CNVD漏洞周报2017年第33期-湖南省互联网应急中心
2017年08月07日-2017年08月13日
本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞302个,其中高危漏洞107个、中危漏洞188个、低危漏洞7个。漏洞平均分值为6.23。本周收录的漏洞中,涉及0day漏洞169个(占56%),其中互联网上出现“MotorolaMX011ANM Comcast固件设计缺陷漏洞、WordPress EtoileUltimateProduct Catalog插件SQL注入漏洞”等零日代码攻击漏洞。此外,本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1665个,与上周(2257个)环比下降26%
图1 CNVD收录漏洞近10周平均分值分布图
图2 CNVD 0day漏洞总数按周统计
本周漏洞事件处置情况
本周,CNVD向基础电信企业通报漏洞事件66起,向银行、证券、保险、能源等重要行业单位通报漏洞事件35起,章玉善协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件702起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件190起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件38起。
图3 CNVD各行业漏洞处置情况按周统计
图4 CNCERT各分中心处置情况按周统计
图5 CNVD教育行业应急组织处置情况按周统计
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:
北京天亚科创软件有限公司、阿里云计算有限公司、大庆久久网络科技有限公司、广东盈世计算机科技有限公司、重庆市湘软科技发展有限公司、用友软件股份有限公司、广东健客医药有限公司、成都市牧乐网络科技有限公司、北京盛威时代科技有限公司、长沙米拓信息技术有限公司、正诺(上海)节能科技有限公司、苏州觅马信息科技有限公司、深圳市黄河数字技术有限公司、微软(中国)有限公司、北京东云创达科技有限公司、互动创想 (厦门)数字科技有限公司、金蝶国际软件集团有限公司、重庆盼达汽车租赁有限公司、北京进化者机器人科技有限公司、武汉环投公共自行车服务有限公司、合肥淘云科技有限公司、上海景域文化传播有限公司、医指通移动医疗科技(北京)有限公司、江苏固德威电源科技股份有限公司、杭州挖财互联网金融服务有限公司、优必选公司、北京汽车集团有限公司、云杉智慧新能源技术有限公司、金山软件股份有限公司、乐视控股(北京)有限公司、成都迪吉信息技术有限公司、上海阅人信息技术有限公司、广州启康信息科技有限公司、北京领跑无限科技有限公司、上海小腰信息科技有限公司、神通教育科技有限公司、深圳给乐信息科技有限公司、上海优伊网络科技有限公司、杭州古北电子科技有限公司、北京天路纵横交通科技有限公司、杭州蓝脑教育科技有限公司、乐宝贝(北京)科技有限公司、深圳市宜搜科技发展有限公司、海尔集团、成都公交集团、中国社会科学院、中国管理科学研究院、EnGenius、携程旅行网、情商语文网、米学网、脉单网。
本周恭亲王奕欣 ,CNVD发布了《关于D-Link DIR系列路由器存在身份验证信息泄露和远程命令执行漏洞的安全公告》。详情参见CNVD网站公告内容。
http://www.cnvd.org.cn/webinfo/show/4202
本周漏洞报送情况统计
本周,共16家成员单位、企业用户及个人用户报送了本周收录的全部302个漏洞小户安好 。报送情况如表1所示。其中,天融信、东软、华为技术有限公司、安天实验室、恒安嘉新等单位报送数量较多霍水仙。360网神、漏洞盒子、南京联成科技发展股份有限公司、中新网络信息安全股份有限公司、山石网科通信技术有限公司、广州软云计算机科技有限公司、深圳市鼎安天下信息科技有限公司、安徽新华博信息技术股份有限公司、北京安码科技有限公司、君立华域、六壬网安、广州神月信息安全技术有限公司、上海零盾网络科技有限公司及其他个人白帽子向CNVD提交了1665个以事件型漏洞为主的原创漏洞。
表1 漏洞报送情况统计表
本周漏洞按类型和厂商统计
本周,CNVD收录了302个漏洞。其中应用程序漏洞158个,web应用漏洞84个,网络设备漏洞33个,操作系统漏洞20个,安全产品漏洞4个,数据库漏洞3个。
表2 漏洞按影响类型统计表
图6 本周漏洞按影响类型分布
CNVD整理和发布的漏洞涉及Oracle、Microsoft、TrendMicro等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
表3 漏洞产品涉及厂商分布统计表
本周行业漏洞收录情况
本周,CNVD收录了23个电信行业漏洞,15个移动互联网行业漏洞,10个工控系统行业漏洞(如下图所示)。其中,“Microsoft SQLServer信息泄露漏洞(CNVD-2017-20513)、I-O DATA WN-AX1167GR操作系统命令注入漏洞、D-Link DIR系列路由器远程命令执行漏洞、Huawei honor6x驱动程序缓冲区溢出漏洞、多款Huawei手机缓冲区溢出漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
图7 电信行业漏洞统计
图8 移动互联网行业漏洞统计
图9 工控系统行业漏洞统计
本周重要漏洞安全告警
本周,CNVD整理和发布以下重要安全漏洞信息。
1、D-Link DIR系列路由器存在多个漏洞
DIR系列是友讯(D-Link)公司的一系列云路由器产品本周,该产品被披露存在远程命令执行和信息泄露漏洞,攻击者可利用漏洞执行任意代码或泄露敏感信息。
CNVD收录的相关漏洞包括:D-Link DIR系列路由器远程命令执行漏洞、D-Link DIR系列路由器身份验证信息泄露漏洞。其中“D-Link DIR系列路由器远程命令执行漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20001
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20002
2、Microsoft产品安全漏洞
MicrosoftWindows 10是美国微软(Microsoft)公司发布的一套新一代跨平台操作系统。Microsoft Edge是其中的一个系统附带的默认浏览器。JavaScriptengines是其中的一个JavaScript引擎组件。本周,上述产品被披露存在安全绕过、权限提升和远程代码执行漏洞,攻击者可利用漏洞绕过安全限制、提升权限或执行任意代码。
CNVD收录的相关漏洞包括:Microsoft Edge安全绕过漏洞(CNVD-2017-20503)、Microsoft Edge权限提升漏洞(CNVD-2017-20514)、MicrosoftWindows 10 EdgeJavaScript远程代码执行漏洞、Microsoft Windows 10 EdgeJavaScript远程代码执行漏洞(CNVD-2017-20506)、Microsoft WindowsEdgeJavaScript引擎远程代码执行漏洞、Microsoft Windows EdgeJavaScript引擎远程代码执行漏洞(CNVD-2017-20499、CNVD-2017-20500、CNVD-2017-20501)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20503
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20514
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20502
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20506
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20498
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20499
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20500
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20501
3、Oracle产品安全漏洞
OracleFusion Middleware是美国甲骨文公司的一套面向企业和云环境的业务创新平台。Oracle Java SE是一套标准版Java平台。Oracle SunSystems Products Suite是一款Sun系统产品套件。OraclePeopleSoft Products是一套企业人力资本管理解决方案。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞影响数据的可用性、保密性和完整性。
CNVD收录的相关漏洞包括:OracleBusiness IntelligenceEnterprise Edition存在未明漏洞、Oracle Java AdvancedManagementConsole存在未明漏洞、Oracle Service Bus存在未明漏洞、Oracle SunSystems Products Suite Solaris存在未明漏洞、Oracle PeopleSoft Enterprise PeopleTools存在未明漏洞(CNVD-2017-20279、CNVD-2017-20289、CNVD-2017-20291)、OraclePeopleSoft EnterpriseFSCM存在未明漏洞。其中“Oracle BusinessIntelligence EnterpriseEdition存在未明漏洞、Oracle Java Advanced Management Console存在未明漏洞、Oracle ServiceBus存在未明漏洞、Oracle Sun SystemsProducts Suite Solaris存在未明漏洞”的综合评级为“高卧龙小诸葛危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20280
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20288
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20296
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20290
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20279
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20289
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20291
http://www.cnvd.org.cn/flaw/show/CNVD-2017-20281
4、Huawei产品安全漏洞
Huaweihonor 6x和honor 5C、Huawei P10和P10 Plus等都是中国华为公司的一款智能手机。本周,上述产品被披露存在拒绝服务和缓冲区溢出漏洞,攻击者可利用漏洞发起拒绝服务攻击或执行任意代码迁钢吧。
CNVD收录的相关漏洞包括:Huawei honor6x驱动程序缓冲区溢出漏洞、Huawei手机通话模块拒绝服务漏洞、Huawei手机通话模块拒绝服务漏洞(CNVD-2017-19188)、多款Huawei手机缓冲区溢出漏洞、多款Huawei手机缓冲区溢出漏洞(CNVD-2017-19191、CNVD-2017-19192、CNVD-2017-19193、CNVD-2017-19194)。除“Huawei手机通话模块拒绝服务漏洞、Huawei手机通话模块拒绝服务漏洞(CNVD-2017-19188)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2017-19189
http://www.cnvd.org.cn/flaw/show/CNVD-2017-19187
http://www.cnvd.org.cn/flaw/show/CNVD-2017-19188
http://www.cnvd.org.cn/flaw/show/CNVD-2017-19190
http://www.cnvd.org.cn/flaw/show/CNVD-2017-19191
http://www.cnvd.org.cn/flaw/show/CNVD-2017-19192
http://www.cnvd.org.cn/flaw/show/CNVD-2017-19193
http://www.cnvd.org.cn/flaw/show/CNVD-2017-19194
5、NetComm Wireless4GT101W路由器信息泄露漏洞
NetCommWireless 4GT101W routers是澳大利亚NetComm Wireless公司的一款无线路由器产品。本周谁都别惹我 ,NetComm被披露存在信息泄露漏洞,攻击者可利用漏洞获取敏感信息。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2017-19556
更多高危漏洞可根据CNVD编号,在CNVD官网进行查询。
参考链接:http://www.cnvd.org.cn/flaw/list.htm
小结:本周,D-Link被披露存在远程命令执行和信息泄露漏洞,攻击者可利用漏洞执行任意代码或泄露敏感信息。此外,Microsoft、Oracle、Huawei等多款产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制、执行任意代码或发起拒绝服务攻击等。另外,NetComm被披露存在信息泄露漏洞,攻击者可利用漏洞获取敏感信息。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。