CNVD漏洞周报2018年第22期

以下内容转载自公众号：CNVD漏洞平台

微信号：CNVDTS

2018年05月28 日-2018年06月03日

本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为 中 。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞309个，其中高危漏洞127个、中危漏洞165个、低危漏洞17个。漏洞平均分值为6.31。本周收录的漏洞中，涉及0day漏洞81个（占26%），其中互联网上出现“D-Link DSL-3782 Login Panel未授权操作漏洞、Samsung S7 Edge整数溢出漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数465个，与上周（458个）环比增长2%。

图1 CNVD收录漏洞近10周平均分值分布图

图2 CNVD 0day漏洞总数按周统计

本周漏洞事件处置情况

本周，CNVD向基础电信企业通报漏洞事件2起，向银行、证券、保险、能源等重要行业单位通报漏洞事件20起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件233起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件91起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件10起。

图3 CNVD各行业漏洞处置情况按周统计

图4 CNCERT各分中心处置情况按周统计

图5 CNVD教育行业应急组织处置情况按周统计

此外，CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞，具体处置单位情况如下所示：

中国铁建股份有限公司、上海茸易科技有限公司、太原迅易科技有限公司、浙江宇视科技有限公司、广州凡科互联网科技股份有限公司、济南泰创软件科技有限公司、北京腾控科技有限公司、北京天亚科创软件有限公司、北京四方继保自动化股份有限公司、上海锦豹网络科技有限公司、北京如易行科技有限公司、北京网笑信息技术有限公司、广州国微软件科技有限公司、深圳市乐宜科技有限公司、北京友缘在线网络科技股份有限公司、深圳市掌动科技有限公司、中视前卫影视传媒有限公司、海南创想未来文化传媒有限公司、快范之家、中国疾病预防控制中心、中国林学会、校无忧科技、phpaacms、中国教科文卫体工会全国委员会。

本周漏洞报送情况统计

本周报送情况如表1所示。其中，蓝盾信息安全技术有限公司、沈阳东软系统集成工程有限公司、哈尔滨安天科技股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司等单位报送公开收集的漏洞数量较多。南京联成科技发展股份有限公司、四川虹微技术有限公司（子午攻防实验室）、中新网络信息安全股份有限公司、上海观安信息技术股份有限公司、广州万方计算机科技有限公司、济南三泽信息安全测评有限公司、北京明朝万达科技股份有限公司（安元实验室）、山东省网络与信息安全测评中心及其他个人白帽子向CNVD提交了465个以事件型漏洞为主的原创漏洞，其中包括360网神（补天平台）和漏洞盒子向CNVD共享的白帽子报送的183条原创漏洞信息。

表1 漏洞报送情况统计表

本周漏洞按类型和厂商统计

本周，CNVD收录了309个漏洞。其中应用程序漏洞194个，WEB应用漏洞53个，操作系统漏洞31个，网络设备漏洞18个，数据库漏洞10个，安全产品漏洞3个。

表2 漏洞按影响类型统计表

图 6 本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及Microsoft、IBM、Google等多家厂商的产品，部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

本周行业漏洞收录情况

本周，CNVD收录了12个电信行业漏洞，28个移动互联网行业漏洞，16个工控行业漏洞（如下图所示）。其中，“DCCE MAC1100PLC存在远程代码上传漏洞、Advantech WebAccess栈缓冲区溢出漏洞（CNVD-2018-10713）、Google AndroidSystem权限提升漏洞（CNVD-2018-10692）、eVestigator ForensicPenTester远程代码执行漏洞、IBM DB2 for Linux、UNIX和Windows缓冲区溢出漏洞”的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接： http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接： http://mi.cnvd.org.cn/

工控系统行业漏洞链接： http://ics.cnvd.org.cn/

图 7 电信行业漏洞统计

图 8 移动互联网行业漏洞统计

图9 工控行业漏洞统计

本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1 、 Google 产品安全漏洞

Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。本周，上述产品被披露存在权限提升漏洞，攻击者可利用漏洞提升权限。

CNVD收录的相关漏洞包括：Google AndroidQualcomm组件权限提升漏洞（CNVD-2018-10681、CNVD-2018-10682、CNVD-2018-10683、CNVD-2018-10684、CNVD-2018-10685、CNVD-2018-10686、CNVD-2018-10687、CNVD-2018-10688），上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10681

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10682

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10683

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10684

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10685

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10686

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10687

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10688

2 、 Microsoft 产品安全漏洞

MicrosoftExchange Server是美国微软（Microsoft）公司的一套电子邮件服务程序。MicrosoftOffice 2010 SP2是一款办公软件套件产品。Excel 2010 SP2是Office套件中的一套电子表格处理软件。Microsoft Edge是一款流行的WEB浏览器。本周，上述产品被披露存在远程代码执行、内存破坏和权限提升漏洞，攻击者可利用漏洞执行任意代码、提升权限等。

CNVD收录的相关漏洞包括：MicrosoftOffice远程代码执行漏洞（CNVD-2018-10431、CNVD-2018-10439、CNVD-2018-10440）、MicrosoftExcel远程代码执行漏洞（CNVD-2018-10432、CNVD-2018-10433）、Microsoft Edge脚本引擎远程内存破坏漏洞（CNVD-2018-10735、CNVD-2018-10736）、MicrosoftExchange Server权限提升漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10431

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10439

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10440

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10432

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10433

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10735

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10736

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10434

3 、 Adobe 产品安全漏洞

Adobe Reader是美国Adobe公司开发的一款PDF文件阅读软件。Adobe Acrobat是由Adobe公司开发的一款PDF编辑软件。本周，上述产品被披露存在内存错误引用漏洞，攻击者可利用该漏洞执行任意代码。

CNVD收录的相关漏洞包括：AdobeAcrobat/Reader内存错误引用漏洞（CNVD-2018-10460、CNVD-2018-10461、CNVD-2018-10462、CNVD-2018-10463、CNVD-2018-10464、CNVD-2018-10465、CNVD-2018-10466、CNVD-2018-10467）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10460

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10461

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10462

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10463

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10464

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10465

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10466

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10467

4 、 IBM 产品安全漏洞

IBM FlashSystem产品是将数据存储在闪存上的企业计算机数据存储系统。 IBM DB2是美国IBM公司的一套关系型数据库管理系统。IBM UrbanCodeDeploy（UCD）是美国IBM公司的一套应用自动化部署工具。本周，该产品被披露存在多个漏洞，攻击者可利用漏洞泄露敏感信息或执行任意代码等。

CNVD收录的相关漏洞包括：IBM DB2 for Linux、UNIX和Windows缓冲区溢出漏洞、IBM DB2缓冲区溢出漏洞（CNVD-2018-10801、CNVD-2018-10804、CNVD-2018-10805）、IBMFlashSystem任意文件覆盖漏洞、IBM Security QRadar SIEM SQL注入漏洞（CNVD-2018-10458）、IBM SecurityQRadar SIEM目录遍历漏洞（CNVD-2018-10457）、IBM UrbanCode Deploy信息泄露漏洞（CNVD-2018-10455），上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10563

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10801

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10804