第117期
(
2019.12.30-2020.1.5)
本周轩辕攻防实验室共收集、整理信息安全漏洞1940个,其中高危漏洞700个、中危漏洞949
个、低危漏洞291个,较上周相比较增加1个,同比增加5.15%。据统计发现其他
漏洞
是本周占比最大的漏洞。
图1 近7周漏洞数量分布图
根据监测结果,本周轩辕攻防实验室共整理漏洞
1940
个,
其中其他行业608个、电信与互联网行业513个
、
工业制造行业295个、教育行业191个
、
政府部门行业95个
、
医疗卫生行业92个
、
商业平台行业47个、
环境保护行业26个
、交通行业24个
、
金融行业18个、
能源行业15个
、
市政行业6个、
广播电视行业6个
、水利行业3个
、
新闻网站行业1个
,分布统计图如下所示:
图2 行业类型数量统计
本周漏洞类型分布统计
本周监测共有漏洞
1940
个,其中,漏洞数量位居首位的是
其他漏洞占比24%
,漏洞数量位居第二的是
后台弱口令漏洞
占比20%
,位居第三的是
SQL注入漏洞占比为18%
,这三种漏洞数量就占总数62
%,与上周相比较,
其他漏洞
占比增加15
%
,
后台弱口令漏洞
数量占比增加5%
,发现
SQL注入漏洞
漏洞减少11%;其他几种漏洞仅占总数的38%,这几种漏洞中,敏感信息泄露漏洞占比15%、
xss跨站脚本攻击漏洞
占比13%
、
未授权访问/权限绕过漏洞占比5%
、
命令执行漏洞占比2%、
设计缺陷/逻辑缺陷漏洞占比1%
、任意文件遍历/下载漏洞占比1%、CSRF跨站请求伪造漏洞占比1%。本周漏洞类型占比分布图如下:
图3 漏洞类型分布统计
经统计,
其他
漏洞在电信与互联网行业存在较为明显。同时
其他
漏洞
也是本周漏洞类型统计中占比最多的漏洞,广大用户应加强对
其他
漏洞
的防范。
其他
漏洞
在各行业分布统计图如下:
图4
其他漏洞行业分布统计
本周通用型漏洞按影响对象类型统计
WEB应用漏洞568个
、操作系统漏洞365个
、应用程序漏洞59个
、
数据库漏洞21个
、
网络设备漏洞15个、安全产品漏洞14个
、
智能设备漏洞1个
。
图5 漏洞影响对象类型统计图
二、本周通用型产品公告
1、Linux产品安全漏洞
Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。Marvell WiFi chip driver是其中的的一个WiFi芯片驱动程序。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致缓冲区溢出,造成内核异常。
收录的相关漏洞包括:Linuxkernel内存错误引用漏洞(CNVD-2019-46994、CNVD-2019-47002)、Linuxkernel缓冲区溢出漏洞(CNVD-2019-46998、CNVD-2019-47005)、Linuxkernel输入验证错误漏洞(CNVD-2019-47001)、Linux Kernel堆缓冲区溢出漏洞(CNVD-2019-47003)、Linuxkernel Marvell WiFi chip driver缓冲区溢出漏洞、LinuxKernel 'marvell/mwifiex/scan.c'文件缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=56cd26b618855c9af48c8301aa6754ced8dd0beb
https://patchwork.kernel.org/patch/11257535/
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ad6759fbf35d104dbf573cd6f4c6784ad6823f7e
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=1b5e2423164b3670e8bc9174e4762d297990deff
https://lore.kernel.org/patchwork/patch/1142523/
HuaweiP30、Mate 9 Pro、AR1200和P20等都是中国华为(Huawei)公司的一款智能手机。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取受影响组件敏感信息,执行恶意代码等。
收录的相关漏洞包括:HuaweiP30、Huawei P30 Pro和Honor Princeton-AL10B条件竞争漏洞、Huawei Mate 9 Pro信息泄露漏洞(CNVD-2019-41253)、多款Huawei产品FRP绕过漏洞、多款Huawei产品数字签名校验绕过漏洞、HuaweiEmily-L29C信息泄露漏洞、Huawei P20访问控制不当漏洞、Huawei P20文件管理不当漏洞、Huawei P30、Mate20和P30 Pro缓冲区溢出漏洞。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20190911-01-smartphone-cn
https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20190220-01-informationleak-cn
https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20180822-01-frpbypass-cn
https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20190320-01-ar-cn
https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20191030-02-smartphone-cn
https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20191113-01-share-cn
https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20191113-02-share-cn
https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20190821-02-smartphone-cn
Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行代码。
收录的相关漏洞包括:Google Android System组件提权漏洞、Google Android System组件缓冲区溢出漏洞(CNVD-2019-41732)、Google Android System组件信息泄露漏洞(CNVD-2019-41735)、Google Android Framework组件权限提升漏洞(CNVD-2019-41736、CNVD-2019-41737)、Google Android Library缓冲区溢出漏洞、Google Android缓冲区溢出漏洞(CNVD-2019-41738)、Google Android权限提升漏洞(CNVD-2019-41901)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://source.android.com/security/bulletin/2019-11-01
Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。本周,上述产品被披露存在内存泄露漏洞,攻击者可利用漏洞造成拒绝服务(内存消耗)。
收录的相关漏洞包括:Linux kernel内存泄露漏洞(CNVD-2019-41709、CNVD-2019-41710、CNVD-2019-41711、CNVD-2019-41712、CNVD-2019-41713、CNVD-2019-41714、CNVD-2019-41716、CNVD-2019-41717)。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://github.com/torvalds/linux/commit/6f3ef5c25cc762687a7341c18cbea5af54461407
https://github.com/torvalds/linux/commit/0f4f199443faca715523b0659aa536251d8b978f
https://github.com/torvalds/linux/commit/d10dcb615c8e29d403a24d35f8310a7a53e3050c
https://github.com/torvalds/linux/commit/b4b814fec1a5a849383f7b3886b654a13abbda7d
https://github.com/torvalds/linux/commit/db8fd2cde93227e566a412cf53173ffa227998bc
https://github.com/torvalds/linux/commit/1399c59fa92984836db90538cf92397fe7caaa57
https://github.com/torvalds/linux/commit/c03b04dcdba1da39903e23cc4d072abf8f68f2dd
https://github.com/torvalds/linux/commit/fb5be6a7b4863ecc44963bb80ca614584b6c7817
5、IBM Maximo AssetManagement权限提升漏洞
