第120期
(
2020.1.20
-2020.2.2)
本期轩辕攻防实验室共收集、整理信息安全漏洞541个,其中高危漏洞244个、中危漏洞291
个、低危漏洞6个,较上周相比较减少1118个,同比降低67%。据统计发现后台弱口令
漏洞
是本期占比最大的漏洞。
图1 近7周漏洞数量分布图
根据监测结果,本期轩辕攻防实验室共整理漏洞
541
个,
其中其他行业241个、电信与互联网行业112个
、
工业制造行业46个、
教育行业43个、
政府部门行业33个
、
医疗卫生行业17个、商业平台行业15个、
金融行业12个、
环境保护行业7个、交通行业7个、
能源行业6个、水利行业2个
,分布统计图如下所示:
图2 行业类型数量统计
本期漏洞类型分布统计
本
期
监测共有漏洞
541
个,其中,漏洞数量位居首位的是
后台弱口令漏洞
占比36%
,漏洞数量位居第二的是
SQL注入漏洞占比为25%
,位居第三的是命令执行
漏洞占比17%
,这三种漏洞数量就占总数78
%,与上期相比较
,
后台弱口令漏洞
数量占比增加10%
,发现
SQL注入漏洞
减少4%
,命令执行漏洞
占比增加8
%
;其他几种漏洞仅占总数的22%,这几种漏洞中,其他
漏洞占比8%、
设计缺陷/逻辑缺陷漏洞占比4%、
未授权访问/权限绕过漏洞占比4%、
xss跨站脚本攻击漏洞
占比2%
、敏感信息泄露漏洞占比1%、
任意文件遍历/下载漏洞占比1%、CSRF跨站请求伪造漏洞占比1%。
本
期
漏洞类型占比分布图如下:
图3 漏洞类型分布统计
经统计,后台弱口令漏洞在电信与互联网行业存在较为明显。同时
后台弱口令
漏洞
也是
本
期
漏洞类型统计中占比最多的漏洞,广大用户应加强对
后台弱口令
漏洞
的防范。
后台弱口令
漏洞
在各行业分布统计图如下:
图4
后台弱口令漏洞行业分布统计
本期通用型漏洞按影响对象类型统计
WEB应用漏洞360个
、操作系统漏洞112个
、应用程序漏洞32
、
安全产品漏洞18个、
数据库漏洞6个
、
网络设备漏洞5个、
智能设备漏洞2个
。
图5 漏洞影响对象类型统计图
二、本期通用型产品公告
1、Huawei产品安全漏洞
Huawei Honor V10是一款智能手机产品。Mate 10 Pro是一款智能手机。Huawei Mate 20 Pro是一款智能手机。Huawei AR1200是一款企业路由器。Huawei S12700是一款企业级交换机产品。Huawei P30是一款智能手机。Huawei P30 Pro是一款智能手机。Huawei M6是一款平板电脑。Huawei Gauss100 OLTP是一款华为的数据库系统。Huawei Honor V30是一款智能手机。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞进行未授权的操作,获取敏感信息,导致拒绝服务等。
收录的相关漏洞包括:多款Huawei产品拒绝服务漏洞(CNVD-2020-02948)、Huawei Mate 20 Pro授权问题漏洞、多款Huawei产品信息泄露漏洞(CNVD-2020-02963)、多款Huawei产品加密问题漏洞、多款Huawei产品数据伪造问题漏洞、多款Huawei产品路径遍历漏洞、Huawei Gauss100 OLTP数据库缓冲区溢出漏洞、Huawei Honor V30授权问题漏洞。其中,“多款Huawei产品拒绝服务漏洞(CNVD-2020-02948)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20200102-03-smartphone-cn
https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20191204-02-smartphone-cn
https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20191211-01-vrp-cn
https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20191204-01-vrp-cn
https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20191204-01-gauss100-cn
https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20200115-02-smartphone-cn
AppleiOS是一套为移动设备所开发的操作系统。Apple tvOS是一套智能电视操作系统。Apple macOS Mojave是一套专为Mac计算机所开发的专用操作系统。Apple macOS Mojave是一套专为Mac计算机所开发的专用操作系统。Apple Shortcuts for iOS是一套基于iOS平台的快捷应用。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过沙盒限制,提升权限,执行任意代码等。
收录的相关漏洞包括:多款Apple产品TrueTypeScaler组件越界读取漏洞、Apple iOS IOKit内存破坏漏洞、Apple iOS和Apple macOS Mojave IOKitSCSI组件内存破坏漏洞、Apple macOS Mojave AMD组件内存破坏漏洞、多款Apple产品MobileLockdown组件权限提升漏洞、Apple Shortcuts for iOS沙盒限制绕过漏洞、多款Apple产品Audio组件缓冲区溢出漏洞、Apple macOS Mojave IntelGraphics Driver组件任意代码执行漏洞(CNVD-2020-03212)。其中,除“多款Apple产品TrueTypeScaler组件越界读取漏洞、多款Apple产品Audio组件缓冲区溢出漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://support.apple.com/zh-cn/HT209599
https://support.apple.com/en-us/HT209520
https://support.apple.com/zh-cn/HT209599
https://support.apple.com/HT210119
https://support.apple.com/HT210122
https://support.apple.com/en-us/HT209522
https://support.apple.com/en-us/HT210604
https://support.apple.com/HT210119
GitLab是一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取未授权的访问权限,造成拒绝服务等。
收录的相关漏洞包括:GitLab代码问题漏洞(CNVD-2020-03032)、GitLab资源管理错误漏洞(CNVD-2020-03053)、GitLab访问控制错误漏洞(CNVD-2020-03058)、GitLab CE/EE信息泄露漏洞(CNVD-2020-03114)、GitLab CE/EE跨站脚本漏洞(CNVD-2020-03115)、GitLab访问控制错误漏洞(CNVD-2020-03229)、GitLab未授权访问漏洞(CNVD-2020-03230)、GitLab拒绝服务漏洞(CNVD-2020-03231)。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://about.gitlab.com/blog/2019/11/27/security-release-gitlab-12-5-1-released/
https://about.gitlab.com/blog/2018/12/31/security-release-gitlab-11-dot-6-dot-1-released/
https://about.gitlab.com/blog/2020/01/02/security-release-gitlab-12-6-2-released/
Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过内容安全策略限制,提升权限,执行任意代码,造成拒绝服务等。
收录的相关漏洞包括:Mozilla Firefox内存破坏漏洞(CNVD-2020-02973)、Mozilla Firefox安全绕过漏洞(CNVD-2020-02975)、Mozilla Firefox代码执行漏洞(CNVD-2020-02976)、多款Mozilla产品权限提升漏洞、Mozilla Firefox拒绝服务漏洞(CNVD-2020-03210)、Mozilla Firefox输入验证错误漏洞(CNVD-2020-03243)、多款Mozilla产品缓冲区溢出漏洞(CNVD-2020-03240)、多款Mozilla产品内存破坏漏洞(CNVD-2020-03241)。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.mozilla.org/en-US/security/advisories/mfsa2020-01/
https://www.mozilla.org/en-US/firefox/
https://bugzilla.mozilla.org/show_bug.cgi?id=817219
https://www.mozilla.org/en-US/security/advisories/mfsa2019-31/
5、Sony Catalyst ProductionSuite和Catalyst Browse权限提升漏洞
