本文总结了2019年4月CNNVD发布的安全漏洞情况,重点关注了ThinkPHP3.2.3漏洞和其他重大安全事件。当月共采集到1406个安全漏洞,涉及Oracle、微软、思科等多个知名厂商。报告列举了超危漏洞和高危漏洞实例,包括Android、SAP、F5 BIG-IP、GitLab等多个产品,提醒用户关注并及时更新补丁,防范潜在风险。
本期导读漏洞态势
根据国家信息安全漏洞库(CNNVD)统计,2019年4月份采集安全漏洞共1406个。
本月接报漏洞共计4319个,其中信息技术产品漏洞(通用型漏洞)74个,网络信息系统漏洞(事件型漏洞)4245个。
重大漏洞预警
1、Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNNVD-201904-961):攻击者可利用该漏洞在未授权的情况下发送攻击数据,实现远程代码执行。目前, Oracle官方未发布漏洞补丁,但可以通过临时解决措施缓解漏洞造成的危害。
2、微软多个安全漏洞:包括Windows 特权提升漏洞(CNNVD-201904-508、CVE-2019-0730)、Jet 数据库引擎远程代码执行漏洞(CNNVD-201904-498、CVE-2019-0846)等多个漏洞。微软多个产品和系统受漏洞影响。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据。目前,微软官方已经发布漏洞修复补丁,建议用户及时确认是否受到漏洞影响,采取修补措施。
漏洞态势
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,2019年4月份新增安全漏洞共1406个,从厂商分布来看,Oracle公司产品的漏洞数量最多,共发布160个;从漏洞类型来看,缓冲区错误类的漏洞占比最大,达到11.45%。本月新增漏洞中,超危漏洞181个、高危漏洞623个、中危漏洞567个、低危漏洞35个,相应修复率分别为73.48%、77.21%、79.19%以及85.71%。合计1093个漏洞已有修复补丁发布,本月整体修复率77.74%。
截至2019年4月30日,CNNVD采集漏洞总量已达125269个。
1.1 漏洞增长概况
2019年4月新增安全漏洞1406个,与上月(1360个)相比增加了3.38%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到1256个。
图1 2018年11月至2019年4月漏洞新增数量统计图
1.2 漏洞分布情况
1.2.1漏洞厂商分布
4月厂商漏洞数量分布情况如表1所示,Oracle公司达到160个,占本月漏洞总量的11.38%。本月Oracle、CloudBees、微软等公司的漏洞数量均有所上升,思科、苹果等厂商的漏洞数量出现较不同程度的下降。
表1 2019年4月排名前十厂商新增安全漏洞统计表
1.2.2漏洞产品分布
4月主流操作系统的漏洞统计情况如表2所示。本月Windows系列操作系统漏洞数量共37条,其中桌面操作系统37条,服务器操作系统37条。本月Android漏洞数量最多,共43个,占主流操作系统漏洞总量的12.54%,排名第一。
表2 2019年4月主流操作系统漏洞数量统计
*由于Windows整体市占率高达百分之九十以上,所以上表针对不同的Windows版本分别进行统计。
*上表漏洞数量为影响该版本的漏洞数量,由于同一漏洞可能影响多个版本操作系统,计算某一系列操作系统漏洞总量时,不能对该系列所有操作系统漏洞数量进行简单相加。
1.2.3 漏洞类型分布
4月份发布的漏洞类型分布如表3所示,其中缓冲区错误类漏洞所占比例最大,约为11.45%。
表3 2019年4月漏洞类型统计表
1.2.4 漏洞危害等级分布
根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。4月漏洞危害等级分布如图2所示,其中超危漏洞181条,占本月漏洞总数的12.89%。
图2 2019年4月漏洞危害等级分布
1.3漏洞修复情况
1.3.1 整体修复情况
4月漏洞修复情况按危害等级进行统计见图3。其中低危漏洞修复率最高,达到85.71%,超危漏洞修复率最低,比例为73.48%。与上月相比,本月超危、高危、中危漏洞修复率有所上升,低危漏洞修复率有所下降。总体来看,本月整体修复率上升,由上月的72.25%上升至本月的77.74%。
图3 2019年4月漏洞修复数量统计
1.3.2 厂商修复情况
4月漏洞修复情况按漏洞数量前十厂商进行统计,其中思科、谷歌、微软等十个厂商共601条漏洞,占本月漏洞总数的42.75%,漏洞修复率为87.35%,详细情况见表4。多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Adobe、Foxit、Apple、GitLab等公司本月漏洞修复率均为100%,共307条漏洞已全部修复。
表4 2019年4月厂商修复情况统计表
1.4 重要漏洞实例
1.4.1 超危漏洞实例
本月超危漏洞共181个,其中重要漏洞实例如表5所示。
表5 2019年4月超危漏洞实例
1.Android 资源管理错误漏洞(CNNVD-201904-061)
Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。
Android 9版本中存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当。。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://source.android.com/security/bulletin/2019-04-01.html
2.SAP Crystal Reports for Visual Studio 信息泄露漏洞(CNNVD-201904-471)
SAP Crystal Reports for Visual Studio是德国思爱普(SAP)公司的一套适用于Visual Studio开发平台的Crystal报表设计软件。
SAP Crystal Reports for Visual Studio 2010版本中存在信息泄露漏洞,该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=517899114
3.F5 BIG-IP 信任管理问题漏洞(CNNVD-201904-578)
F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。
F5 BIG-IP中存在信任管理问题漏洞。该漏洞源于网络系统或产品中缺乏有效的信任管理机制。攻击者可利用默认密码或者硬编码密码、硬编码证书等攻击受影响组件。以下版本受到影响:
-F5 BIG-IP 14.0.0版本至14.1.0.1版本
-F5 BIG-IP 13.0.0版本至13.1.1.3版本
-F5 BIG-IP 12.1.1 HF2版本至12.1.4版本
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.f5.com/csp/article/K18535734]
4.Cisco ASR 9000 输入验证错误漏洞(CNNVD-201904-849)
Cisco ASR 9000是美国思科(Cisco)公司的一款9000系列聚合服务路由器。
Cisco ASR 9000(IOS XR 64-bit Software 6.5.3版本和7.0.1版本)中的sysadmin虚拟机存在输入验证错误漏洞,该漏洞源于网络系统或产品未对输入的数据进行正确的验证。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-asr9k-exr
5.Pivotal Software Apps Manager 授权问题漏洞(CNNVD-201904-651)
Pivotal Software Application Service(PAS)是美国Pivotal Software公司的一套应用程序管理软件。Apps Manager是其中的一个应用程序管理器。
Pivotal Software Apps Manager中存在授权问题漏洞。该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。以下版本受到影响:
-Pivotal Software Apps Manager 665.0.28之前的665.0.x版本
-Pivotal Software Apps Manager 666.0.21之前的666.0.x版本
-Pivotal Software Apps Manager 667.0.7之前的667.0.x版本
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://pivotal.io/security/cve-2019-3793
6.Siemens Spectrum Power 权限许可和访问控制问题漏洞(CNNVD-201904-465)
Siemens Spectrum Power是德国西门子(Siemens)公司的一套能源管理系统。
Siemens Spectrum Power中存在权限许可和访问控制问题漏洞。该漏洞源于网络系统或产品缺乏有效的权限许可和访问控制措施。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.siemens.com/
7.Grandstream GXP16xx VoIP 命令注入漏洞(CNNVD-201904-034
Grandstream GXP16xx VoIP是美国潮流网络(Grandstream)公司的一款16XX系列IP电话。
Grandstream GXP16xx VoIP 1.0.4.128版本中的SSH配置页面存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
http://www.grandstream.com/
8.IBM Cognos Analytics 路径遍历漏洞(CNNVD-201904-597)
IBM Cognos Analytics是美国IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等,并可通过分析关键因素与关键人等内容,协助企业调整决策。
IBM Cognos Analytics 11.0.0.0版本至11.0.13.0版本中存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www-01.ibm.com/support/docview.wss?uid=ibm10879079
9.NVIDIA Jetson TX1和NVIDIA Jetson TX2 Linux for Tegra 加密问题漏洞(CNNVD-201904-587)
NVIDIA Jetson TX2和NVIDIA Jetson TX1都是美国英伟达(NVIDIA)公司的产品。NVIDIA Jetson TX1是一款嵌入式系统开发模块。NVIDIA Jetson TX2是一款嵌入式系统开发模块。Linux for Tegra是运行在其中的一套Linux系统。
NVIDIA Jetson TX1和TX2中的Linux for Tegra (L4T)存在加密问题漏洞。该漏洞源于网络系统或产品未正确使用相关密码算法,导致内容未正确加密、弱加密、明文存储敏感信息等。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://nvidia.custhelp.com/app/answers/detail/a_id/4787
10.Forcepoint Email Security 缓冲区错误漏洞(CNNVD-201904-513)
Forcepoint Email Security是美国Forcepoint公司的一套电子邮件保护解决方案。该产品包括垃圾邮件过滤、恶意软件检测、网络钓鱼防护和防止入侵 (BEC) 攻击等功能。
Forcepoint Email Security 8.5版本中存在缓冲区错误漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.forcepoint.com/KBArticle?id=000016621
11.GitLab 访问控制错误漏洞(CNNVD-201904-881)
GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。
GitLab(社区版和企业版)10.8.0版本至10.8.7版本、11.0.0版本至11.6.10版本和11.8.0版本至11.8.1版本中存在访问控制错误漏洞,该漏洞源于网络系统或产品未正确限制来自未授权角色的资源访问。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://about.gitlab.com/2019/03/04/security-release-gitlab-11-dot-8-dot-1-released/
12.Advantech WebAccess 代码问题漏洞(CNNVD-201904-485)
Advantech WebAccess是中国台湾研华(Advantech)公司的一套基于浏览器架构的HMI/SCADA软件。该软件支持动态图形显示和实时数据控制,并提供远程控制和管理自动化设备的功能。
Advantech WebAccess 8.3.4版本中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.advantech.com/
13.Sierra Wireless AirLink ES450 操作系统命令注入漏洞(CNNVD-201904-1202)
Sierra Wireless AirLink ES450是加拿大Sierra Wireless公司的一款蜂窝网络调制解调器设备。
使用4.9.3版本版本固件的Sierra Wireless AirLink ES450中的ACEManager iplogging.cgi功能存在操作系统命令注入漏洞,该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.sierrawireless.com/
14.CloudBees Jenkins ontrack Plugin 安全特征问题漏洞(CNNVD-201904-894)
CloudBees Jenkins(Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。ontrack Plugin是使用在其中的一个用于连接Ontrack服务器的插件,主要实现可持续交付管道的可追溯性和监控。
CloudBees Jenkins ontrack Plugin 3.4及之前版本中存在安全特征问题漏洞。该漏洞是源于网络系统或产品中缺少身份验证、访问控制、权限管理等安全措施。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://jenkins.io/security/advisory/2019-04-17/
15.Mitel Networks CMG Suite SQL注入漏洞(CNNVD-201904-1166)
Mitel Networks CMG Suite是加拿大Mitel Networks公司的一套在线协作工具套件。
Mitel Networks CMG Suite 8.4 SP2及之前版本中存在SQL注入漏洞,该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.mitel.com/en-gb/support/security-advisories/mitel-product-security-adivsory-19-0003-001
1.4.2 高危漏洞实例
本月高危漏洞共623个,其中重要漏洞实例如表6所示。
表6 2019年4月高危漏洞
1.Google Chrome Blink 资源管理错误漏洞(CNNVD-201904-1110)
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Blink是美国谷歌(Google)公司和挪威欧朋(OperaSoftware)公司共同开发的一套浏览器排版引擎(渲染引擎)。
Google Chrome 74.0.3729.108之前版本中的Blink存在资源管理错误漏洞,该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://chromereleases.googleblog.com/2019/04/stable-channel-update-for-desktop_23.html
2.Eyeo Adblock Plus 注入漏洞(CNNVD-201904-1299)
Eyeo Adblock Plus是德国Eyeo公司的一款广告拦截器。
Eyeo Adblock Plus 3.5.2之前版本中的$rewrite过滤器选项存在注入漏洞。该漏洞源于用户输入构造命令、数据结构或记录的操作过程中,网络系统或产品缺乏对用户输入数据的正确验证,未过滤或未正确过滤掉其中的特殊元素,导致系统或产品产生解析或解释方式错误。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://adblockplus.org/releases/adblock-plus-352-for-chrome-firefox-and-opera-released
3.Fortinet FortiManager 信息泄露漏洞(CNNVD-201904-1088)
Fortinet FortiManager是美国飞塔(Fortinet)公司的一套集中化网络安全管理平台。该平台支持集中管理任意数量的Fortinet设备,并能够将设备分组到不同的管理域(ADOM)进一步简化多设备安全部署与管理。
Fortinet FortiManager中存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://fortiguard.com/psirt/FG-IR-18-051
4.Rapid7 InsightVM 信任管理问题漏洞(CNNVD-201904-475)
Rapid7 InsightVM是美国Rapid7公司的一款漏洞扫描和管理应用程序。
Rapid7 InsightVM 6.5.11版本至6.5.49版本中存在信任管理问题漏洞。该漏洞源于网络系统或产品中缺乏有效的信任管理机制。攻击者可利用默认密码或者硬编码密码、硬编码证书等攻击受影响组件。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://help.rapid7.com/insightvm/en-us/release-notes/#6.5.50
5.Cisco IOS XR 输入验证错误漏洞(CNNVD-201904-832)
Cisco IOS XR是美国思科(Cisco)公司的一套为其网络设备开发的操作系统。
Cisco IOS XR中的Protocol Independent Multicast (PIM)功能存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。以下版本受到影响:
-Cisco IOS XR 6.2.3之前版本
-Cisco IOS XR 6.3.2之前版本
-Cisco IOS XR 6.4.0之前版本
-Cisco IOS XR 6.5.1之前版本
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvg43676
6.TIBCO Software ActiveMatrix BusinessWorks 授权问题漏洞(CNNVD-201904-482)
TIBCO Software ActiveMatrix BusinessWorks是美国TIBCO Software公司的一套基于业界标准的解决方案。该产品能够与其他ActiveMatrix产品共融,支持用户进行服务创建、编制和整合等。
TIBCO ActiveMatrix BusinessWorks 6.4.2及之前版本中的HTTP Connector组件存在授权问题漏洞。该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.tibco.com/support/advisories/2019/04/tibco-security-advisory-april-9-2019-tibco-activematrix-businessworks
7.aquaverde Aquarius CMS 日志信息泄露漏洞(CNNVD-201904-1095)
aquaverde Aquarius CMS是瑞士aquaverde公司的一套内容管理系统(CMS)。
aquaverde Aquarius CMS 4.3.5及之前版本中存在日志信息泄露漏洞。该漏洞源于网络系统或产品的日志文件非正常输出。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/aquaverde/aquarius-core/commit/d1dfa5b8280388a0b6f2f341f0681522dbea03b0
8.Intel Media SDK 权限许可和访问控制问题漏洞(CNNVD-201904-603)
Intel Media SDK是美国英特尔(Intel)公司的一款多媒体SDK(软件开发工具包)。该产品主要用于Windows和嵌入式Linux应用程序中的视频编码,解码和处理。
Intel Media SDK 2018 R2.1之前版本中存在权限许可和访问控制问题漏洞。该漏洞源于网络系统或产品缺乏有效的权限许可和访问控制措施。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00201.html
9.Ubiquiti Networks EdgeSwitch 命令注入漏洞(CNNVD-201904-535)
Ubiquiti Networks EdgeSwitch是美国优比快(Ubiquiti Networks)公司的一款千兆网络交换机设备。
Ubiquiti Networks EdgeSwitch X 1.1.0及之前版本中存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeSwitch-X-software-release-v1-1-1/ba-p/2731137
10.GitLab 路径遍历漏洞(CNNVD-201904-876)
GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。
GitLab(社区版和企业版)11.6.10之前版本、11.7.6之前的11.7.x版本和11.8.1之前的11.8.x版本中存在路径遍历漏洞,该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://about.gitlab.com/2019/03/04/security-release-gitlab-11-dot-8-dot-1-released/
11.Dell SupportAssist Client 跨站请求伪造漏洞(CNNVD-201904-907)
Dell SupportAssist Client是美国戴尔(Dell)公司的一款客户端应用程序。该程序提供自动化、主动和预测性技术进行故障排除等。
Dell SupportAssist Client 3.2.0.90之前版本中存在跨站请求伪造漏洞。该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.dell.com/support/article/cn/zh/cndhs1/sln316857/dsa-2019-051-dell-supportassist-client-multiple-vulnerabilities?lang=en
12.Linux kernel 竞争条件问题漏洞(CNNVD-201904-1062)
Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。
Linux kernel 5.0.8之前版本中的drivers/tty/n_r3964.c文件存在竞争条件问题漏洞,该漏洞源于网络系统或产品在运行过程中,并发代码需要互斥地访问共享资源时,对于并发访问的处理不当。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.0.8
13.IBM Sterling B2B Integrator 加密问题漏洞(CNNVD-201904-1052)
IBM Sterling B2B Integrator是美国IBM公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。
IBM Sterling B2B Integrator 5.2.0.1版本至5.2.6.3_6版本和6.0.0.0版本中存在加密问题漏洞。该漏洞源于网络系统或产品未正确使用相关密码算法,导致内容未正确加密、弱加密、明文存储敏感信息等。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www-01.ibm.com/support/docview.wss?uid=ibm10880601
14.Adobe Acrobat和Reader 缓冲区错误漏洞(CNNVD-201904-408)
Adobe Acrobat和Reader都是美国奥多比(Adobe)公司的产品。Adobe Acrobat是一套PDF文件编辑和转换工具。Reader是一套PDF文档阅读软件。
Adobe Acrobat和Reader中存在越界写入漏洞,该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。基于Windows和macOS平台的以下产品和版本受到影响:
-Adobe Acrobat DC(Continuous)2019.010.20098及之前版本
-Adobe Acrobat 2017(Classic 2017)2017.011.30127及之前版本
-Adobe Acrobat DC(Classic 2015)2015.006.30482及之前版本
-Adobe Acrobat Reader DC(Continuous)2019.010.20098及之前版本
-Adobe Acrobat Reader 2017(Classic 2017)2017.011.30127及之前版本
-Adobe Acrobat Reader DC(Classic 2015)2015.006.30482及之前版本
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://helpx.adobe.com/security/products/acrobat/apsb19-17.html
15.Canonical snapd 后置链接漏洞(CNNVD-201904-1136)
Canonical snapd是英国科能(Canonical)公司的一套软件部署和包管理系统。
Canonica snapd 2.38之前版本中的snap-confine存在后置链接漏洞。该漏洞源于网络系统或产品未正确过滤表示非预期资源的链接或者快捷方式的文件名。攻击者可利用该漏洞访问非法的文件路径。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/snapcore/snapd/commit/bdbfeebef03245176ae0dc323392bb0522a339b1
16.Oracle Database Server Portable Clusterware组件访问控制错误漏洞(CNNVD-201904-821)
Oracle Database Server是美国甲骨文(Oracle)公司的一套关系数据库管理系统。该数据库管理系统提供数据管理、分布式处理等功能。Portable Clusterware是其中的一个对集群硬件进行管理的组件。
Oracle Database Server中的Portable Clusterware组件存在访问控制错误漏洞。该漏洞源于网络系统或产品未正确限制来自未授权角色的资源访问。以下版本受到影响:
-Oracle Database Server 11.2.0.4版本
-Oracle Database Server 12.1.0.2版本
-Oracle Database Server 12.2.0.1版本
-Oracle Database Server 18c版本
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
17.Micro Focus Network Automation Software和Micro Focus Network Operations Management 代码注入漏洞(CNNVD-201904-1308)
Micro Focus Network Automation Software和Micro Focus Network Operations Management(NOM)都是英国Micro Focus公司的产品。Micro Focus Network Automation Software是一套网络自动化软件。该软件主要用于网络配置和变更管理。Micro Focus Network Operations Management是一套网络运营管理软件。该软件自动化网络拓扑、网络运行状况监控和配置状态监控等功能。
Micro Focus Network Automation Software和NOM中存在代码注入漏洞。该漏洞源于外部输入数据构造代码段的过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段,修改网络系统或组件的预期的执行控制流。以下产品和版本受到影响:
-Micro Focus Network Automation Software 9.20版本
-Micro Focus Network Automation Software 9.21版本
-Micro Focus Network Automation Software 10.00版本
-Micro Focus Network Automation Software 10.10版本
-Micro Focus Network Automation Software 10.20版本
-Micro Focus Network Automation Software 10.30版本
-Micro Focus Network Automation Software 10.40版本
-Micro Focus Network Automation Software 10.50版本
-Micro Focus Network Automation Software 2018.05版本
-Micro Focus Network Automation Software 2018.08版本
-Micro Focus Network Automation Software 2018.11版本
-Micro Focus NOM(所有版本)
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://softwaresupport.softwaregrp.com/doc/KM03407763
18.Zimbra Collaboration Suite 代码问题漏洞(CNNVD-201904-602)
Zimbra Collaboration Suite(ZCS)是美国Zimbra公司的一款开源协同办公套件。该产品包括WebMail、日历、通信录等。
Zimbra ZCS 8.5版本至8.7.11版本中的ProxyServlet.doProxy()方法存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
19.Synology DiskStation Manager 操作系统命令注入漏洞(CNNVD-201904-004)
Synology DiskStation Manager(DSM)是中国台湾群晖科技(Synology)公司的一套用于网络储存服务器(NAS)上的操作系统。该操作系统可管理资料、文件、照片、音乐等信息。
Synology DSM 6.2-23739-1之前版本中的ftpd存在操作系统命令注入漏洞。该漏洞源于外部输入数据构造操作系统可执行命令过程中,网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.synology.cn/zh-cn/security/advisory/Synology_SA_18_33
20.Juniper Networks EX4300-MP Junos OS 安全特征问题漏洞(CNNVD-201904-546)
Juniper Networks EX4300-MP是美国瞻博网络(Juniper Networks)公司的一款4300系列企业级交换机。Junos OS是一套专用于该公司的硬件设备的网络操作系统。
Juniper Networks EX4300-MP中的Junos OS 18.2版本存在安全特征问题漏洞。该漏洞是源于网络系统或产品中缺少身份验证、访问控制、权限管理等安全措施。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10933&actp=METADATA
二、接报漏洞情况
本月接报漏洞共计4319个,其中信息技术产品漏洞(通用型漏洞)74个,网络信息系统漏洞(事件型漏洞)4245个
表7 2019年4月漏洞接报情况
三、重大漏洞预警
3.1 CNNVD关于Oracle WebLogic wls9-async反序列化远程命令执行漏洞的通报
本月,国家信息安全漏洞库(CNNVD)收到Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNNVD-201904-961)情况的报送。攻击者可利用该漏洞在未授权的情况下发送攻击数据,实现远程代码执行。WebLogic 10.X、WebLogic 12.1.3等版本均受漏洞影响。目前, Oracle官方未发布漏洞补丁,但可以通过临时解决措施缓解漏洞造成的危害,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
.漏洞简介
Oracle WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。
部分版本WebLogic中默认包含的wls9_async_response包,为WebLogic Server提供异步通讯服务。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。
.漏洞危害
攻击者可利用漏洞在未授权的情况下发送攻击数据,最终实现远程代码执行。该漏洞涉及了多个版本,具体受影响版本如下:
WebLogic 10.X WebLogic 12.1.3 |
.修复措施
目前, Oracle官方未发布漏洞补丁,但可以通过临时解决措施缓解漏洞造成的危害,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
通过访问策略控制禁止 /_async/* 路径的URL访问,此操作可能会造成业务系统无法正常使用,可通过白名单机制允许授权用户访问。
建议使用WebLogic Server构建网站的信息系统运营者进行自查,发现存在漏洞后,按照临时解决方案及时进行修复。
3.2 CNNVD关于微软多个安全漏洞情况的通报
本月,微软官方发布了多个安全漏洞的公告,包括Windows 特权提升漏洞(CNNVD-201904-508、CVE-2019-0730)、Jet 数据库引擎远程代码执行漏洞(CNNVD-201904-498、CVE-2019-0846)、Chakra 脚本引擎内存损坏漏洞(CNNVD-201904-352、CVE-2019-0806)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据。微软多个产品和系统受漏洞影响。目前,微软官方已经发布漏洞修复补丁,建议用户及时确认是否受到漏洞影响,采取修补措施。
.漏洞简介
本次漏洞公告涉及Microsoft Windows系统 、Jet 数据库、Chakra 脚本引擎、Microsoft Office、Microsoft Excel、Microsoft XML、Windows IOleCvt 接口、Windows 图形设备接口(GDI)、Windows SMB 服务器等Windows平台下应用软件和组件。微软多个产品和系统版本受漏洞影响,具体影响范围可访问https://portal.msrc.microsoft.com/zh-cn/security-guidance查询,漏洞详情如下:
1、Windows 特权提升漏洞(CNNVD-201904-508、CVE-2019-0730)、(CNNVD-201904-353、CVE-2019-0796)、(CNNVD-201904-345、CVE-2019-0836)、(CNNVD-201904-337、CVE-2019-0841)、(CNNVD-201904-356、CVE-2019-0731)
漏洞简介:当 Windows 不正确地处理对 LUAFV 驱动程序 (luafv.sys) 的调用时,会触发特权提升漏洞。成功利用此漏洞的攻击者可以在本地系统执行任意代码。攻击者可随后安装程序、查看、更改或删除数据,或者创建拥有完全用户权限的新帐户。
2、Jet 数据库引擎远程代码执行漏洞(CNNVD-201904-498、CVE-2019-0846)、(CNNVD-201904-360、CVE-2019-0847)、(CNNVD-201904-362、CVE-2019-0851)、(CNNVD-201904-370、CVE-2019-0879)、(CNNVD-201904-366、CVE-2019-0877)
漏洞简介:当 Windows Jet 数据库引擎不正确地处理内存中的对象时,会触发远程代码执行漏洞。成功利用此漏洞的攻击者可以在受害者系统上执行任意代码。
3、脚本引擎内存损坏漏洞(CNNVD-201904-355、CVE-2019-0739)、(CNNVD-201904-357、CVE-2019-0752)、(CNNVD-201904-354、CVE-2019-0753)
漏洞简介:脚本引擎在 Microsoft Edge 中处理内存中对象时可能触发远程代码执行漏洞,并通过该方式损坏用户内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理员权限登录,攻击者便可控制受影响的系统。攻击者可随后安装程序、查看、更改或删除数据,或者创建拥有完全用户权限的新帐户。
4、Chakra 脚本引擎内存损坏漏洞(CNNVD-201904-352、CVE-2019-0806)、(CNNVD-201904-346、CVE-2019-0810)、(CNNVD-201904-347、CVE-2019-0812)、(CNNVD-201904-341、CVE-2019-0860)、(CNNVD-201904-342、CVE-2019-0861)、(CNNVD-201904-343、CVE-2019-0829)
漏洞简介:Chakra 脚本引擎在 Microsoft Edge 中处理内存中的对象时可能触发该漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理员权限登录,攻击者便可以任意安装程序、查看、更改或删除数据,或者创建拥有完全用户权限的新帐户。
5、Microsoft XML远程代码执行漏洞(CNNVD-201904-361、CVE-2019-0790)、(CNNVD-201904-338、CVE-2019-0791)、(CNNVD-201904-339、CVE-2019-0792)、(CNNVD-201904-335、CVE-2019-0793)、(CNNVD-201904-340、CVE-2019-0795)
漏洞简介:当 Microsoft XML Core Services分析器处理用户输入时,存在远程代码执行漏洞。攻击者需要诱使用户点击电子邮件或即时消息中的链接诱使用户访问存在恶意代码的网站。当 Internet Explorer 分析 XML 内容时,攻击者可以远程运行恶意代码控制用户的系统。
6、Windows IOleCvt 接口远程代码执行漏洞(CNNVD-201904-363、CVE-2019-0845)
漏洞简介:当Windows IOleCvt 接口呈现 ASP 网页内容时存在远程代码执行漏洞。攻击者可能操控经特殊设计的网站,通过 Microsoft 浏览器利用漏洞进行攻击,然后诱使用户查看该网站,成功利用此漏洞的攻击者可以远程运行恶意代码控制用户的系统。
7、Windows 远程代码执行漏洞(CNNVD-201904-430、CVE-2019-0856)
漏洞简介:当Windows不正确地处理内存中的对象时,会触发远程代码执行漏洞。经过身份验证的攻击者可以通过Windows远程注册表服务进行连接,从而导致Windows执行任意代码,成功利用此漏洞的攻击者可以控制受影响的系统。
8、Windows GDI 远程代码执行漏洞(CNNVD-201904-496、CVE-2019-0853)
漏洞简介:Windows 图形设备接口 (GDI) 处理内存中对象的方式中存在远程代码执行漏洞。成功利用此漏洞的攻击者可能会控制受影响的系统,攻击者可随后安装程序、查看、更改或删除数据,或者创建拥有完全用户权限的新帐户。
9、SMB 服务器特权提升漏洞(CNNVD-201904-423、CVE-2019-0786)
漏洞简介:当使用有效凭据的攻击者试图在计算机上通过 SMB 协议打开经特殊设计的文件时,Microsoft 服务器消息块 (SMB) 服务器会触发该漏洞。成功利用此漏洞的攻击者可以在操作系统中绕过特定安全检查,从而控制受影响的系统。
10、Microsoft Office 远程代码执行漏洞(CNNVD-201904-368、CVE-2019-0801)
漏洞简介:当 Microsoft Office 无法正确处理某些经过特殊设计的文件时,会触发远程代码执行漏洞。若要利用此漏洞,攻击者必须诱使用户打开一个经特殊设计的 URL 文件,该文件指向已下载的 Excel 或 PowerPoint 文件。
11、Microsoft Excel 远程代码执行漏洞(CNNVD-201904-378、CVE-2019-0828)
漏洞简介:当 Microsoft Excel无法正确处理内存中的对象时,会触发远程代码执行漏洞。成功利用此漏洞的攻击者可以在当前用户系统上运行任意代码。如果当前用户使用管理员权限登录,那么攻击者就可以控制受影响的系统。攻击者可随后安装程序、查看、更改或删除数据,或者创建拥有完全用户权限的新帐户。
.修复建议
目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方链接地址如下:
序号 | 漏洞名称 | 官方链接 |
1 | Windows 特权提升漏洞(CNNVD-201904-508、CVE-2019-0730)、(CNNVD-201904-353、CVE-2019-0796)、(CNNVD-201904-345、CVE-2019-0836)、(CNNVD-201904-337、CVE-2019-0841)、(CNNVD-201904-356、CVE-2019-0731) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0730 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0796 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0836 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0841 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0731 |
2 | Jet 数据库引擎远程代码执行漏洞(CNNVD-201904-498、CVE-2019-0846)、(CNNVD-201904-360、CVE-2019-0847)、(CNNVD-201904-362、CVE-2019-0851)、(CNNVD-201904-370、CVE-2019-0879)、(CNNVD-201904-366、CVE-2019-0877) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0846 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0847 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0851 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0879 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0877 |
3 | 脚本引擎内存损坏漏洞(CNNVD-201904-355、CVE-2019-0739)、(CNNVD-201904-357、CVE-2019-0752)、(CNNVD-201904-354、CVE-2019-0753) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0739 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0752 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0753 |
4 | Chakra 脚本引擎内存损坏漏洞(CNNVD-201904-352、CVE-2019-0806)、(CNNVD-201904-346、CVE-2019-0810)、(CNNVD-201904-347、CVE-2019-0812)、(CNNVD-201904-341、CVE-2019-0860)、(CNNVD-201904-342、CVE-2019-0861)、(CNNVD-201904-343、CVE-2019-0829) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0806 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0810 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0812 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0860 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0861 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0829 |
5 | Microsoft XML远程代码执行漏洞(CNNVD-201904-361、CVE-2019-0790)、(CNNVD-201904-338、CVE-2019-0791)、(CNNVD-201904-339、CVE-2019-0792)、(CNNVD-201904-335、CVE-2019-0793)、(CNNVD-201904-340、CVE-2019-0795) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0790 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0791 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0792 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0793 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0795 |
6 | Windows IOleCvt 接口远程代码执行漏洞(CNNVD-201904-363、CVE-2019-0845) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0845 |
7 | Windows 远程代码执行漏洞(CNNVD-201904-430、CVE-2019-0856) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0856 |
8 | Windows GDI 远程代码执行漏洞(CNNVD-201904-496、CVE-2019-0853) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0853 |
9 | SMB 服务器特权提升漏洞(CNNVD-201904-423、CVE-2019-0786) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0786 |
10 | Microsoft Office 远程代码执行漏洞(CNNVD-201904-368、CVE-2019-0801) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0801 |
11 | Microsoft Excel 远程代码执行漏洞(CNNVD-201904-378、CVE-2019-0828) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0828 |
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
