CNVD漏洞周报2018年第34期

2018年08月20 日-2018年08月26日

本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为 中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞230个，其中高危漏洞75个、中危漏洞152个、低危漏洞3个。漏洞平均分值为6.51。本周收录的漏洞中，涉及0day漏洞44个（占19%），其中互联网上出现“WordPress插件Chained Quiz SQL注入漏洞、Hycus CMS认证绕过漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数986个，与上周（942个）环比增长5%。

图1 CNVD收录漏洞近10周平均分值分布图

图2 CNVD 0day漏洞总数按周统计

本周漏洞事件处置情况

本周，CNVD向基础电信企业通报漏洞事件1起，向银行、证券、保险、能源等重要行业单位通报漏洞事件19起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件257起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件55起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件17起。

图3 CNVD各行业漏洞处置情况按周统计

图4 CNCERT各分中心处置情况按周统计

图5 CNVD教育行业应急组织处置情况按周统计

此外，CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞，具体处置单位情况如下所示：

北京医脉互通科技有限公司、陕西公众仕达软件科技有限公司、中交第三航务工程局有限公司、智康信息科技股份有限公司、长沙翱云网络科技有限公司、南充市老虎云网络技术有限公司、杭州财今网络科技有限公司、深圳市景阳科技股份有限公司、中国园林协会、河南星通信息技术有限公司、厦门海为科技有限公司、和利时集团、上海引航信息科技有限公司、山西牛酷信息科技有限公司、老虎云网络技术有限公司、河南亿普格计算机科技有限公司、大连理工计算机控制工程公司、大连理工计算机控制工程有限公司、广州齐博网络科技有限公司、山东山大鸥玛软件有限公司、广州齐博网络科技有限公司、国通电子股份有限公司、中国国际信息化人才管理中心、鹏博士电信通数据中心、zzcms、苹果CMS、showdoc、宜软通网、泰州广告网、中国城市建设网、乐外资源分享网、四川省安全科学技术研究院、国家油茶工程技术研究中心、中国招标信息网、中国资信评估网、帝国软件、中国税务出版社、中国岩石力学与工程学会地下空间分会、中非民间商会、中国实事新闻社、中国新闻传媒网。

本周，CNVD发布了《关于Apache Struts2 S2-057远程代码执行漏洞的安全公告》。详情参见CNVD网站公告内容。

http://www.cnvd.org.cn/webinfo/show/4651

本周漏洞报送情况统计

本周报送情况如表1所示。其中，北京天融信网络安全技术有限公司、北京知道创宇信息技术有限公司、哈尔滨安天科技股份有限公司、北京数字观星科技有限公司、新华三技术有限公司等单位报送公开收集的漏洞数量较多。山东云天安全技术有限公司、任子行网络技术股份有限公司、北京智游网安科技有限公司、南京联成科技发展股份有限公司、中新网络信息安全股份有限公司、河南信安世纪科技有限公司、河北网信智安信息技术有限公司、山石网科通信技术有限公司、上海银基信息安全技术股份有限公司、四川虹微技术有限公司（子午攻防实验室）及其他个人白帽子向CNVD提交了986个以事件型漏洞为主的原创漏洞，其中包括360网神（补天平台）和漏洞盒子向CNVD共享的白帽子报送的431条原创漏洞信息。

表1 漏洞报送情况统计表

本周漏洞按类型和厂商统计

本周，CNVD收录了230个漏洞。应用程序漏洞162个，网络设备漏洞30个，WEB应用漏洞19个，操作系统漏洞14个，安全产品漏洞3个，数据库漏洞2个。

表2 漏洞按影响类型统计表

图6 本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及Quest、Cisco、Microsoft等多家厂商的产品，部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

本周行业漏洞收录情况

本周，CNVD收录了10个电信行业漏洞，12个移动互联网行业漏洞，11个工控行业漏洞（如下图所示）。其中，“PLANEX CS-W50HD默认用户名密码漏洞、Emerson Electric DeltaV栈缓冲区溢出漏洞、多款Philips产品硬编码凭证漏洞、Google Android Qualcomm组件权限提升漏洞（CNVD-2018-16194）、Microsoft .NET Framework远程代码执行漏洞（CNVD-2018-15850）”的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

图7 电信行业漏洞统计

图8 移动互联网行业漏洞统计

图9 工控系统行业漏洞统计

本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、Cisco产品安全漏洞

Cisco Firepower System是Cisco Firepower下一代防火墙使用的系统。Cisco Policy Suite是电信级策略、收费及用户数据管理解决方案。Cisco IP Phone 6800、7800和8800 Series都不同系列的IP电话产品。Multiplatform Firmware是运行在其中的一套支持多平台的防火墙软件。Cisco FireSIGHT System是一套集成的网络安全和流量管理产品，可部署在专用平台上或可作为软件解决方案。Cisco Web Security Appliance（WSA）是一套Web安全设备。Cisco DNA Center是一个完整的基于软件的网络自动化和保障解决方案。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，提升权限，执行任意代码。

CNVD收录的相关漏洞包括：Cisco Policy Suite Policy Builder认证绕过漏洞、Cisco Policy Suite Policy Builder访问绕过漏洞、Cisco Firepower System拒绝服务漏洞（CNVD-2018-16067）、Cisco IP Phone 6800、7800、8800系列命令注入漏洞、Cisco FireSIGHT System远程安全绕过漏洞、Cisco FireSIGHT System远程安全绕过漏洞（CNVD-2018-16069）、Cisco Web Security Appliance权限提升漏洞（CNVD-2018-16179）、Cisco Digital Network Architecture (DNA) Center命令注入漏洞。其中，“Cisco IP Phone 6800、7800、8800系列命令注入漏洞、Cisco Web Security Appliance权限提升漏洞（CNVD-2018-16179）、Cisco Digital Network Architecture (DNA) Center命令注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16064

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16063

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16067

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16066

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16068

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16069

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16179

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16182

2、Microsoft产品安全漏洞

Microsoft .NET Framework是一种全面且一致的编程模型，也是一个用于构建Windows、Windows Store、Windows Phone、Windows Server和Microsoft Azure的应用程序的开发平台。该平台包括C#和Visual Basic编程语言、公共语言运行库和广泛的类库。Microsoft ChakraCore是一个Edge（Web浏览器）所使用的JavaScript引擎的核心部分。Internet Explorer是一款网页浏览器。原称Microsoft Internet Explorer(6版本以前)和Windows Internet Explorer(7、8、9、10、11版本)，简称IE。Edge是微软为Windows 10打造的浏览器。Microsoft Windows 10等都是操作系统。Edge和Internet Explorer（IE）都是其中的浏览器。前者是最新操作系统Windows 10附带的默认浏览器，后者是Windows 10之前操作系统附带的默认浏览器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获提升权限，执行任意代码，破坏内存。

CNVD收录的相关漏洞包括：Microsoft .NET Framework远程代码执行漏洞（CNVD-2018-15849、CNVD-2018-15850）、Microsoft ChakraCore远程代码执行漏洞（CNVD-2018-15861、CNVD-2018-15862）、Microsoft Internet Explorer和Edge脚本引擎内存破坏漏洞（CNVD-2018-15916、CNVD-2018-16174、CNVD-2018-16175）、Microsoft Internet Explorer和Edge权限提升漏洞（CNVD-2018-15915）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-15849

http://www.cnvd.org.cn/flaw/show/CNVD-2018-15850

http://www.cnvd.org.cn/flaw/show/CNVD-2018-15861

http://www.cnvd.org.cn/flaw/show/CNVD-2018-15862

http://www.cnvd.org.cn/flaw/show/CNVD-2018-15916

http://www.cnvd.org.cn/flaw/show/CNVD-2018-15915

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16174

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16175

3、 Google产品安全漏洞

安卓（Android）是一种基于Linux的自由及开放源代码的操作系统，由谷歌公司和开放手机联盟领导及开发。Google Chromium是一款Web浏览器。Electron是使用在其中的一个使用JavaScript、HTML和CSS等Web技术创建桌面应用程序的框架。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码。

CNVD收录的相关漏洞包括：Google Android Qualcomm组件权限提升漏洞（CNVD-2018-16191、CNVD-2018-16190）、Google Chromium Electron远程代码执行漏洞、Google Android Qualcomm组件权限提升漏洞（CNVD-2018-16194、CNVD-2018-16193）、Google Android Qualcomm组件远程代码执行漏洞（CNVD-2018-16192）、Google Android System信息泄露漏洞（CNVD-2018-16197）、Google Android Qualcomm组件信息泄露漏洞（CNVD-2018-16195）。其中，除“Google Android System信息泄露漏洞（CNVD-2018-16197）、Google Android Qualcomm组件信息泄露漏洞（CNVD-2018-16195）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16191

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16190

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16189

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16194

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16193

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16192

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16197

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16195

4、Quest产品安全漏洞

Quest DR系列是磁盘存储和重复数据删除设备。本周，该产品被披露存在权限提升和命令注入漏洞，攻击者可利用漏洞提升权限，执行任意代码。

CNVD收录的相关漏洞包括：Quest DR系列磁盘备份软件命令注入漏洞（CNVD-2018-15622、CNVD-2018-15865）、Quest DR系列磁盘备份软件权限提升漏洞（CNVD-2018-15897、CNVD-2018-15903、CNVD-2018-15910、CNVD-2018-15909、CNVD-2018-15912、CNVD-2018-15911）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-15622

http://www.cnvd.org.cn/flaw/show/CNVD-2018-15865

http://www.cnvd.org.cn/flaw/show/CNVD-2018-15897

http://www.cnvd.org.cn/flaw/show/CNVD-2018-15903

http://www.cnvd.org.cn/flaw/show/CNVD-2018-15910

http://www.cnvd.org.cn/flaw/show/CNVD-2018-15909

http://www.cnvd.org.cn/flaw/show/CNVD-2018-15912

http://www.cnvd.org.cn/flaw/show/CNVD-2018-15911

5、 GhostScript沙箱绕过(命令执行)漏洞