CNVD漏洞周报2019年第21期

2019年05月20 日-2019年05月26日

本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞271个，其中高危漏洞74个、中危漏洞179个、低危漏洞18个。漏洞平均分值为5.80。本周收录的漏洞中，涉及0day漏洞130个（占48%），其中互联网上出现“UCMS SQL注入漏洞（CNVD-2019-15108）、MacDown远程代码执行漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数2475个，与上周（1672个）环比增长48%。

图1 CNVD收录漏洞近10周平均分值分布图

图 2 CNVD 0day漏洞总数按周统计

本周漏洞事件处置情况

本周， CNVD向基础电信企业通报漏洞事件10起，向银行、保险、能源等重要行业单位通报漏洞事件22起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件267起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件12起。

图3 CNVD各行业漏洞处置情况按周统计

图4 CNCERT各分中心处置情况按周统计

此外，CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞，具体处置单位情况如下所示：

深圳搜豹网络有限公司、成都鹏博士电信传媒集团股份有限公司、济南宇霞信息技术有限公司、株洲之窗信息网络文化科技有限公司、北京讯飞乐知行软件有限公司、南京鸣谷科技有限公司、星巴克企业管理（中国）有限公司、浙江齐治科技股份有限公司、沧州市凡诺广告传媒有限公司、北京五指互联科技有限公司、广东盈世计算机科技有限公司、中国高校人文社会科学信息网、宜软通网、施耐德（Schneider Electric）、爱客CM、易优CMS、zzzcms、SemCms、SELTECO、astroid、YUNUCM。

本周漏洞报送情况统计

本周报送情况如表1所示。 其中，哈尔滨安天科技集团股份有限公司、京天融信网络安全技术有限公司、京启明星辰信息安全技术有限公司、华三技术有限公司、安嘉新(北京)科技股份公司等单位报送公开收集的漏洞数量较多。内蒙古奥创科技有限公司、瑞数码零点实验室、子行网络技术股份有限公司、京铭图天成信息技术有限公司、海并擎软件科技有限公司、京众智维信息科技有限公司、京圣博润高新技术股份有限公司、南信安世纪科技有限公司、东云天安全技术有限公司、国科学院信息工程研究所、山信息科技有限公司及其他个人白帽子向CNVD提交了2475个以事件型漏洞为主的原创漏洞，其中包括奇安信网神（补天平台）和斗象科技（漏洞盒子）向CNVD共享的白帽子报送的1999条原创漏洞信息。

表1 漏洞报送情况统计表

本周漏洞按类型和厂商统计

本周，CNVD收录了271个漏洞。应用程序193个，WEB应用49个，网络设备（交换机、路由器等网络端设备）12个，操作系统11个，安全产品4个，数据库1个，智能设备（物联网终端设备）漏洞1个。

表2 漏洞按影响类型统计表

图5 本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及CloudBees、Oracle、Google等多家厂商的产品，部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

本周行业漏洞收录情况

本周，CNVD收录了6个电信行业漏洞，17个移动互联网行业漏洞，26个工控行业漏洞（如下图所示）。其中，“Samsung Galaxy S9代码执行漏洞（CNVD-2019-15095）、Google Android System权限提升漏洞（CNVD-2019-15175）、Siemens SIMATIC PCS 7和SIMATIC WinCC输入验证错误漏洞、Google Android Media framework权限提升漏洞（CNVD-2019-15201）”等漏洞的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

图6 电信行业漏洞统计

图7 移动互联网行业漏洞统计

图8 工控系统行业漏洞统计

本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、CloudBees产品安全漏洞

CloudBees Jenkins（Hudson Labs）是一套基于Java开发的持续集成工具。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过沙盒保护，执行任意代码等。

CNVD收录的相关漏洞包括：CloudBees Jenkins AppDynamics Dashboard Plugin信任管理问题漏洞、CloudBees Jenkins Azure VM Agents插件信息泄露漏洞（CNVD-2019-15065）、CloudBees Jenkins Azure VM Agents插件信息泄露漏洞、CloudBees Jenkins Azure VM Agents插件权限许可和访问控制漏洞、CloudBees Jenkins Matrix Project Plugin安全特征问题漏洞、CloudBees Jenkins Job DSL Plugin安全特征问题漏洞、CloudBees Jenkins Credentials Plugin信息泄露漏洞、CloudBees Jenkins PAM Authentication Plugin信息泄露漏洞。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15063

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15065

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15074

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15073

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15076

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15075

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15112

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15111

2、Oracle产品安全漏洞

Oracle PeopleSoft Products是一套企业人力资本管理解决方案。Oracle Supply Chain Products Suite是一套供应链解决方案。Oracle Java SE是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Commerce是一套电子商务解决方案。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞影响数据的保密性和完整性。

CNVD收录的相关漏洞包括：Oracle PeopleSoft Products PeopleSoft Enterprise ELM访问控制错误漏洞、Oracle Supply Chain Products Suite Configurator访问控制错误漏洞、Oracle PeopleSoft Products PeopleSoft Enterprise HCM Talent Acquisition Manager访问控制错误漏洞、Oracle PeopleSoft Products PeopleSoft Enterprise PT PeopleTools信息泄露漏洞、Oracle PeopleSoft Products PeopleSoft Enterprise PT PeopleTools访问控制错误漏洞、Oracle PeopleSoft Products PeopleSoft Enterprise HRMS访问控制错误漏洞、Oracle Java SE访问控制错误漏洞、Oracle Commerce Merchandising组件访问控制错误漏洞。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14888

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14887

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14933

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14932

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14935

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14934

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14955

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14956

3、Google产品安全漏洞

Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码等。

CNVD收录的相关漏洞包括：Google Android Binder驱动程序权限许可和访问控制漏洞、Google Android System权限提升漏洞（CNVD-2019-15175、CNVD-2019-15188、CNVD-2019-15189、CNVD-2019-15194、CNVD-2019-15195、CNVD-2019-15196）、Google Android Media framework权限提升漏洞（CNVD-2019-15201）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15173

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15175

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15188

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15189

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15194

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15195

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15196

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15201

4、GitLab产品安全漏洞

GitLab是一款使用Ruby on Rails开发的、自托管的、Git（版本控制系统）项目仓库应用程序。本周，该产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信，打开重定向，导致资源消耗等。

CNVD收录的相关漏洞包括：GitLab资源管理错误漏洞、GitLab输入验证错误漏洞、GitLab访问控制错误漏洞（CNVD-2019-14882、CNVD-2019-14949、CNVD-2019-14951、CNVD-2019-14950）、GitLab信息泄露漏洞（CNVD-2019-14812、CNVD-2019-14952）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2019-14811

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14813

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14812

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14882

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14949

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14951

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14950

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14952

5、ALE Alcatel OmniAccess Wireless Access Point命令注入漏洞

ALE Alcatel OmniAccess Wireless Access Point是一款无线接入点设备。

ALE Alcatel OmniAccess Wireless Access Point被披露存在命令注入漏洞。攻击者可利用该漏洞执行非法命令。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。