正文
2019年04月15
日-2019年04月21日
本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞230个,其中高危漏洞96个、中危漏洞115个、低危漏洞19个。
漏洞平均分值为6.13。
本周收录的漏洞中,涉及0day漏洞122个(占53%),其中互联网上出现“Apache Axis代码执行漏洞、QCMS跨站请求伪造漏洞”等零日代码攻击漏洞。
本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1994与上周(1755个)环比增长14%。
图1 CNVD收录漏洞近10周平均分值分布图
图
2 CNVD 0day漏洞总数按周统计
本周漏洞事件处置情况
本周,
CNVD向基础电信企业通报漏洞事件26起,向银行、保险、能源等重要行业单位通报漏洞事件38起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件563起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件51起。
图3 CNVD各行业漏洞处置情况按周统计
图4 CNCERT各分中心处置情况按周统计
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:
广州齐博网络科技有限公司、安徽华易网络科技有限公司、北京火绒网络科技有限公司、中国建材检验认证集团股份有限公司、黑龙江艺通网络技术开发有限公司、宁波海曙橄榄树计算机科技有限公司、洪湖尔创网联信息技术有限公司、苏州烟火网络科技有限公司、北京动网天下科技有限公司、苏州烟火网络科技有限公司、北京动网天下科技有限公司、上海汉得信息技术股份有限公司、中国大唐集团科学技术研究院有限公司、深圳神州通达网络技术有限公司、山东城通科技有限公司、重庆远秋科技公司、江苏鑫跃科技有限公司、沧州市凡诺广告传媒有限公司、灵宝简好网络科技有限公司、深圳同天下科技有限公司、淄博闪灵网络科技有限公司、上海茸易科技有限公司、深圳市锟铻科技有限公司、华宝证券有限责任公司、湖南潭州教育网络科技有限公司、宁波在线网络信息有限公司、上海五五来客科技股份有限公司、天气网、中国船舶报社、中国经济体制改革研究会、中国通信标准化协会、快范之家、厦门大学附属第一医院、中国建筑工业出版社、浙江深大智能集团、中国测试科技资讯平台、易企CMS、DM建站系统、爱客CMS、鱼跃CMS、Z-Blog、zzzcms、GraphicsMagick Group、phpwind、KUNBUS、SchoolCMS、iCMS、HadSky。
本周,CNVD发布了《Oracle发布2019年2月的安全公告》、《关于Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞的安全公告》。
详情参见CNVD网站公告内容。
http://www.cnvd.org.cn/webinfo/show/4987
http://www.cnvd.org.cn/webinfo/show/4989
本周漏洞报送情况统计
本周报送情况如表1所示。
其中
,新华三技术有限公司、哈尔滨安天科技集团股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、深信服科技股份有限公司等单位报送公开收集的漏洞数量较多。
长春嘉诚信息技术股份有限公司、国瑞数码安全系统股份有限公司(国瑞数码零点实验室)、中新网络信息安全股份有限公司、安徽锋刃信息科技有限公司、任子行网络技术股份有限公司、上海并擎软件科技有限公司、北京圣博润高新技术股份有限公司、山东云天安全技术有限公司、南京联成科技发展股份有限公司、山石网科通信技术股份有限公司、广州竞远安全技术股份有限公司、福建国科信息科技有限公司-漏斗社区、内蒙古奥创科技有限公司、北京信联科汇科技有限公司、成都安美勤信息技术股份有限公司、广州万方计算机科技有限公司、广州昊达信息科技有限公司、广州思迈特软件有限公司、四川虹微技术有限公司(子午攻防实验室)及其他个人白帽子向CNVD提交了1994个以事件型漏洞为主的原创漏洞,其中包括360网神(补天平台)和斗象科技(漏洞盒子)向CNVD共享的白帽子报送的1354条原创漏洞信息。
表1 漏洞报送情况统计表
本周漏洞按类型和厂商统计
本周,CNVD收录了230个漏洞。WEB应用96个,应用程序88个,操作系统27个,数据库10个,网络设备(交换机、路由器等网络端设备)7个,智能设备(物联网终端设备)漏洞1个,安全产品1个。
表2 漏洞按影响类型统
图5 本周漏洞按影响类型分布
CNVD整理和发布的漏洞涉及Adobe、Microsoft、Joomla!等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
表3 漏洞产品涉及厂商分布统计表
本周行业漏洞收录情况
本周,本周,CNVD收录了14个电信行业漏洞,19个移动互联网行业漏洞,7个工控行业漏洞,(如下图所示)。其中,“Cisco IOS XE任意文件上传漏洞、Siemens SINEMA未经授权访问漏洞、Google Android System远程代码执行漏洞(CNVD-2019-10473)、Cisco IOS XE ETA拒绝服务漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
图6 电信行业漏洞统计
图7
移动互联网行业漏洞统计
图
8
工控系统行业漏洞统计
本周重要漏洞安全告警
本周,CNVD整理和发布以下重要安全漏洞信息。
1、Adobe产品安全漏洞
Adobe Bridge是一款免费数字资产管理应用程序。
Adobe Shockwave Player是一款多媒体播放器产品。
本周,上述产品被披露存在内存错误引用和内存破坏漏洞,攻击者可利用漏洞获取信息,执行任意代码。
CNVD收录的相关漏洞包括:
Adobe Bridge CC内存错误引用漏洞、Adobe Shockwave Player内存破坏漏洞(CNVD-2019-10620、CNVD-2019-10621、CNVD-2019-10623、CNVD-2019-10622、CNVD-2019-10625、CNVD-2019-10624、CNVD-2019-10626)。
上述漏洞的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-09858
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10620
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10621
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10623
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10622
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10625
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10624
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10626
2、Microsoft产品安全漏洞
Windows是美国微软公司研发的一套操作系统,Windows采用了图形化模式GUI。
Microsoft Internet Explorer(IE)是一款Windows操作系统附带的Web浏览器。
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码,造成内存破坏。
CNVD收录的相关漏洞包括:
Microsoft Windows Win32k权限提升漏洞(CNVD-2019-10041、CNVD-2019-10043、CNVD-2019-10042)、Microsoft Internet Explorer VBScript引擎远程代码执行漏洞、Microsoft Internet Explorer脚本引擎内存破坏漏洞(CNVD-2019-10617、CNVD-2019-10616)、Microsoft Internet Explorer VBScript引擎远程代码执行漏洞(CNVD-2019-10619、CNVD-2019-10618)。
上述漏洞的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10041
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10043
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10042
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10615
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10617
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10616
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10619
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10618
3、Cisco产品安全漏洞
Cisco IOS XE是一个基于Linux内核的模块化操作系统。
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,以root用户身份执行任意命令或造成拒绝服务。
CNVD收录的相关漏洞包括:
Cisco IOS XE命令注入漏洞(CNVD-2019-10454、CNVD-2019-10460、CNVD-2019-10462)、Cisco IOS XE权限提升漏洞(CNVD-2019-10455、CNVD-2019-10463)、Cisco IOS XE ETA拒绝服务漏洞、Cisco IOS XE任意文件上传漏洞、Cisco IOS XE信息泄露漏洞。
其中,除“Cisco IOS XE信息泄露漏洞、Cisco IOS XE命令注入漏洞(CNVD-2019-10462)”外,其余漏洞的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10454
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10455
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10458
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10459
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10460
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10461
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10462
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10463
4、Oracle产品安全漏洞
Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。
MySQL Server是其中的一个数据库服务器组件。
本周,该产品被披露存在拒绝服务漏洞,攻击者可利用漏洞造成拒绝服务(挂起或频繁崩溃),影响数据的可用性。
CNVD收录的相关漏洞包括:
Oracle MySQL Server拒绝服务漏洞(CNVD-2019-10367、CNVD-2019-10369、CNVD-2019-10368、CNVD-2019-10372、CNVD-2019-10374、CNVD-2019-10373、CNVD-2019-10376、CNVD-2019-10375)。
其中,除“Oracle MySQL Server拒绝服务漏洞(CNVD-2019-10367、CNVD-2019-10369、CNVD-2019-10372)”外,其余漏洞的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10367
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10369
http://www.cnvd.org.cn/flaw/show/CNVD-2019-10368
