlassian Confluence Data Center

Atlassian Data Center

 

7

Adobe多款产品存在安全漏洞

CNVD编号

CNVD-2020-52166、CNVD-2020-52165

CNVD-2020-52168、CNVD-2020-52852

CNVD-2020-51767、CNVD-2020-51766

CNVD-2020-51765、CNVD-2020-51769

CNVD-2020-51768、CNVD-2020-52152

 

本月,Adobe多款产品存在安全漏洞。攻击者可利用漏洞在浏览器中执行任意JavaScript,绕过身份验证,执行任意代码等。本月漏洞包括:Adobe Acrobat和Reader内存破坏漏洞(CNVD-2020-52166、CNVD-2020-52168)、Adobe Magento Open Source和Magento Commerce代码注入漏洞、Adobe Experience Manager (AEM) Forms跨站脚本漏洞(CNVD-2020-51767)、Adobe Experience Manager (AEM)跨站脚本漏洞(CNVD-2020-51766、CNVD-2020-51768、CNVD-2020-51769)、Adobe Experience Manager (AEM)存储型跨站脚本漏洞(CNVD-2020-52152)、Adobe Magento身份验证绕过漏洞、Adobe Experience Manager (AEM) HTML注入漏洞等。

 
 
 
 
 

其他编号

CVE-2020-9713、CVE-2020-5777

CVE-2020-9695、CVE-2020-9664

CVE-2020-9741、CVE-2020-9742

CVE-2020-9743、CVE-2020-9738

CVE-2020-9740、CVE-2020-9737

 
 
 
 
 

发布时间

2020/08/14

 

影响产品

Adobe Magento

Adobe Adobe Acrobat DC(Continuous)

Adobe Magento Commerce 1

Adobe AEM Forms Service Pack 5 add-on package for AEM

Adobe Adobe Experience Manager (AEM)

Adobe Framemaker

Adobe Acrobat 2020(Classic 2020)

Adobe Magento Open Source 1

Adobe AEM Forms add-on package for AEM

Adobe Acrobat 2017(Continuous)

Adobe Acrobat 2015(Classic 2015)

Adobe Acrobat Reader DC(Continuous)

Adobe Acrobat Reader 2020(Classic 2020)

Adobe Acrobat Reader 2015(Classic 2015)

Adobe Acrobat Reader 2017(Continuous)

 

8

F5多款产品存在安全漏洞

CNVD编号

CNVD-2020-50286、CNVD-2020-51555

CNVD-2020-51797、CNVD-2020-50115

CNVD-2020-50121、CNVD-2020-50287

CNVD-2020-50292、CNVD-2020-50517

CNVD-2020-50516、CNVD-2020-50519

本月,F5多款产品存在安全漏洞。攻击者可利用漏洞构建恶意URI,诱使请求,可以在目标用户上下文执行恶意操作,绕过对数据的访问限制,执行任意代码等。本月漏洞包括:F5 BIG-IP iControl REST跨站请求伪造漏洞、F5 NGINX Controller跨站脚本漏洞、F5 BIG-IP访问控制错误漏洞(CNVD-2020-51797)、F5 BIG-IP UDP请求拒绝服务漏洞、F5 BIG-IP APM拒绝服务漏洞(CNVD-2020-50121)、F5 BIG-IP目录遍历漏洞(CNVD-2020-50287)、F5 BIG-IP AFM SQL注入漏洞、F5 BIG-IP SIP消息处理拒绝服务漏洞、F5 BIG-IP APM消息处理拒绝服务漏洞、F5 BIG-IP AFM配置工具SQL注入漏洞等。

 
 
 
 
 

其他编号

CVE-2020-5922、CVE-2020-5901

CVE-2020-5929、CVE-2020-5925

CVE-2020-5874、CVE-2020-5916

CVE-2019-6658、CVE-2020-5926

CVE-2020-5919、CVE-2020-5920

 
 
 
 
 

发布时间

2020/09/05

 

影响产品

F5 BIG-IP

F5 NGINX Controller

F5 BIG-IP APM

F5 BIG-IP AFM

 

 

表1 本月重要漏洞信息

    1.2漏洞分类统计    

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前12个月相比,本月智能设备(物联网终端设备)的数量处于高位,应用程序,WEB应用,网络设备(交换机、路由器等网络端设备),操作系统,数据库,安全产品漏洞的数量处于低位。

图1 漏洞类型分布

     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

OpenSSL信息泄露漏洞(CNVD-2020-51795)

CNVD-2020-51795

2020/9/13

2

Linux kernel信息泄露漏洞(CNVD-2020-51796)

CNVD-2020-51796  

2020/9/13

3

Artifex Ghostscript拒绝服务漏洞(CNVD-2020-54475)

CNVD-2020-54475  

2020/9/29

4

Linux kernel内存泄漏漏洞(CNVD-2020-52395)

CNVD-2020-52395  

2020/9/17

5

Google Android Accessibility信息泄露漏洞

CNVD-2020-54671

2020/9/29


表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是OpenSSL信息泄露漏洞(CNVD-2020-51795),其访问量达到110次以上。攻击者可利用该漏洞绕过数据访问限制,获取敏感信息。

     1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞1518个,与前12个月平均收录数量1800个相比,处于低位;本月高危漏洞423个,与前12个月高危漏洞平均收录数量620个相比,处于低位。本月的总体漏洞趋势如图2所示。

图2 漏洞发布趋势

由图2所示,本月10日发布的安全漏洞数量最多,都高达128个,主要是因为收录了Siemens、Oracle等多款产品存在的多个漏洞。

      2.单位和个人上报漏洞统计

    本月报送情况如表3所示。其中,北京神州绿盟科技有限公司、阿里云计算有限公司、华为技术有限公司、新华三技术有限公司、深信服科技股份有限公司、中新网络信息安全股份有限公司、哈尔滨安天科技集团股份有限公司、中国电信集团系统集成有限责任公司、北京启明星辰信息安全技术有限公司、北京天融信网络安全技术有限公司、北京奇虎科技有限公司、西安四叶草信息技术有限公司、北京安信天行科技有限公司、沈阳东软系统集成工程有限公司、国瑞数码零点实验室、山东华鲁科技发展股份有限公司、远江盛邦(北京)网络安全科技股份有限公司、河南灵创电子科技有限公司、长春嘉诚信息技术股份有限公司、山东新潮信息技术有限公司、安徽长泰信息安全服务有限公司、河南信安世纪科技有限公司、山东云天安全技术有限公司、北京华云安信息技术有限公司、南京众智维信息科技有限公司、京东云安全、浙江安腾信息技术有限公司、西安交大捷普网络科技有限公司、北京天地和兴、北京云科安信科技有限公司(Seraph安全实验室)、吉林谛听信息技术有限公司、北京网御星云信息技术有限公司、杭州海康威视数字技术股份有限公司、西门子(中国)有限公司、北京顶象技术有限公司、内蒙古奥创科技有限公司、广西启汇壹星信息科技有限公司、广西等保安全测评有限公司、博智安全科技股份有限公司、杭州迪普科技股份有限公司、上海观安信息技术股份有限公司、星云博创科技有限公司、中科华威(北京)信息技术研究院、平安银河实验室、北京安华金和科技有限公司、北京卓识网安技术股份有限公司、爱加密、国家电网公司、上海市信息安全测评认证中心、北京长亭科技有限公司、深圳市魔方安全科技有限公司、上海纽盾科技股份有限公司、广西塔易信息技术有限公司、安全共识、常州铂沃尔智能科技有限公司、山石网科通信技术股份有限公司、成都愚安科技有限公司、北京禹宏信安科技有限公司、华信咨询设计研究院有限公司、上海犀点意象网络科技有限公司、北京惠而特科技有限公司、四川哨兵信息科技有限公司、杭州安信检测技术有限公司、山东云天安全大数据技术有限公司、清远职业技术学院、中科nercis、广州市云聚数据服务有限公司、广州安亿信软件科技有限公司、北京威努特技术有限公司及其他个人白帽子向CNVD提交了13452个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的9261条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

斗象科技(漏洞盒子)

3639

3639

奇安信网神(补天平台)

3274

3274

上海交大

2348

2348

北京神州绿盟科技有限公司

1079

23

阿里云计算有限公司

946

0

哈尔滨安天科技集团股份有限公司

892

0

华为技术有限公司

736

0

北京天融信网络安全技术有限公司

559

41

新华三技术有限公司

547

0

深信服科技股份有限公司

441

1

北京启明星辰信息安全技术有限公司

245

22

中新网络信息安全股份有限公司

233

233

中国电信集团系统集成有限责任公司

170

170

北京奇虎科技有限公司

31

31

北京数字观星科技有限公司

24

0

北京知道创宇信息技术股份有限公司

22

0

西安四叶草信息技术有限公司

17

17

北京安信天行科技有限公司

15

15

沈阳东软系统集成工程有限公司

2

2

国瑞数码零点实验室

784

784

山东华鲁科技发展股份有限公司

207

207

远江盛邦(北京)网络安全科技股份有限公司

108

108

河南灵创电子科技有限公司

106

106

长春嘉诚信息技术股份有限公司

95

95

山东新潮信息技术有限公司

92

92

安徽长泰信息安全服务有限公司

73

73

杭州迪普科技股份有限公司

62

6

河南信安世纪科技有限公司

55

55

山东云天安全技术有限公司

49

49

北京华云安信息技术有限公司

48

48

南京众智维信息科技有限公司

46

46

京东云安全

37

37

西安交大捷普网络科技有限公司

31

31

浙江安腾信息技术有限公司

31

31

北京天地和兴

30

30

北京云科安信科技有限公司(Seraph安全实验室)

29

29

吉林谛听信息技术有限公司

25

25

北京网御星云信息技术有限公司

20

20

西门子(中国)有限公司

19

0

杭州海康威视数字技术股份有限公司

18

18

北京顶象技术有限公司

16

16

内蒙古奥创科技有限公司

13

13

广西启汇壹星信息科技有限公司

11

11

博智安全科技股份有限公司

10

10

广西等保安全测评有限公司

10

10

上海观安信息技术股份有限公司

7

7

星云博创科技有限公司

7

7

中科华威(北京)信息技术研究院

6

6

北京安华金和科技有限公司

5

5

北京卓识网安技术股份有限公司

5

5

平安银河实验室

5

5

北京智游网安科技有限公司

4

4

国家电网公司

4

4

上海市信息安全测评认证中心

4

4

北京安全共识科技有限公司

3

3

北京长亭科技有限公司

3

3

广西塔易信息技术有限公司

3

3

上海纽盾科技股份有限公司

3

3

深圳市魔方安全科技有限公司

3

3

北京禹宏信安科技有限公司

2

2

常州铂沃尔智能科技有限公司

2

2

成都愚安科技有限公司

2

2

华信咨询设计研究院有限公司

2

2

山石网科通信技术股份有限公司

2

2

上海犀点意象网络科技有限公司

2

2

北京惠而特科技有限公司

1

1

北京威努特技术有限公司

1

1

广州安亿信软件科技有限公司

1

1

广州市云聚数据服务有限公司

1

1

杭州安信检测技术有限公司

1

1

清远职业技术学院

1

1

山东云天安全大数据技术有限公司

1

1

四川哨兵信息科技有限公司

1

1

中科信息安全共性技术国家工程研究中心有限公司

1

1

个人

1603

1603

总计

1518(去重)

13452

表3 单位和个人上报漏洞统计

关于CNVD

国家信息安全漏洞共享平台(China National VulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

 

关于CNCERT

国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构。

作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行。

网址:www.cert.org.cn

邮箱:vreport@cert.org.cn

电话:010-82991537

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论