正文
2018年07月30
日-2018年08月05日
本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为
中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞273个,其中高危漏洞66个、中危漏洞203个、低危漏洞4个。漏洞平均分值为6.08。本周收录的漏洞中,涉及0day漏洞91个(占33%),其中互联网上出现“WordPress插件Responsive Thumbnail Slider任意文件上传漏洞、ShopNx任意文件上传漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数534个,与上周(807个)环比下降33%。
图1 CNVD收录漏洞近10周平均分值分布图
图2 CNVD 0day漏洞总数按周统计
本周漏洞事件处置情况
本周,CNVD向基础电信企业通报漏洞事件5起,向银行、证券、保险、能源等重要行业单位通报漏洞事件17起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件165起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件17起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件10起。
图3 CNVD各行业漏洞处置情况按周统计
图4 CNCERT各分中心处置情况按周统计
图5 CNVD教育行业应急组织处置情况按周统计
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:
太原国远天成网络科技有限公司、成都创新互联科技有限公司、泰兴精创网络有限公司、国通电子股份有限公司、深圳亦科网络有限公司、北京圣辉友联网络科技有限公司、安徽华易网络科技有限公司、汇中普惠财富投资管理(北京)有限公司、中国中铁二局四工程有限公司、成都天睿信息技术有限公司、宁波易龙计算机科技有限公司、国中医药有限责任公司、无锡易商科技有限公司、灵宝简好网络科技有限公司、中国航发北京航空材料研究院、海口易讯天空信息技术有限公司、海宁炎黄在线网络有限公司、上海觉策信息技术有限公司、国药控股股份有限公司、佳都新太科技股份有限公司、中国船舶重工集团应急预警与救援装备股份有限公司、江苏金智教育信息股份有限公司、北京天行网安信息技术有限责任公司、桂林崇胜网络科技有限公司、上海国云信息科技有限公司、长沙米拓信息技术有限公司、广州国微软件科技有限公司、惠普公司、山东浪潮易云在线科技有限公司、梅州市青云客网络科技有限公司、上海卓卓网络科技有限公司、北京玛格泰克科技发展有限公司、山东焕瑞钢材有限公司、温州龙诚互联科技有限公司、上海翱思网络科技有限公司、北京玛雅网络文化传播有限公司、海南大显科技有限公司、哈尔滨伟成科技有限公司、海南赞赞网络科技有限公司、浙江搜派信息科技有限公司、北京微海云商科技有限公司、龙脉网络科技有限公司、创造力互动媒体网页设计公司、揭阳市集科计算机网络有限公司、北京一采通信息科技有限公司、长沙翱云网络科技有限公司、青岛易软天创网络科技有限公司、上海茸易科技有限公司、广州瀚德网络科技有限公司、海洋CMS、PHPEMS、SIKCMS、Harmonic、MiniCMS、Lepus、Yxcms、zzzcms、ZZCMS、老班cms、锦尚中国源码论坛、乐尚商城开源系统、中国实事新闻社、科学技术交易与服务平台、品优影视、中国质量认证咨询网、海尔集团、广州日报报业集团、联想集团。
本周漏洞报送情况统计
本周报送情况如表1所示。其中,北京天融信网络安全技术有限公司、哈尔滨安天科技股份有限公司、华为技术有限公司、北京神州绿盟科技有限公司、新华三技术有限公司等单位报送公开收集的漏洞数量较多。山东云天安全技术有限公司、中新网络信息安全股份有限公司、北京国舜科技股份有限公司、南京联成科技发展股份有限公司、上海银基信息安全技术股份有限公司、上海观安信息技术股份有限公司、安徽锋刃信息科技有限公司、北京禹宏信安科技有限公司、河南信安世纪科技有限公司、上海零盾网络科技有限公司、河北盾安科技有限公司、河北网信智安信息技术有限公司及其他个人白帽子向CNVD提交了534个以事件型漏洞为主的原创漏洞,其中包括360网神(补天平台)和漏洞盒子向CNVD共享的白帽子报送的237条原创漏洞信息。
表1 漏洞报送情况统计表
本周漏洞按类型和厂商统计
本周,CNVD收录了273个漏洞。应用程序漏洞179个,网络设备漏洞59个,WEB应用漏洞26个,操作系统漏洞6个,安全产品漏洞2个,数据库漏洞1个。
表2 漏洞按影响类型统计表
图6 本周漏洞按影响类型分布
CNVD整理和发布的漏洞涉及Foxit、Cisco、Samsung等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
表3 漏洞产品涉及厂商分布统计表
本周行业漏洞收录情况
本周,CNVD收录了15个电信行业漏洞,8个移动互联网行业漏洞,4个工控行业漏洞(如下图所示)。其中,“Davolink DVW-3200N路由器弱密码漏洞、Cisco Nexus 3000和9000 Series Switches NX-OS拒绝服务漏洞、Android Qualcomm WLAN缓冲区溢出漏洞、WECON(维控)LeviStudioU栈堆缓冲区溢出漏洞、多款Cisco产品NX-OS Software CLI解析器输入验证漏洞”的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
图7 电信行业漏洞统计
图8 移动互联网行业漏洞统计
图9 工控系统行业漏洞统计
本周重要漏洞安全告警
本周,CNVD整理和发布以下重要安全漏洞信息。
1、Foxit产品安全漏洞
Foxit Reader(旧名:Foxit PDF Reader)是一套用来阅读PDF格式文件的软件。PhantomPDF是一个商业版。Foxit Reader是一套自由使用的软件,操作系统主要以Microsoft Windows为主,且只要有Win32执行环境的操作系统上皆可使用。本周,上述产品被披露存在内存错误引用和类型混淆远程代码执行漏洞,攻击者可利用漏洞执行任意代码。
CNVD收录的相关漏洞包括:Foxit Reader和PhantomPDF内存错误引用漏洞(CNVD-2018-14451)、Foxit Reader类型混淆远程代码执行漏洞(CNVD-2018-14460、CNVD-2018-14461、CNVD-2018-14462、CNVD-2018-14463、CNVD-2018-14464、CNVD-2018-14465、CNVD-2018-14466)。其中,“Foxit Reader和PhantomPDF内存错误引用漏洞(CNVD-2018-14451)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14451
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14460
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14461
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14462
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14463
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14464
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14465
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14466
2、Cisco产品安全漏洞
Cisco Firepower 4100 Series Next-Generation Firewalls是一款4100系列的防火墙设备。FXOS Software是一套运行在思科安全设备中的防火墙软件。NX-OS Software是运行在思科交换机设备中的一套数据中心级操作系统软件。Cisco MDS 9000 Series Multilayer Switches是一款9000系列的交换机设备。Nexus 2000 Series Fabric Extenders是一款Nexus 2000系列交换阵列扩展器。Cisco Nexus 3000和9000 Series Switches都是的不同系列的交换机设备。UCS 6200 Series Fabric Interconnects是一套专用于Cisco设备的交换机矩阵。Firepower 9300 Security Appliance是一款9300系列的安全设备。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码或发起拒绝服务攻击等。
CNVD收录的相关漏洞包括:多款Cisco产品FXOS Software和NX-OS Software Fabric Services组件拒绝服务漏洞(CNVD-2018-14569、CNVD-2018-14571)、多款Cisco产品NX-OS Software CLI解析器输入验证漏洞、Cisco Nexus 4000 Series Switch NX-OS输入验证漏洞、Cisco Nexus 3000和9000 Series Switches NX-OS拒绝服务漏洞、多款Cisco产品FXOS Software和UCS Fabric Interconnect Software CLI解析器输入验证漏洞、多款Cisco产品FXOS和UCS Fabric Interconnect Software输入验证漏洞、Cisco Firepower 4100 Series Next-Generation Firewall和Firepower 9300 Security Appliance路径遍历漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14569
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14571
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14570
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14576
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14579
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14580
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14577
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14581
3、Samsung产品安全漏洞
Samsung SmartThings Hub是韩国三星(Samsung)公司的一款智能家居管理设备。video-core HTTP server是其中的一个HTTP服务器。本周,上述产品被披露存在缓冲区溢出漏洞,攻击者可利用漏洞执行任意代码。
CNVD收录的相关漏洞包括:Samsung SmartThings Hub video-core HTTP服务器缓冲区溢出漏洞(CNVD-2018-14280、CNVD-2018-14281、CNVD-2018-14282、CNVD-2018-14283、CNVD-2018-14285、CNVD-2018-14284、CNVD-2018-14286、CNVD-2018-14287)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14280
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14281
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14282
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14283
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14285
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14284
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14286
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14287
4、Adobe产品安全漏洞
Adobe Acrobat是一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是一款PDF文件阅读软件。本周,该产品被披露存在越界读取漏洞,攻击者可利用漏洞获取敏感信息。
CNVD收录的相关漏洞包括:Adobe Acrobat和Reader越界读取漏洞(CNVD-2018-14480、CNVD-2018-14481、CNVD-2018-14482、CNVD-2018-14483、CNVD-2018-14484、CNVD-2018-14485、CNVD-2018-14486、CNVD-2018-14489)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14480
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14481
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14482
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14483
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14484
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14485
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14486
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14489
