正文
2018年06月11
日-2018年06月17日
本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为
中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞302个,其中高危漏洞109个、中危漏洞179个、低危漏洞14个。漏洞平均分值为6.28。本周收录的漏洞中,涉及0day漏洞74个(占25%),其中互联网上出现“MACCMS 10跨站请求伪造漏洞、WordPress Pie Register插件SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数477 个,与上周(630个)环比下降24 %。
图1 CNVD收录漏洞近10周平均分值分布图
图2 CNVD 0day漏洞总数按周统计
本周漏洞事件处置情况
本周,CNVD向基础电信企业通报漏洞事件2起,向银行、证券、保险、能源等重要行业单位通报漏洞事件12起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件161起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件69起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件8起。
图3 CNVD各行业漏洞处置情况按周统计
图4 CNCERT各分中心处置情况按周统计
图5 CNVD教育行业应急组织处置情况按周统计
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:
北京建工集团有限责任公司、陆爱玖、灵宝简好网络科技有限公司、深圳市橙子互动科技有限公司、海南创想未来文化传媒有限公司、重庆鼎维网络科技有限公司、广东顺德德韵网络科技有限公司、SemCms、广州本盈计算机科技有限公司、上镜投资(上海)有限公司、苹果CMS、聊城市领胜网络科技有限公司、深圳市锟铻科技有限公司、北京和时利集团、行云海CMS、中国长城资产管理股份有限公司、西门网络技术开发有限公司、雅视威(yestv)、创科网络股份有限公司、长沙米拓信息技术有限公司、艺创网页设计、云迈电子商务有限公司、杭州迪普科技股份有限公司、北京费尔之盾科技有限公司、广州联雅网络科技有限公司、青岛至诚网络科技有限公司、北京公共交通控股(集团)有限公司、ThinkCMF、中电运行技术研究院、中国未来研究会医学委员会、儿童心脏基金会。
本周漏洞报送情况统计
本周报送情况如表1所示。其中,蓝盾信息安全技术有限公司、杭州安恒信息技术有限公司、北京天融信网络安全技术有限公司、哈尔滨安天科技股份有限公司、华为技术有限公司等单位报送公开收集的漏洞数量较多。中新网络信息安全股份有限公司、南京联成科技发展股份有限公司、四川虹微技术有限公司(子午攻防实验室)、任子行网络技术股份有限公司、河南信安世纪科技有限公司、北京明朝万达科技股份有限公司(安元实验室)、安徽锋刃信息科技有限公司、北京智游网安科技有限公司、海南上德科技有限公司、福建六壬网安股份有限公司及其他个人白帽子向CNVD提交了477个以事件型漏洞为主的原创漏洞,其中包括360网神(补天平台)和漏洞盒子向CNVD共享的白帽子报送的317条原创漏洞信息。
表1 漏洞报送情况统计表
本周漏洞按类型和厂商统计
本周,CNVD收录了302个漏洞。其中应用程序漏洞184个,操作系统漏洞40个,WEB应用漏洞37个,网络设备漏洞29个,安全产品漏洞11个,数据库漏洞1个。
表2 漏洞按影响类型统计表
图6 本周漏洞按影响类型分布
CNVD整理和发布的漏洞涉及Cisco、Google、Microsoft等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
表3 漏洞产品涉及厂商分布统计表
本周行业漏洞收录情况
本周,CNVD收录了15个电信行业漏洞,26个移动互联网行业漏洞,23个工控行业漏洞(如下图所示)。其中,“SIEMENS SCALANCE M875命令注入漏洞、Synology Router Manager命令注入漏洞、Cisco AppDynamics App iQ Platform SQL注入漏洞、Google Android权限提升漏洞(CNVD-2018-11357)、SIEMENS SCALANCE M875跨站请求伪造漏洞”的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:
http://ics.cnvd.org.cn/
图7 电信行业漏洞统计
图8 移动互联网行业漏洞统
图9 工控行业漏洞统计
本周重要漏洞安全告警
本周,CNVD整理和发布以下重要安全漏洞信息。
1
、
Cisco
产品安全漏洞
Cisco Prime Collaboration Provisioning(PCP)是一套基于Web的下一代通信服务软件。Cisco Firepower Threat Defense是一套运行在防火墙中的软件。detection engine是其中的一个检测引擎。Cisco Prime Collaboration Provisioning(PCP)是一套基于Web的下一代通信服务软件。Cisco AppDynamics App iQ Platform是一款实时应用程序和业务性能监控解决方案。Cisco Wide Area Application Services(WAAS)Software是一套广域网链路加速软件。Disk Check Tool(disk-check.sh)是其中的一个磁盘检查工具。Cisco IOS XE Software是一套为其网络设备开发的操作系统。Cisco IP Phone 6800、7800和8800 Series Phones都是美国思科(Cisco)公司的不同系列的IP电话产品。Multiplatform Firmware是其中的一套支持多平台的防火墙软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取数据库敏感信息,绕过安全功能限制,提升权限,执行任意代码或发起拒绝服务攻击。
CNVD收录的相关漏洞包括:Cisco Prime Collaboration Provisioning SQL注入漏洞(CNVD-2018-11254)、Cisco Firepower Threat Defense software远程安全绕过漏洞、Cisco IP Phone 8800 Series和IP Phone 7800 Series拒绝服务漏洞、Cisco Web Security Appliance AsyncOS安全绕过漏洞、Cisco AppDynamics App iQ Platform SQL注入漏洞、Cisco Wide Area Application Services(WAAS)软件权限提升漏洞、Cisco IOS XE Software缓冲区溢出漏洞、Cisco IP Phone 6800、7800和8800 Series Phones拒绝服务漏洞,上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11254
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11284
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11288
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11300
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11298
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11318
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11323
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11347
2、Google产品安全漏洞
Google Chrome是美国谷歌(Google)公司开发的一款Web浏览器。Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行未授权的操作,提升权限,执行任意代码或发起拒绝服务攻击。
CNVD收录的相关漏洞包括:Google Chrome V8类型混淆漏洞(CNVD-2018-11352)、Google Chrome PDFium堆缓冲区溢出漏洞(CNVD-2018-11353)、Google Chrome权限提升漏洞(CNVD-2018-11354)、Google Android权限提升漏洞(CNVD-2018-11356、CNVD-2018-11480)、Google Chrome Blink UI欺骗漏洞(CNVD-2018-11482)、Google Chrome越界内存访问漏洞(CNVD-2018-11486)、Google Chrome Skia堆缓冲区溢出漏洞(CNVD-2018-11495)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11352
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11353
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11354
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11356
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11480
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11482
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11486
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11495
3、Microsoft产品安全漏洞
Microsoft Windows 10、Windows Server 2016、Windows 7 SP1、Windows Server Version 1803、Windows 7等都是一系列操作系统。本周,上述产品被披露存在权限提升和远程代码执行漏洞,攻击者可利用漏洞提升权限或执行任意代码。
CNVD收录的相关漏洞包括:Microsoft Windows Desktop Bridge权限提升漏洞(CNVD-2018-11545)、Microsoft Windows Kernel权限提升漏洞(CNVD-2018-11546)、Microsoft Windows Win32k组件权限提升漏洞、Microsoft Windows Kernel 'Win32k.sys'本地权限提升漏洞、Microsoft Windows Desktop Bridge权限提升漏洞、Microsoft Windows远程代码执行漏洞(CNVD-2018-11554)、Microsoft Windows HIDParser权限提升漏洞、Microsoft Windows远程代码执行漏洞(CNVD-2018-11572)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11545
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11546
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11547
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11551
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11550
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11554
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11571
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11572
4、Apple产品安全漏洞
Apple Safari Technology Preview是一款浏览器。WebKit是KDE社区开发的一套开源Web浏览器引擎,目前被Apple Safari及Google Chrome等浏览器使用。Apple iOS是一套操作系统。Apple macOS High Sierra是一套专为Mac计算机所开发的专用操作系统。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码或发起拒绝服务攻击。
CNVD收录的相关漏洞包括:Apple Safari Technology Preview WebKit拒绝服务漏洞(CNVD-2018-11311)、Apple iOS Messages拒绝服务漏洞(CNVD-2018-11369)、Apple macOS High Sierra Accessibility Framework信息泄露漏洞、Apple macOS High Sierra ATS类型混淆漏洞、Apple macOS High Sierra Firmware设备配置漏洞、Apple macOS High Sierra Bluetooth信息泄露漏洞、多款Apple产品FontParser内存破坏漏洞、Apple macOS High Sierra Hypervisor内存破坏漏洞。其中,“Apple macOS High Sierra ATS类型混淆漏洞、多款Apple产品FontParser内存破坏漏洞、Apple macOS High Sierra Hypervisor内存破坏漏洞” 的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11311
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11369
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11575
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11577
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11578
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11582
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11579
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11583
5、
