第109期
(
2019.11.4-2019.11.10)
本周轩辕攻防实验室共收集、整理信息安全漏洞2590个,其中高危漏洞1399个、中危漏洞1061个、低危漏洞130个,较上周相比较增加282个,同比增加11%。据统计发现sql注入
漏洞
是本周占比最大的漏洞。
图1 近7周漏洞数量分布图
根据监测结果,本周轩辕攻防实验室共整理漏洞
2590
个,其中其他行业1163个、电信与互联网行业360个
、工业制造行业318个
、教育行业303个、政府部门行业133个
、医疗卫生行业109个
、商业平台行业54个
、交通行业49个、环境保护行业32个、能源行业22个
、金融行业20个
、市政行业12个
、新闻网站行业11个
、水利2个
、广播电视行业2个,分布统计图如下所示:
图2 行业类型数量统计
本周漏洞类型分布统计
本周监测共有漏洞
2590
个,其中,漏洞数量位居首位的是SQL注入漏洞占比43%,漏洞数量位居第二的是
后台弱口令漏洞
占比为18%,位居第三的是
其他漏洞
占比17%
,这三种漏洞数量就占总数
78
%,与上周相比较,发现SQL注入漏洞增加2%,
后台弱口令漏洞
数量占比增加8%
,
其他漏洞
占比
增加2%;其他几种漏洞仅占总数的22%,这几种漏洞中,敏感信息泄露漏洞占比5%、
xss跨站脚本攻击漏洞
占比5%
、命令执行漏洞占比2%、未授权访问/权限绕过占比1%
、任意文件遍历/下载漏洞占比1%、设计缺陷/逻辑缺陷漏洞占比1%、CSRF跨站请求伪造占比1%。本周漏洞类型占比分布图如下:
图3 漏洞类型分布统计
经统计,sql
注入漏洞
在电信与互联网行业存在较为明显。同时sql
注入漏洞
也是本周漏洞类型统计中占比最多的漏洞,广大用户应加强对sql
注入漏洞
的防范。sql
注入漏洞
在各行业分布统计图如下:
图4
sql注入
漏洞行业分布统计
本周通用型漏洞按影响对象类型统计
WEB应用漏洞893个
、操作系统漏洞61个
、应用程序漏洞57个
、数据库漏洞47个
、网络设备漏洞13个
、安全产品漏洞11个
、智能设备漏洞4
个。
图5 漏洞影响对象类型统计图
二、本周通用型产品公告
1、Cisco产品安全漏洞
Cisco Enterprise NFV Infrastructure Software是一款轻量级虚拟化平台,将完整的VM生命周期管理、监控、设备可编程性及服务链集成在了一个可安装的软件包中。Cisco Aironet AP是一系列访问接入点产品。Cisco Video Communications Server(VCS)是一款用于视频会议解决方案的视频通信服务器。Cisco Enterprise Chat andEmail(CEC)是一套企业聊天和电子邮件解决方案。Cisco Wireless LAN Controller(WLC)Software是一套用于配置和管理WLC(无线局域网控制器)的软件。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞执行任意命令,造成拒绝服务。
收录的相关漏洞包括:Cisco Enterprise NFVInfrastructure Software命令注入漏洞(CNVD-2019-38848、CNVD-2019-38855)、Cisco Enterprise NFVInfrastructure Software任意文件读写漏洞、Cisco Enterprise NFVInfrastructure Software VNC认证绕过漏洞、Cisco Aironet Access PPTP拒绝服务漏洞、Cisco Video Communications Server命令注入漏洞、Cisco Enterprise Chat and Email跨站脚本漏洞(CNVD-2019-39701)、Cisco Wireless LANController Software输入验证错误漏洞(CNVD-2019-39768)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvm76628
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190703-nfvis-file-readwrite
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190703-nfvis-commandinj
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-nfvis-vnc-authbypass
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-pptp-dos
https://www.cisco.com/c/dam/en/us/td/docs/telepresence/infrastructure/vcs/release_note/Cisco_VCS_Release_Note_X7-0-3.pdf
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvo85826
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-wlc-dos
MicrosoftInternet Explorer(IE)是一款Windows操作系统附带的Web浏览器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞以当前用户的权限运行任意代码。
收录的相关漏洞包括:Microsoft InternetExplorer脚本引擎内存破坏漏洞(CNVD-2019-39009、CNVD-2019-39013、CNVD-2019-39011、CNVD-2019-39012、CNVD-2019-39014、CNVD-2019-39015)、Microsoft InternetExplorer VBScript引擎缓冲区溢出漏洞(CNVD-2019-39010)、Microsoft Internet Explorer VBScript引擎远程内存破坏漏洞(CNVD-2019-39018)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1221
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1236
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1004
http://www.cnvd.org.cn/flaw/show/CNVD-2019-39011
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1194
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1056
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1059
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8619
ChromeOS是美国谷歌(Google)的一套基于Web的轻量型开源操作系统。Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,造成拒绝服务。
收录的相关漏洞包括:GoogleAndroid Framework拒绝服务漏洞(CNVD-2019-38873)、Google Android Framework权限提升漏洞(CNVD-2019-38878、CNVD-2019-38881、CNVD-2019-38882、CNVD-2019-38883、CNVD-2019-39720)、GoogleChrome OS Imagination Technologies driver输入验证错误漏洞、Google Android System缓冲区溢出漏洞(CNVD-2019-39716)。其中,除“Google Android Framework权限提升漏洞(CNVD-2019-38878、CNVD-2019-38881、CNVD-2019-38882)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://source.android.com/security/bulletin/android-q.html
https://source.android.com/security/bulletin/2019-08-01.html
https://bugs.chromium.org/p/chromium/issues/detail?id=960106
IBM Cloud Orchestrator是一套为云管理解决方案。IBM API Connect(APIConnect)是一套用于管理API生命周期的集成解决方案。IBM OpenPages GRC Platform是一套用于管理企业风险和合规性的平台。IBM InfoSphere Information Server是美一套数据整合平台。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,向Web UI中注入任意的JavaScript代码。
收录的相关漏洞包括:IBMCloud Orchestrator跨站脚本漏洞、IBMCloud Orchestrator信息泄露漏洞(CNVD-2019-39203、CNVD-2019-39207)、IBMCloud Orchestrator路径遍历漏洞、IBMAPI Connect信息泄露漏洞(CNVD-2019-39355)、IBM OpenPages GRC Platform跨站脚本漏洞(CNVD-2019-39353)、IBMOpenPages GRC Platform信息泄露漏洞(CNVD-2019-39354)、IBM InfoSphere Information Server跨站脚本漏洞(CNVD-2019-39757)。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
https://www.ibm.com/support/pages/security-bulletin-ibm-cloud-orchestrator-and-ibm-cloud-orchestrator-enterprise-edition-affected-asoc-vulnerability-cve-2019-4459
https://www.ibm.com/support/pages/node/1077147
https://www.ibm.com/support/pages/node/1077129
https://www.ibm.com/support/pages/node/1097307
https://www.ibm.com/support/pages/node/1079127
https://www.ibm.com/support/pages/security-bulletin-ibm-openpages-grc-platform-affected-stored-cross-site-scripting
https://www.ibm.com/support/pages/security-bulletin-ibm-openpages-grc-platform-affected-information-disclosure-vulnerability
https://www.ibm.com/support/pages/node/959637
