正文
2019年04月29
日-2019年05月12日
本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞277个,其中高危漏洞78个、中危漏洞182个、低危漏洞17个。漏洞平均分值为5.63。本周收录的漏洞中,涉及0day漏洞136个(占49%),其中互联网上出现“TP-Link WDR Series命令注入漏洞、CyberArk Software CyberArk Endpoint Privilege Manager访问绕过漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数3387与上周(2245个)环比增长51%。
图1 CNVD收录漏洞近10周平均分值分布图
图
2 CNVD 0day漏洞总数按周统计
本周漏洞事件处置情况
本周,
CNVD向基础电信企业通报漏洞事件7起,向银行、保险、能源等重要行业单位通报漏洞事件44起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件478起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件24起。
图3 CNVD各行业漏洞处置情况按周统计
图4 CNCERT各分中心处置情况按周统计
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:
深圳出版集团有限公司、北京世纪长秋科技有限公司、北京东云创达科技有限公司、同方知网(北京)技术有限公司行业公司农业食品分社、深圳市显控科技股份有限公司、苏州汇川技术有限公司、哈尔滨新中新电子股份有限公司、江苏国泰新点软件有限公司、台州精迅信息技术有限公司、锐捷网络股份有限公司、北京神州数码云科信息技术有限公司、北京五指互联科技有限公司、北京火绒网络科技有限公司、重庆维普资讯有限公司、四川思途智旅软件有限公司、天津神州浩天科技有限公司、北京金方时代科技有限公司、湖南翱云网络科技有限公司、台湾永宏电机股份有限公司、北京山石网科信息技术有限公司、郑州路之易科技有限公司、深圳市英威腾电气股份有限公司、广州红帆科技有限公司、山西牛酷信息科技有限公司、厦门易尔通网络科技有限公司、深圳搜豹网络有限公司、国晋信息科技有限公司、上海岱牧网络有限公司、深圳个人数据管理服务有限公司、台安科技(无锡)有限公司、苏州烟火网络科技有限公司、永中软件股份有限公司、中铁二局集团新运工程有限公司、杭州帕拉迪网络科技有限公司、上海商创网络科技有限公司、沈阳盘古网络技术有限公司、北京中科网威信息技术有限公司、中交第二航务工程局有限公司、北京图灵开物技术有限公司、灵宝简好网络科技有限公司、成都华迈通信技术有限公司、微软(中国)有限公司、北京超星公司、辽宁民生智能仪表有限公司、太原迅易科技有限公司、哈尔滨巨耀网络科技有限公司、广州齐博网络科技有限公司、湖北中亿嘉讯传媒有限公司、湖南翱云网络科技有限公司、乐星产电(无锡)有限公司、深圳市显控科技股份有限公司、酷溜网(北京)科技有限公司、厦门美柚信息科技有限公司、成都天睿信息技术有限公司、湖南心艾网络科技有限公司、中华民国生物奥林匹亚委员会、和利时集团、中华民族图书馆、巨好用、鼎峰互动、雷风影视、飞飞影视导航系统(FeiFeiCms)、贴心猫(imcat)、壹凯巴cms、第一工作室、兔兔影视、施耐德(Schneider Electric)、树洞外链、飞飞影视导航系统、爱客影院、爱客CMS、优客365、zzzcms、TP3-CMS、PassFab、Magneto Software、CSZ-CMS、BigTree CMS、Hongcms。
本周漏洞报送情况统计
本周报送情况如表1所示。
其中,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、华为技术有限公司、深信服科技股份有限公司、新华三技术有限公司等单位报送公开收集的漏洞数量较多。任子行网络技术股份有限公司、长春嘉诚信息技术股份有限公司、国瑞数码零点实验室、内蒙古奥创科技有限公司、安徽锋刃信息科技有限公司、北京圣博润高新技术股份有限公司、中新网络信息安全股份有限公司、上海银基信息安全技术股份有限公司、山东云天安全技术有限公司、泰山信息科技有限公司、山东华鲁科技发展股份有限公司、南京联成科技发展股份有限公司、上海并擎软件科技有限公司、四川虹微技术有限公司(子午攻防实验室)、河南信安世纪科技有限公司、中金金融认证中心有限公司、山石网科通信技术股份有限公司、新疆海狼科技有限公司、河北华测信息技术有限公司、北京信联科汇科技有限公司、连连银通电子支付有限公司、深圳个人数据管理服务有限公司及其他个人白帽子向CNVD提交了3387个以事件型漏洞为主的原创漏洞,其中包括360网神(补天平台)和斗象科技(漏洞盒子)向CNVD共享的白帽子报送的2332条原创漏洞信息。
表1 漏洞报送情况统计表
本周漏洞按类型和厂商统计
本周,CNVD收录了277个漏洞。应用程序141个,WEB应用86个,网络设备(交换机、路由器等网络端设备)33个,操作系统12个,安全产品4个,智能设备(物联网终端设备)漏洞1个。
表2 漏洞按影响类型
图5 本周漏洞按影响类型分布
CNVD整理和发布的漏洞涉及Adobe、Google、IBM等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
表3 漏洞产品涉及厂商分布统计表
本周行业漏洞收录情况
本周,本周,CNVD收录了16个电信行业漏洞,9个移动互联网行业漏洞,4个工控行业漏洞(如下图所示)。其中,“Sierra Wireless AirLink ES450未授权密码修改漏洞、Siemens Industrial Products with OPC UA拒绝服务漏洞、Sierra Wireless AirLink ES450操作系统命令注入漏洞”的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
图6 电信行业漏洞统计
图7
移动互联网行业漏洞统计
图8 工控系统行业漏洞统计
本周重要漏洞安全告警
本周,CNVD整理和发布以下重要安全漏洞信息。
1、Adobe产品安全漏洞
Adobe Acrobat是一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是一款PDF文件阅读软件。本周,上述产品被披露存在堆溢出和越界读取漏洞,攻击者可利用漏洞获取信息,执行任意代码。
CNVD收录的相关漏洞包括:Adobe Acrobat和Reader堆溢出漏洞(CNVD-2019-12876、CNVD-2019-12878、CNVD-2019-12877)、Adobe Acrobat和Reader越界读取漏洞(CNVD-2019-12879、CNVD-2019-12881、CNVD-2019-12880、CNVD-2019-12883、CNVD-2019-12882)。其中,“Adobe Acrobat和Reader堆溢出漏洞(CNVD-2019-12876、CNVD-2019-12878、CNVD-2019-12877)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-12876
http://www.cnvd.org.cn/flaw/show/CNVD-2019-12878
http://www.cnvd.org.cn/flaw/show/CNVD-2019-12877
http://www.cnvd.org.cn/flaw/show/CNVD-2019-12879
http://www.cnvd.org.cn/flaw/show/CNVD-2019-12881
http://www.cnvd.org.cn/flaw/show/CNVD-2019-12880
http://www.cnvd.org.cn/flaw/show/CNVD-2019-12883
http://www.cnvd.org.cn/flaw/show/CNVD-2019-12882
2、Google产品安全漏洞
Google Chrome是一款Web浏览器。Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过seccomp,提升权限,在系统上执行任意代码等。
CNVD收录的相关漏洞包括:Google Android Broadcom组件远程代码执行漏洞(CNVD-2019-13570)、Google Android seccomp权限提升漏洞、Google Android NVIDIA Pixel C TrustZone组件权限提升漏洞、Google Android System heap.cc文件缓冲区溢出漏洞、Google Android System缓冲区溢出漏洞、Google Android System权限提升漏洞(CNVD-2019-13576)、Google Chrome V8内存破坏漏洞(CNVD-2019-13583)、Google Chrome V8越界读取漏洞(CNVD-2019-13585)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13570
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13572
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13571
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13574
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13573
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13576
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13583
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13585
3、IBM产品安全漏洞
IBM Content Navigator是美国IBM公司的一款Web客户机。IBM API Connect(APIConnect)是美国IBM公司的一套用于管理API生命周期的集成解决方案。IBM Jazz Reporting Service(JRS)是美国IBM公司的一套用于发现跨项目报表的应用程序。IBM Cúram Social Program Management(SPM)是美国IBM公司的一套社会计划管理解决方案。IBM TRIRIGA Application Platform是美国IBM公司的一套用于部署TRIRIGA应用的技术平台。IBM Emptoris Contract Management是美国IBM公司的一套可实现合同生命周期自动化的软件。IBM Business Process Manager是一套综合的业务流程管理平台。IBM Business Automation Workflow是一套工作流程自动化解决方案。IBM InfoSphere Information Server是美国IBM公司的一套数据整合平台。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行客户端代码等。
CNVD收录的相关漏洞包括:IBM Content Navigator输入验证漏洞、IBM API Connect信息泄露漏洞(CNVD-2019-12760)、IBM Jazz Reporting Service跨站脚本漏洞(CNVD-2019-13241)、IBM Cúram Social Program Management跨站请求伪造漏洞、IBM TRIRIGA Application Platform信息泄露漏洞(CNVD-2019-13385)、IBM Emptoris Contract Management信息泄露漏洞(CNVD-2019-13396)、IBM Business Automation Workflow和IBM Business Process Manager信息泄露漏洞、IBM InfoSphere Information Server提权漏洞。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-12761
http://www.cnvd.org.cn/flaw/show/CNVD-2019-12760
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13241
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13257
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13385
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13396
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13562
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13768
4、Sierra Wireless产品安全漏洞
Sierra Wireless AirLink ES450是一款蜂窝网络调制解调器设备。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行未授权操作,执行非法命令等。
CNVD收录的相关漏洞包括:Sierra Wireless AirLink ES450未授权密码修改漏洞、Sierra Wireless AirLink ES450操作系统命令注入漏洞、Sierra Wireless AirLink ES450信息泄露漏洞(CNVD-2019-13240、CNVD-2019-13242、CNVD-2019-13397、CNVD-2019-13407、CNVD-2019-13408)、Sierra Wireless AirLink ES450跨站请求伪造漏洞。其中,“Sierra Wireless AirLink ES450未授权密码修改漏洞、Sierra Wireless AirLink ES450操作系统命令注入漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13238
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13239
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13240
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13242
http://www.cnvd.org.cn/flaw/show/CNVD-2019-13397
