解决方案-漏洞管理平台-入门信息安全知识点
国家信息安全漏洞共享平台(CNVD) 信息安全漏洞周报 2016 年05 月23 日-2016 年05 月29 日2016 年第22 期 本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD )本周共收集、整理信息安全漏洞2 06 个,其中高危漏洞72 个、中危漏洞 12 1 个、低危漏洞 13 个。漏洞平均分值为6.10 分。本周收录的漏洞中,涉及0day 漏洞22 个(占 11% )。其中互联网上出现 “ ft SQL 注入漏洞、 Info SQL 注入漏洞”等零日代码攻击漏洞,请使用相 关产品的用户注意加强防范。此外,本周 CNVD 接到的涉及党政机关和企事业单位的 事件型漏洞总数1210 个,与上周(1064 个)环比上升14% 。图1 CNVD 收录漏洞近10 周平均分值分布图 本周漏洞报送情况统计本周,共 10 家成员单位、合作伙伴及个人报送了本周收录的全部206 个漏洞。报 送情况如表 1 所示。其中,天融信、安天实验室、启明星辰、恒安嘉新等单位报送数量 较多。
补天平台、乌云、漏洞盒子、西安四叶草信息技术有限公司、深圳市深信服电子 科技有限公司、福建六壬网安股份有限公司及白帽子向CNVD 提交了1211 个以事件型 漏洞为主的原创漏洞。报送单位或个人漏洞报送数量原创漏洞数量()奇虎补天平台乌云天融信1680安天实验室1440启明星辰1020恒安嘉新10010中国电信集团系统集491成有限责任公司东软310绿盟科技430杭州安恒信息技术有190限公司H3C80漏洞盒子3939西安四叶草信息技术88有限公司福建六壬网安股份有55限公司深圳市深信服电子科11技有限公司江西分中心11个人2424报送总计录入总计206 (去重)1211表1 成员单位上报漏洞统计表 本周漏洞按类型和厂商统计本周,CNVD 收录了206 个漏洞。其中应用程序漏洞98 个,操作系统漏洞68 个, Web 应用漏洞24 个,网络设备漏洞15 个,安全产品漏洞1 个。漏洞影响对象类型漏洞数量应用程序漏洞98操作系统漏洞68web 应用漏洞24网络设备漏洞15安全产品漏洞1表2 漏洞按影响类型统计表本周CNVD漏洞数量按影响类型分布网络设备漏洞 安全产品漏洞1%7%web应用漏洞11%应用程序漏洞48%操作系统漏洞33%图2 本周漏洞按影响类型分布CNVD 整理和发布的漏洞涉及 Apple 、、IBM 等多家厂商的产品,部分漏 洞数量按厂商统计如表3 所示。
序号厂商(产品)漏洞数量所占比例%%%%%%%%9Red Hat31其他8241%表3 漏洞产品涉及厂商分布统计表 本周行业漏洞收录情况本周,CNVD 收录了7 个电信行业漏洞,37 个移动互联网行业漏洞(如下图所示)。 其中,“-G903 未授权操作漏洞、Moxa EDR-G903 拒绝服务漏洞、 R-G903 内存泄露漏洞、-G903 信息泄露漏洞、Moxa EDR-G903 信息泄露漏 洞(CNVD-2016-03388 )、Apple iOS/OS X El 任意代码执行漏洞、App le iOS//tvOS 和OS X El 任意代码执行漏洞、Apple iOS/watch OS/tvOS 和OS X El 任意代码执行漏洞(CNVD-2016-03532、CNVD-2 016-03533、CNVD-2016-03534 )、Apple iOS//tvOS 和 OS X El IOHI 任意代码执行漏洞、Apple iOS//tvOS 和OS XEl ly 任意代码执行漏洞(CNVD-2016-03520 )、//tvOS 和OS X El Cap itan 任意代码执行漏洞、//tvOS 和OS X El Ca pitan 任意代码执行漏洞(CNVD-2016-03449、CNVD-2016-03451、 CNVD-2016-03452 )、Apple iOS//tvOS 和 OS X El Disk 任意 代码执行漏洞、Apple iOS//tvOS 和OS X 任意代码执 行漏洞”的综合评级为“高危”。
相关厂商已经发布了上述漏洞的修补程序,请参照 C NVD 相关行业漏洞库链接。 电信行业漏洞链接:/ 移动互联网行业漏洞链接:/ 工控系统行业漏洞链接:/电信行业漏洞评级按周统计8高危6中危475低危220有补丁0高危中危低危有补丁图3 电信行业漏洞统计图4 移动互联网行业漏洞统计 本周本周重要漏洞安全告警本周,CNVD 整理和发布以下重要安全漏洞信息。 1、Apple 产品安全漏洞Apple iOS 、 、OS X El 和tvOS 都是美国苹果(Apple )公司的产 品。Apple iOS 是为移动设备所开发的一套操作系统; 是一套智能手表操作系 统;OS X El 是为Mac 计算机所开发的一套专用操作系统;tvOS 是一套智能 电视操作系统。 是其中的一个内核组件。本周,上述产品被披露存在任意代码执 行漏洞,攻击者可利用该漏洞执行任意代码。CNVD 收录的相关漏洞包括://tvOS 和OS X El IOAc 任意代码执行漏洞、Apple iOS//tvOS 和OS XEl IOAc 任意代码执行漏洞(CNVD-2016-03449、CNVD-2016-03451、CNVD-20 16-03452 )、Apple iOS//tvOS 和OS X El 任意代码执行漏洞、A pple iOS//tvOS 和OS X El 任意代码执行漏洞(CNVD-2016-03 532、CNVD-2016-03533、CNVD-2016-03534 )等。
上述漏洞的综合评级为“高危”。目 前,厂商已经发布了上述漏洞的修补程序。CNVD 提醒用户及时下载补丁更新,避免引 发漏洞相关的网络安全事件。 参考链接:/flaw/show /CNVD-2016-03448/flaw/show/CNVD-2016-03449/flaw/show/CNVD-2016-03451/flaw/show/CNVD-2016-03452/flaw/show/CNVD-2016-03532/flaw/show/CNVD-2016-03533/flaw/show/CNVD-2016-03534/flaw/show/CNVD-2016-03535 2、 产品安全漏洞 是一套用于读取和写入 调试信息的工具。本周,上述产品被披露 存在拒绝服务漏洞,攻击者可利用漏洞发起拒绝服务攻击。CNVD 收录的相关漏洞包括:.c 文件拒绝服务漏洞、 ‘() ’函数拒绝服务漏洞、c ess.c 文件拒绝服务漏洞、‘t ’函数拒绝服务漏洞、 rf ‘try() ’函数拒绝服务漏洞、‘es() ’ 函数拒绝服务漏洞、 拒绝服务漏洞、‘() ’函数拒绝服务 漏洞等。
目前,厂商已经发布了上述漏洞的修补程序。CNVD 提醒用户及时下载补丁更 新,避免引发漏洞相关的网络安全事件。 参考链接:/flaw/show/CNVD-2016-03631/flaw/show/CNVD-2016-03632/flaw/show/CNVD-2016-03633/flaw/show/CNVD-2016-03634/flaw/show/CNVD-2016-03635/flaw/show/CNVD-2016-03636/flaw/show/CNVD-2016-03637/flaw/show/CNVD-2016-03638 3、IBM 产品安全漏洞IBM RLKS ( Key )是美国IBM 公司的一款许可证密钥服 务器。 and Tool 是其中的一个许可证密钥管理和报告工具。I BM Team (RTC )是一套基于Jazz 平台且支持分散团队进行实时相关 协作的软件生命周期管理解决方案。 是美 国IBM 公司的一套工程生命周期管理软件。
是一套数据分析平 台。 是美国IBM 公司的一套Web 应用的安全测试工具。 本周,上述产品被披露存在多个安全漏洞,攻击者利用上述漏洞可执行任意代码、注入 任意Web 脚本或HTML 、泄露敏感信息和发起拒绝服务攻击等。CNVD 收录的相关漏洞包括: and Tool 信息 泄露漏洞、 Team 拒绝服务漏洞、IBM Life cycle 跨站脚本漏洞、 跨站脚本漏 洞(CNVD-2016-03396、CNVD-2016-03397 )、 信息泄露漏洞、 权限获取漏洞、 AppSc an 任意代码执行漏洞。
其中,“ 权限获取漏洞、IBMS 任意代码执行漏洞”的综合评级为“高危”。目前,厂商已经发 布了上述漏洞的修补程序。CNVD 提醒用户及时下载补丁更新,避免引发漏洞相关的网 络安全事件。 参考链接:/flaw/show/CNVD-2016-03611/flaw/show/CNVD-2016-03399/flaw/show/CNVD-2016-03398/flaw/show/CNVD-2016-03397/flaw/show/CNVD-2016-03396/flaw/show/CNVD-2016-03400/flaw/show/CNVD-2016-03394/flaw/show/CNVD-2016-03441 4、 产品安全漏洞 和 都是中国华为( )公司的产品。前者是一套与 智能穿戴设备配套使用的APP ,后者是一套华为网络连接终端的统一管理平台。Huawe i 等都是中国华为公司的无线接入控制器产品。
Mate8 是中一款智能 手机产品。 NGFW 等都是中国华为公司的防火墙产品。 等都是中国华为公司的入侵防御和入侵检测产品。本周,上述产品被披露存在 缓冲区溢出、设计缺陷和拒绝服务漏洞,允许攻击者利用漏洞执行任意代码和发起拒绝 服务攻击。CNVD 收录的相关漏洞包括:多款 产品拒绝服务漏洞(CNVD-2016-03649 )、 Mate 8 缓冲区溢出漏洞(CNVD-2016-03576 )、 8 缓冲区溢出漏 洞、多款 产品缓冲区溢出漏洞(CNVD-2016-03608 )、多款 产品缓冲区 溢出漏洞、 和 设计缺陷漏洞。其中,“多款 产品拒绝 服务漏洞(CNVD-2016-03649 )、多款 产品缓冲区溢出漏洞”漏洞的综合评级为 “高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD 提醒用户及时下载补丁 更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2016-03649/flaw/show/CNVD-2016-03576/flaw/show/CNVD-2016-03577/flaw/show/CNVD-2016-03608/flaw/show/CNVD-2016-03569/flaw/show/CNVD-2016-03512 5、Linux 拒绝服务漏洞(CNVD-2016-03568 )Linux 是美国Linux 基金会发布的操作系统Linux 所使用的内核。本周,Linux 被披露存在拒绝服务漏洞,攻击者可利用该漏洞造成拒绝服务(空指针逆向引用)。目 前,厂商尚未发布该漏洞的修补程序。CNVD 提醒广大用户随时关注厂商主页,以获取 最新版本。 参考链接:/flaw/show/CNVD-2016-03568更多高危漏洞如表4 所示,详细信息可根据CNVD 编号,在CNVD 官网进行查询。参考链接:/flaw/list.htm CNVD 编综合漏洞名称修复方式 号评级目前厂商已经发布了升级补丁以修 CNVD-201 Moxa EDR-G903 未授权操作漏复此安全问题,详情请关注厂商主高 6-03392洞页:/目前厂商已经发布了升级补丁以修 CNVD-201复此安全问题,详情请关注厂商主Moxa EDR-G903 拒绝服务漏洞高 6-03391页:/目前厂商已经发布了升级补丁以修 CNVD-201复此安全问题,详情请关注厂商主Moxa EDR-G903 内存泄露漏洞高 6-03390页:/目前厂商已经发布了升级补丁以修 CNVD-201复此安全问题,详情请关注厂商主Moxa EDR-G903 信息泄露漏洞高 6-03389页:/目前厂商已经发布了升级补丁以修 CNVD-201 Moxa EDR-G903 信息泄露漏洞复此安全问题,详情请关注厂商主高 6-03388(CNVD-2016-03388 )页:/目前厂商已经发布了升级补丁以修HPE Co 复此安全问题,补丁获取链接: CNVD- 任意代码执行 高 /hpsc/ 6-03395漏洞doc//?docId=-目前厂商已经发布了升级补丁以修 Data Intui CNVD-201复此安全问题,补丁获取链接:tive 650 TDB 权限提 高 6-03403/en-us/s升漏洞/目前厂商已经发布了升级补丁以修 CNVD-201 Idera Up.time for Linux 任 复此安全问题,补丁获取链接:高 6-03402意文件读取漏洞//UT/+Notes用户可参考如下厂商提供的安全补 CNVD-201 Chef 数据任意代高 丁以修复该漏洞: 6-03410码执行漏洞 CNVD-201 PHP 双重释放漏洞高 目前厂商已经发布了升级补丁以修 6-03566复此安全问题,补丁获取链接: 表4 部分重要高危漏洞列表小结:本周Apple 产品被披露存在任意代码执行漏洞,攻击者利用漏洞可执行任意 代码。
此外,、IBM 、 等多款产品被披露存在多个安全漏洞,攻击者可 利用漏洞注入任意 Web 脚本或 HTML、泄露敏感信息、执行任意代码和发起拒绝服务 攻击等。另外,Linux 被披露存在一个高危漏洞,攻击者可利用该漏洞造成拒绝服务(空 指针逆向引用)。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。 本周漏洞要闻速递 1. 出现史上最大规模数据泄露事件近日有新闻曝光了 1.17 亿条 (领英)数据被泄露的消息,而最新的消息是 社交网站 也遭到了数据泄露,而泄露的数据比领英还要多。黑客宣称已经拿 到了3 亿6000 万 用户的电子邮件地址以及密码。如果情况属实,这将是史上 最大规模的密码泄露事件。目前尚不清楚 数据是如何被盗取的。 参考链接:/news/.html 2. 【安全预警】 :HTTPS 网站可遭受内容篡改攻击最近,根据某国际安全小组的研究表明,金融巨头Visa 旗下部分受HTTPS 保护的 网站最近被发现了一种漏洞,该漏洞源于未能正确的传输层安全协议,在数据被加密时, 错误重用了相同的加密随机数。
它的存在可以让黑客注入恶意代码,访客浏览器将会访 问到恶意内容。 参考链接:/vuls/.html 关于CNVD国家信息安全漏洞共享平台(China ,简称CNVD ) 是 联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商 和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏 洞收集、发布、验证、分析等应急处理体系。 关于国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称 是 或/CC ),成立于2002 年9 月,为非政府非盈利的网络安全技术中 心,是我国网络安全应急体系的核心协调机构。作为国家级应急中心, 的主要职责是:按照“积极预防、及时发现、快速 响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等 工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行。网址:邮箱:@电话:
~
网络安全学习,我们一起交流
~
3060
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
