正文
2018年08月13
日-2018年08月19日
本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为
中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞274个,其中高危漏洞107个、中危漏洞155个、低危漏洞12个。漏洞平均分值为6.24。本周收录的漏洞中,涉及0day漏洞71个(占26%),其中互联网上出现“NEWMARK NMCMS SQL注入漏洞、EMLsoft 'numPerPage'参数SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数942个,与上周(893个)环比增长5%。
图1 CNVD收录漏洞近10周平均分值分布图
图2 CNVD 0day漏洞总数按周统计
本周漏洞事件处置情况
本周,CNVD向基础电信企业通报漏洞事件3起,向银行、证券、保险、能源等重要行业单位通报漏洞事件29起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件209起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件80起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件16起。
图3 CNVD各行业漏洞处置情况按周统计
图4 CNCERT各分中心处置情况按周统计
图5 CNVD教育行业应急组织处置情况按周统计
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:
北京鼎为智创科技有限公司、北京广易东方信息技术有限公司、聊城市领胜网络科技有限公司、上海卓卓网络科技有限公司、上海亿速网络科技有限公司、上虞天盛网络技术服务有限公司、长沙翱云网络科技有限公司、北京东云创达科技有限公司、广州齐博网络科技有限公司、广东天行健网络有限公司、北京博乐虎科技有限公司、影核(北京)网络科技有限公司、温州拓荒信息科技有限公司、北京二六三企业通信有限公司、杭州控客信息技术有限公司、杭州优稳自动化系统有限公司、山西新晋商电子商务股份有限公司、重庆兰屿天臣科技有限公司、深圳市英威腾电气股份有限公司、惠州市商网网络有限公司、南充市老虎云网络技术有限公司、湖南梦行科技有限公司、深圳市锟铻科技有限公司、长沙米拓信息技术有限公司、上海必智软件有限公司、成都天睿信息技术有限公司、北京中科恒业科技有限公司、四平市九州易通科技有限公司、上海觉策信息技术有限公司、山西龙采科技有限公司、惠普公司、泰兴精创网络、帝国软件环球互易集团、大米cms、img2cad、ZZCMS、Lankecms、E币资讯、万隆证券网、中国政府采购招标网、中国知网、乐外资源分享网、中国医药文化网、中国建材工程资讯网、中国钛锆铪协会、青海省消费者协会、北京商务服务业联合会、中国大学生体育协会网球分会、四川省安全科学技术研究院、证券市场红周刊、春杰工作室、云阳工作室、中国国画院、中国信息港、青少年科技文化交流服务中心、中国BIM发展联盟、《中国健康教育》期刊网站、北京团结出版社网站、中国访谈网主站、CCTV中视购物网站、艾能电力网站、湖南省电力工程企业协会网站、海南省认证审核中心。
本周,CNVD发布了《Microsoft发布2018年8月安全更新》。详情参见CNVD网站公告内容。
http://www.cnvd.org.cn/webinfo/show/4639
本周漏洞报送情况统计
本周报送情况如表1所示。其中,北哈尔滨安天科技股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、深圳市深信服电子科技有限公司、新华三技术有限公司等单位报送公开收集的漏洞数量较多。山东云天安全技术有限公司、任子行网络技术股份有限公司、中新网络信息安全股份有限公司、四川虹微技术有限公司(子午攻防实验室)、上海银基信息安全技术股份有限公司、河南信安世纪科技有限公司、国家互联网应急中心研究所,北京同余科技有限公司、北京禹宏信安科技有限公司、北京智游网安科技有限公司、杭州海康威视数字技术股份有限公司、海南神州希望网络有限公司、河北网信智安信息技术有限公司及其他个人白帽子向CNVD提交了942个以事件型漏洞为主的原创漏洞,其中包括360网神(补天平台)和漏洞盒子向CNVD共享的白帽子报送的491条原创漏洞信息。
表1 漏洞报送情况统计表
本周漏洞按类型和厂商统计
本周,CNVD收录了213个漏洞。应用程序漏洞150个,WEB应用漏洞95个,网络设备漏洞17个,操作系统漏洞6个,安全产品漏洞4个,数据库漏洞2个。
表2 漏洞按影响类型统计表
图6 本周漏洞按影响类型分布
CNVD整理和发布的漏洞涉及Microsoft、Intel、Apache等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
表3 漏洞产品涉及厂商分布统计表
本周行业漏洞收录情况
本周,CNVD收录了11个电信行业漏洞,15个移动互联网行业漏洞(如下图所示)。其中,“D-Link DIR-815访问限制绕过漏洞、Huawei 1288H和2288H机架服务器JSON注入漏洞、Oracle Database Server Java VM组件远程漏洞、AppCMS后台模板管理处存在命令执行漏洞、Citrix XenMobile Server XML外部实体处理漏洞”的综合评级为“高危”相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
图7 电信行业漏洞统计
图8 移动互联网行业漏洞统计
本周重要漏洞安全告警
本周,CNVD整理和发布以下重要安全漏洞信息。
1、Microsoft产品安全漏洞
Microsoft Exchange Server是一套电子邮件服务程序,它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。Microsoft Edge是内置于Windows 10版本中的网页浏览器。Internet Explorer是微软公司推出的一款网页浏览器。Microsoft Visual Studio是一款开发工具套件系列产品,也是一个基本完整的开发工具集,它包括了整个软件生命周期中所需要的大部分工具。Microsoft Windows 7等都是一系列操作系统。Windows FTP Server是其中的一个FTP(文件传输协议)服务器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。
CNVD收录的相关漏洞包括:Microsoft Exchange Server内存破坏漏洞、Microsoft Internet Explorer和Edge脚本引擎内存破坏漏洞(CNVD-2018-15434、CNVD-2018-15435、CNVD-2018-15436)、Microsoft Internet Explorer脚本引擎内存破坏漏洞(CNVD-2018-15439、CNVD-2018-15438)、Microsoft Visual Studio远程代码执行漏洞、Microsoft Windows FTP Server拒绝服务漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15416
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15434
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15435
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15436
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15439
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15438
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15446
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15447
2、Intel产品安全漏洞
Intel Quartus II是一套用于硬件编程的软件。Intel ServerBoard是一款服务器主板。Compute Module是一款计算模块。Se
rver System是一款服务器阵列卡。Intel 4th GenIntel Core Processor等都是不同系列的中央处理器(CPU)产品。IntelProcessor Diagnostic Tool(IPDT)是一款处理器功能诊断工具。IntelConverged Security Manageability Engine是一款使用在CPU(中央处理器)中的安全管理引擎。ActiveManagement Technology(AMT)是其中的一个主动管理组件。Intel SaffronMemoryBase是一款用于Saffron的内存基础套件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码或发起拒绝服务攻击。
CNVD收录的相关漏洞包括:Intel QuartusII权限提升漏洞、Intel Server Board、Compute Module和Server System拒绝服务漏洞、多款Intel产品信息泄露漏洞、Intel ProcessorDiagnostic Tool权限提升漏洞(CNVD-2018-15596、CNVD-2018-15597)、IntelConverged Security Manageability Engine Active Management Technology权限提升漏洞、Intel SaffronMemoryBase权限提升漏洞(CNVD-2018-15599、CNVD-2018-15600)。其中,除“Intel QuartusII权限提升漏洞、多款Intel产品信息泄露漏洞、Intel SaffronMemoryBase权限提升漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15553
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15554
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15594
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15596
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15597
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15598
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15599
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15600
3、Apache产品安全漏洞
Apache Camel是一套开源的基于EnterpriseIntegration Pattern(企业整合模式,简称EIP)的集成框架。Apache Ignite是一套用于大规模的数据集处理的内存计算和事务管理平台。Apache Kafka是一个开源的分布式流媒体平台。Apache Storm是一个免费开源的分布式实时计算系统。Apache Tomcat是一款轻量级Web应用服务器,它主要用于开发和调试JSP程序,适用于中小型系统。Apache Ant是一套用于Java软件开发的自动化工具。该工具主要用于软件的编译、测试和部署等。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞读取任意文件,绕过安全限制,执行未授权的操作,执行任意代码等。
CNVD收录的相关漏洞包括:Apache CamelCore XSD validation processor外部实体信息泄露漏洞、Apache Ignite任意代码执行漏洞(CNVD-2018-15540)、Apache Kafka安全绕过漏洞、Apache Storm任意代码执行漏洞(CNVD-2018-15544)、Apache Tomcat安全限制绕过漏洞(CNVD-2018-15543)、Apache Ant未授权操作漏洞、Apache TomcatNative身份验证漏洞(CNVD-2018-15545、CNVD-2018-15547)。其中,“Apache Ignite任意代码执行漏洞(CNVD-2018-15540)、Apache Storm任意代码执行漏洞(CNVD-2018-15544)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15538
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15540
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15539
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15544
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15543
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15546
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15545
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15547
4、SAP产品安全漏洞
SAP Internet Graphics Server(IGS)是一款图形服务器。SAP MaxDB是一套跨平台的、兼容ANSI SQL-92的关系数据库管理系统。SAP IdentityManagement是一套能够嵌入到业务流程中的身份管理应用程序。SAP HANA是一套实时数据分析平台。SAP NetWeaver是一套面向服务的集成化应用平台,该平台可为SAP应用提供开发和运行环境。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码,绕过某些安全限制并执行未授权的操作。
CNVD收录的相关漏洞包括:SAP InternetGraphics Server Portwatcher拒绝服务漏洞(CNVD-2018-15390)、SAP MaxDB ODBC远程代码注入漏洞、SAP InternetGraphics Server Portwatcher拒绝服务漏洞、SAP Identity Management XML外部实体注入漏洞、SAP IdentityManagement信息泄露漏洞、SAP Internet Graphics Server HTTP和RFC listener拒绝服务漏洞、SAP HANA SAPSystems Installation权限提升漏洞、SAP NetWeaver AS Java Log Injection安全绕过漏洞。其中,“SAP MaxDB ODBC远程代码注入漏洞、SAP HANA SAPSystems Installation权限提升漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15390
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15395
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15394
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15397
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15396
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15402
http://www.cnvd.org.cn/flaw/show/CNVD-2018-15509
