正文
2018年11月05
日-2018年11月11日
本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为
中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞172个,其中高危漏洞70个、中危漏洞89个、低危漏洞13个。漏洞平均分值为6.30。本周收录的漏洞中,涉及0day漏洞47个(占27%),其中互联网上出现“Foscam Opticam i5栈缓冲区溢出漏洞、Shipping System CMS SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1228个,与上周(1005个)环比增长18%。
图1 CNVD收录漏洞近10周平均分值分布图
图2 CNVD 0day漏洞总数按周统计
本周漏洞事件处置情况
本周,CNVD向基础电信企业通报漏洞事件0起,向银行、证券、保险、能源等重要行业单位通报漏洞事件28起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件256起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件60起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件19起。
图3 CNVD各行业漏洞处置情况按周统计
图4 CNCERT各分中心处置情况按周统计
图5 CNVD教育行业应急组织处置情况按周统计
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:
灵宝简好网络科技有限公司、上海卓卓网络科技有限公司、哈尔滨伟成科技有限公司、黄石市科威自控有限公司、陕西融达信息科技有限公司 、北京慈记网络科技有限公司、上海岱牧网络有限公司、淄博闪灵网络科技有限公司、长沙翱云网络科技有限公司、洪湖尔创网联信息技术有限公司、上海岱牧网络有限公司、北京海腾时代科技有限公司、成都康菲顿特网络科技有限公司、优肯数位媒体有限公司、北京百容千域软件技术开发有限责任公司、山东有鸿信息科技有限公司、宿迁鑫潮信息技术有限公司、北京后盾计算机技术培训有限责任公司、北京互动百科网络技术股份有限公司、北京江民新科技术有限公司、镇江市云优网络科技有限公司、无锡夸微科技有限公司、北京新启科技有限公司、金山软件股份有限公司、河源市众大文化传媒有限公司、互动在线(北京)科技有限公司、成都九安科技有限公司、苏州联康网络有限公司、阜阳市心品网络科技有限公司、成都龙兵科技有限公司、淇晨科技公司、南京云化通网络科技有限公司、中国电子系统工程第二建设有限公司、南充春杰工作室、地方网络工作室、西安小六网络科技工作室、Zzzcms、信呼、小钱袋、LaySNS、移动物联网实验室、Zcncms、雷风影视、Zzcms、大米cms、计量学报、Phpyun、HDCMS、视觉江西-中国江西网、中国通信标准化协会。
本周,CNVD发布了《关于Apache Struts2 Commons FileUpload反序列化远程代码执行漏洞的安全公告》。详情参见CNVD网站公告内容。
http://www.cnvd.org.cn/webinfo/show/4751
本周漏洞报送情况统计
本周报送情况如表1所示。其中,北京天融信网络安全技术有限公司、北京启明星辰信息安全技术有限公司、哈尔滨安天科技股份有限公司、新华三技术有限公司、华为技术有限公司等单位报送公开收集的漏洞数量较多。山东云天安全技术有限公司、远江盛邦(北京)网络安全科技股份有限公司、北京圣博润高新技术股份有限公司、任子行网络技术股份有限公司、中新网络信息安全股份有限公司、河南信安世纪科技有限公司、长春嘉诚信息技术股份有限公司、河北盾安科技有限公司、南京联成科技发展股份有限公司、内蒙古奥创科技有限公司、上海揆安网络科技有限公司、海南神州希望网络有限公司、山石网科通信技术有限公司、上海启疆信息科技有限公司、北京安码科技有限公司、北京信联科汇科技有限公司、浙江鹏信信息科技股份有限公司及其他个人白帽子向CNVD提交了1228个以事件型漏洞为主的原创漏洞,其中包括360网神(补天平台)和漏洞盒子向CNVD共享的白帽子报送的817条原创漏洞信息。
表1 漏洞报送情况统计表
本周漏洞按类型和厂商统计
本周,CNVD收录了172个漏洞。应用程序漏洞68个,操作系统漏洞62个,网络设备漏洞26个,WEB应用漏洞12个,数据库漏洞4个。
表2 漏洞按影响类型统计表
图6 本周漏洞按影响类型分布
CNVD整理和发布的漏洞涉及Google、IBM、Apple等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
表3 漏洞产品涉及厂商分布统计表
本周行业漏洞收录情况
本周,CNVD收录了3个电信行业漏洞,55个移动互联网行业漏洞,3个工控行业漏洞(如下图所示)。其中,“多款Apple产品Kernel代码执行漏洞、Cisco WebEx Meetings Server XML外部实体注入漏洞、Google Android Framework权限提升漏洞(CNVD-2018-22760)、Apple iOS IOHIDFamily远程代码执行漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
图7 电信行业漏洞统计
图
8 移动互联网行业漏洞统计
图9 工控系统行业漏洞统
计
本周重要漏洞安全告警
本周,CNVD整理和发布以下重要安全漏洞信息。
1、Google产品安全漏洞
安卓(Android)是一种基于Linux的自由及开放源代码的操作系统,由谷歌公司和开放手机联盟领导及开发。本周,上述产品被披露存在权限提升漏洞,攻击者可利用漏洞提升权限。
CNVD收录的相关漏洞包括:Google Android Framework权限提升漏洞(CNVD-2018-22761、CNVD-2018-22760、CNVD-2018-22762、CNVD-2018-22763、CNVD-2018-22764、CNVD-2018-22766、CNVD-2018-22765)、Google Android Media framework权限提升漏洞(CNVD-2018-22767)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22761
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22760
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22762
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22763
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22764
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22766
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22765
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22767
2、IBM产品安全漏洞
IBM Robotic Process Automation with Automation Anywhere是一套流程自动化解决方案。IBM DB2是一套关系型数据库管理系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取root访问权限,覆盖系统上的文件,破坏数据库,执行任意代码等。
CNVD收录的相关漏洞包括:IBM Robotic Process Automation with Automation Anywhere信息泄露漏洞(CNVD-2018-22535、CNVD-2018-22536)、IBM Robotic Process Automation with Automation Anywhere远程代码执行漏洞、IBM DB2权限访问控制漏洞、IBM DB2提权漏洞(CNVD-2018-22924、CNVD-2018-22925、CNVD-2018-22927、CNVD-2018-22926)。其中,“IBM Robotic Process Automation with Automation Anywhere远程代码执行漏洞、IBM DB2权限访问控制漏洞、IBM DB2提权漏洞(CNVD-2018-22925、CNVD-2018-22926)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22535
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22536
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22538
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22923
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22924
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22925
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22927
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22926
3、Apple产品安全漏洞
Apple iOS是为移动设备所开发的一套操作系统;tvOS是一套智能电视操作系统;watchOS是一套智能手表操作系统。Apple macOS Sierra、macOS High Sierra和macOS Mojave都是专为Mac计算机所开发的不同版本的专用操作系统。Apple Support for iOS是一款基于iOS系统的在线支持应用程序。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,以系统权限执行任意代码(内存破坏)。
CNVD收录的相关漏洞包括:多款Apple产品Kernel代码执行漏洞、Apple macOS Sierra、macOS High Sierra和macOS Mojave dyld权限提升漏洞、Apple macOS Sierra、macOS High Sierra和macOS Mojave IOGraphics代码执行漏洞、Apple macOS Sierra、macOS High Sierra和macOS Mojave Kernel代码执行漏洞、Apple macOS Mojave Kernel缓冲区溢出漏洞、Apple macOS High Sierra Grand Central Dispatch代码执行漏洞、Apple iOS IOHIDFamily远程代码执行漏洞、Apple Support for iOS Analytics信息泄露漏洞。其中,除“Apple Support for iOS Analytics信息泄露漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22528
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22530
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22529
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22532
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22531
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22533
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22534
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22570
4、Mozilla产品安全漏洞
Mozilla Firefox是一款开源Web浏览器。Firefox ESR是Firefox的一个延长支持版本。Mozilla Firefox for Android是一款基于Android平台的开源Web浏览器。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码等。
CNVD收录的相关漏洞包括:Mozilla Firefox混合内容漏洞、Mozilla Firefox ESR存在多个内存破坏漏洞、Mozilla Firefox for Android信息泄露漏洞、Mozilla Firefox欺骗漏洞、Mozilla Firefox和Firefox ESR权限提升漏洞、Mozilla Firefox和Firefox ESR未授权访问漏洞、Mozilla Firefox和Firefox ESR任意代码执行漏洞(CNVD-2018-22936、CNVD-2018-22935)。其中,“Mozilla Firefox ESR存在多个内存破坏漏洞、Mozilla Firefox和Firefox ESR权限提升漏洞、Mozilla Firefox和Firefox ESR任意代码执行漏洞(CNVD-2018-22936、CNVD-2018-22935)”的综合评级为“高危”。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22929
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22930
http://www.cnvd.org.cn/flaw/show/CNVD-2018-22932
