第108期漏洞态势

第108期 （ 2019.10.28-2019.11.1）

本周轩辕攻防实验室共收集、整理信息安全漏洞2308个，其中高危漏洞1315个、中危漏洞647个、低危漏洞346个，较上周相比较减少893个，同比减少38%。据统计发现sql注入 漏洞 是本周占比最大的漏洞。

图1 近7周漏洞数量分布图

根据监测结果，本周轩辕攻防实验室共整理漏洞 2308 个，其中其他行业788个、电信与互联网行业459个 、工业制造行业326个 、政府部门行业267个 、教育行业193个 、医疗卫生行业99个 、商业平台行业82个 、环境保护行业27个 、交通行业26个 、能源行业12个 、金融行业10个 、新闻网站行业8个、市政行业8个 、水利2个 、广播电视行业1个，分布统计图如下所示：

图2 行业类型数量统计

本周漏洞类型分布统计

本周监测共有漏洞 2308 个，其中，漏洞数量位居首位的是SQL注入漏洞占比41%，漏洞数量位居第二的是 敏感信息泄露漏洞 占比为15%，位居第三的是 其他漏洞 占比15% ，这三种漏洞数量就占总数 71 %，与上周相比较，发现SQL注入漏洞增加5%， 敏感信息泄露漏洞数量占比减少12% ， 其他漏洞 占比 增加8%；其他几种漏洞仅占总数的29%，这几种漏洞中，后台弱口令漏洞占比10%、 xss跨站脚本攻击漏洞 占比8% 、命令执行漏洞占比7%、未授权访问/权限绕过占比1% 、任意文件遍历/下载漏洞占比1%、设计缺陷/逻辑缺陷漏洞占比1%、CSRF跨站请求伪造占比1%。本周漏洞类型占比分布图如下：

图3 漏洞类型分布统计

经统计，sql 注入漏洞 在电信与互联网行业存在较为明显。同时sql 注入漏洞 也是本周漏洞类型统计中占比最多的漏洞，广大用户应加强对sql 注入漏洞 的防范。sql 注入漏洞 在各行业分布统计图如下：

图4 sql注入 漏洞行业分布统计

本周通用型漏洞按影响对象类型统计

WEB应用漏洞1110个 、操作系统漏洞109 、应用程序漏洞80个 、数据库漏洞26个、安全产品漏洞7个 、智能设备漏洞2个 个 、网络设备漏洞2个 。

图5 漏洞影响对象类型统计图

二、本周通用型产品公告

1、Google产品安全漏洞

收录的相关漏洞包括：Google Android远程代码执行漏洞（CNVD-2019-37947、CNVD-2019-37953、CNVD-2019-37954）、Google Android提权漏洞（CNVD-2019-37971）、Google Chrome权限许可和访问控制问题漏洞（CNVD-2019-38243、CNVD-2019-38246、CNVD-2019-38251）、Google Chrome代码注入漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

https://source.android.com/security/bulletin/2019-10-01

https://source.android.com/security/bulletin/2019-08-01.html

https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_22.html

Linuxkernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意命令，导致拒绝服务等。

收录的相关漏洞包括：Linux kernel内存破坏漏洞（CNVD-2019-37726）、Linux Kernel空指针解引用漏洞（CNVD-2019-38263、CNVD-2019-38266）、Linux kernel输入验证错误漏洞（CNVD-2019-38515）、Linux kernel缓冲区溢出漏洞（CNVD-2019-38516、CNVD-2019-38519）、Linux kernel本地特权升级漏洞、Linux kernel越界访问漏洞（CNVD-2019-38518）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ca7a03c4175366a92cee0ccc4fec0038c3266e26

https://lore.kernel.org/linux-wireless/[email protected]/T/#u

https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=99253eb750fda6a644d5188fb26c43bad8d5a745

https://lkml.org/lkml/2019/10/16/1226

https://git.kernel.org/pub/scm/virt/kvm/kvm.git/commit/?id=b60fe990c6b07ef6d4df67bc0530c7c90a62623a

https://marc.info/?l=linux-wireless&m=156901391225058&w=2

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=594cc251fdd0d231d342d88b2fdff4bc42fb0690

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。wps-hide-login是使用在其中的一个隐藏登录插件。syndication-links是使用在其中的一个页面链接添加插件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行客户端代码、进行服务器端请求伪造攻击等。

收录的相关漏洞包括：WordPress跨站请求伪造漏洞（CNVD-2019-37377）、WordPress输入验证错误漏洞（NVD-C-2019-153344）、WordPress跨站脚本漏洞（CNVD-2019-37380）、WordPress信息泄露漏洞（CNVD-2019-37381）、WordPress服务器端请求伪造漏洞（CNVD-2019-37383、CNVD-2019-37382）、WordPresssyndication-links插件跨站脚本漏洞、WordPress wps-hide-login插件跨站请求伪造漏洞。其中“WordPress服务器端请求伪造漏洞（CNVD-2019-37383、CNVD-2019-37382）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

Microsoft Windows和MicrosoftWindows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Windows Jet Database Engine是其中的一个数据库引擎。本周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

收录的相关漏洞包括：Microsoft Jet DatabaseEngine远程代码执行漏洞（CNVD-2019-38614、CNVD-2019-38615、CNVD-2019-38616、CNVD-2019-38617、CNVD-2019-38618、CNVD-2019-38619、CNVD-2019-38620、CNVD-2019-38621）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1248

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1249

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1241

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1243

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1146

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1155

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1156

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1157