您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
2022年CNVD漏洞周報(bào)第27期
(2022年07月04日-2022年07月10日)
本周漏洞態(tài)勢(shì)研判情況
本周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。
國(guó)家信息安全漏洞共享平臺(tái)(以下簡(jiǎn)稱CNVD)本周共收集、整理信息安全漏洞385個(gè),其中高危漏洞107個(gè)、中危漏洞236個(gè)、低危漏洞42個(gè)。漏洞平均分值為5.90。本周收錄的漏洞中,涉及0day漏洞279個(gè)(占72%),其中互聯(lián)網(wǎng)上出現(xiàn)“Fast Food Ordering System SQL注入漏洞、Product Show Room Site SQL注入漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機(jī)關(guān)和企事業(yè)單位的事件型漏洞總數(shù)7858個(gè),與上周(6721個(gè))環(huán)比增加17%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
本周漏洞事件處置情況
本周,CNVD向銀行、保險(xiǎn)、能源等重要行業(yè)單位通報(bào)漏洞事件21起,向基礎(chǔ)電信企業(yè)通報(bào)漏洞事件19起,協(xié)調(diào)CNCERT各分中心驗(yàn)證和處置涉及地方重要部門漏洞事件610起,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗(yàn)證和處置高??蒲性核到y(tǒng)漏洞事件174起,向國(guó)家上級(jí)信息安全協(xié)調(diào)機(jī)構(gòu)上報(bào)涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件101起。
此外,CNVD通過已建立的聯(lián)系機(jī)制或涉事單位公開聯(lián)系渠道向以下單位通報(bào)了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:(略)
本周漏洞報(bào)送情況統(tǒng)計(jì)
本周報(bào)送情況如表1所示。其中,新華三技術(shù)有限公司、北京神州綠盟科技有限公司、北京數(shù)字觀星科技有限公司、深信服科技股份有限公司、安天科技集團(tuán)股份有限公司等單位報(bào)送公開收集的漏洞數(shù)量較多。貴州泰若數(shù)字科技有限公司、奇安星城網(wǎng)絡(luò)安全運(yùn)營(yíng)服務(wù)(長(zhǎng)沙)有限公司、河南東方云盾信息技術(shù)有限公司、北京眾安天下科技有限公司、杭州迪普科技股份有限公司、河南信安世紀(jì)科技有限公司、北京中百信信息技術(shù)股份有限公司、浙江大華技術(shù)股份有限公司、北京冠程科技有限公司、重慶都會(huì)信息科技有限公司、長(zhǎng)春嘉誠(chéng)信息技術(shù)股份有限公司、巨鵬信息科技有限公司、北京天地和興科技有限公司、上海紐盾科技股份有限公司、北京安帝科技有限公司、亞信科技(成都)有限公司、杭州默安科技有限公司、北京墨云科技有限公司、杭州美創(chuàng)科技有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、廣州百蘊(yùn)啟辰科技有限公司、浙江木鏈物聯(lián)網(wǎng)科技有限公司、北京升鑫網(wǎng)絡(luò)科技有限公司及其他個(gè)人白帽子向CNVD提交了7858個(gè)以事件型漏洞為主的原創(chuàng)漏洞,其中包括斗象科技(漏洞盒子)、三六零數(shù)字安全科技集團(tuán)有限公司、奇安信網(wǎng)神(補(bǔ)天平臺(tái))和上海交大向CNVD共享的白帽子報(bào)送的5998條原創(chuàng)漏洞信息。
表1 漏洞報(bào)送情況統(tǒng)計(jì)表(略)
本周漏洞按類型和廠商統(tǒng)計(jì)
本周,CNVD收錄了385個(gè)漏洞。WEB應(yīng)用154個(gè),應(yīng)用程序113個(gè),網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器等網(wǎng)絡(luò)端設(shè)備)74個(gè),操作系統(tǒng)27個(gè),智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)10個(gè),安全產(chǎn)品7個(gè)。
表2 漏洞按影響類型統(tǒng)計(jì)表
圖2 本周漏洞按影響類型分布
CNVD整理和發(fā)布的漏洞涉及Jenkins、D-Link、Adobe等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計(jì)如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計(jì)表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了54個(gè)電信行業(yè)漏洞,15個(gè)移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞,3個(gè)工控行業(yè)漏洞(如下圖所示)。其中,“Google Android權(quán)限提升漏洞(CNVD-2022-50272、CNVD-2022-50274)”等漏洞的綜合評(píng)級(jí)為“高?!薄O嚓P(guān)廠商已經(jīng)發(fā)布了漏洞的修補(bǔ)程序,請(qǐng)參照CNVD相關(guān)行業(yè)漏洞庫(kù)鏈接。
電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/
移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/
工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖3 電信行業(yè)漏洞統(tǒng)計(jì)
圖4 移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計(jì)
圖5 工控系統(tǒng)行業(yè)漏洞統(tǒng)計(jì)
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、Adobe產(chǎn)品安全漏洞
Adobe Bridge是美國(guó)奧多比(Adobe)公司的一款文件查看器。Adobe InDesign是美國(guó)奧多比(Adobe)公司的一套排版編輯應(yīng)用程序。Adobe InCopy是美國(guó)Adobe公司的一款用于創(chuàng)作的文本編輯軟件。Adobe Animate是美國(guó)奧多比(Adobe)公司的一套Flash動(dòng)畫制作軟件。Adobe Photoshop是美國(guó)奧多比(Adobe)公司的一套圖片處理軟件。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。
CNVD收錄的相關(guān)漏洞包括:Adobe Bridge越界寫入漏洞(CNVD-2022-50224)、Adobe InDesign堆緩沖區(qū)溢出漏洞(CNVD-2022-50228)、Adobe InCopy越界寫入漏洞(CNVD-2022-50232、CNVD-2022-50231、CNVD-2022-50230)、Adobe Animate越界寫入漏洞(CNVD-2022-50234)、Adobe Photoshop越界寫入漏洞(CNVD-2022-50238、CNVD-2022-50239)。上述漏洞的綜合評(píng)級(jí)為“高?!薄D壳?,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50224
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50228
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50232
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50231
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50230
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50234
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50238
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50239
2、IBM產(chǎn)品安全漏洞
IBM Cognos Controller是美國(guó)IBM公司的一套商業(yè)智能與計(jì)劃解決方案。該產(chǎn)品具有流程自動(dòng)化、財(cái)務(wù)審計(jì)控制、創(chuàng)建和管理財(cái)務(wù)報(bào)告等功能。IBM Security Verify Access(ISAM)是美國(guó)IBM公司的一款提高用戶訪問安全的服務(wù)。該服務(wù)通過使用基于風(fēng)險(xiǎn)的訪問、單點(diǎn)登錄、集成訪問管理控制、身份聯(lián)合以及移動(dòng)多因子認(rèn)證實(shí)現(xiàn)對(duì)Web、移動(dòng)、IoT 和云技術(shù)等平臺(tái)安全簡(jiǎn)單的訪問。IBM App Connect Enterprise是美國(guó)IBM公司的一個(gè)操作系統(tǒng)。IBM App Connect Enterprise將現(xiàn)有業(yè)界信任的IBM Integration Bus技術(shù)與IBM App Connect Professional以及新的云本機(jī)技術(shù)進(jìn)行了組合,提供一個(gè)可滿足現(xiàn)代數(shù)字企業(yè)全面集成需求的平臺(tái)。IBM Sterling Partner Engagement Manager是美國(guó)IBM公司的一個(gè)自動(dòng)化管理工具。IBM AIX是美國(guó)IBM公司的一款為IBM Power體系架構(gòu)開發(fā)的一種基于開放標(biāo)準(zhǔn)的UNIX操作系統(tǒng)。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞繞過安全限制,獲取敏感信息或可能更改某些信息,導(dǎo)致拒絕服務(wù)攻擊等。
CNVD收錄的相關(guān)漏洞包括:IBM Cognos Controller授權(quán)問題漏洞(CNVD-2022-48940、CNVD-2022-48941)、IBM Security Verify Access輸入驗(yàn)證錯(cuò)誤漏洞、IBM App Connect Enterprise Certified Container拒絕服務(wù)漏洞、IBM Sterling Partner Engagement Manager信息泄露漏洞、IBM AIX拒絕服務(wù)漏洞(CNVD-2022-48944、CNVD-2022-48943、CNVD-2022-48942)。其中,“IBM Cognos Controller授權(quán)問題漏洞(CNVD-2022-48940、CNVD-2022-48941)、IBM AIX拒絕服務(wù)漏洞(CNVD-2022-48944)”的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-48940
https://www.cnvd.org.cn/flaw/show/CNVD-2022-48939
https://www.cnvd.org.cn/flaw/show/CNVD-2022-48938
https://www.cnvd.org.cn/flaw/show/CNVD-2022-48937
https://www.cnvd.org.cn/flaw/show/CNVD-2022-48944
https://www.cnvd.org.cn/flaw/show/CNVD-2022-48943
https://www.cnvd.org.cn/flaw/show/CNVD-2022-48942
https://www.cnvd.org.cn/flaw/show/CNVD-2022-48941
3、Google產(chǎn)品安全漏洞
Google Chrome是美國(guó)谷歌(Google)公司的一款Web瀏覽器。Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞獲取敏感信息,提升權(quán)限,執(zhí)行任意代碼。
CNVD收錄的相關(guān)漏洞包括:Google Chrome WebRTC遠(yuǎn)程代碼執(zhí)行漏洞、Google Android權(quán)限提升漏洞(CNVD-2022-50272、CNVD-2022-50271、CNVD-2022-50276、CNVD-2022-50274、CNVD-2022-50273)、Google Android信息泄露漏洞(CNVD-2022-50275、CNVD-2022-50278)。其中,“Google Chrome WebRTC遠(yuǎn)程代碼執(zhí)行漏洞、Google Android權(quán)限提升漏洞(CNVD-2022-50272、CNVD-2022-50274)”的綜合評(píng)級(jí)為“高?!薄D壳?,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-49948
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50272
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50271
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50276
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50275
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50274
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50273
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50278
4、Cisco產(chǎn)品安全漏洞
Cisco Unified Communications Manager(CUCM,Unified CM,CallManager)是美國(guó)思科(Cisco)公司的一款統(tǒng)一通信系統(tǒng)中的呼叫處理組件。Unified Communications Manager Session Management Edition是Unified Communications Manager的會(huì)話管理版。Cisco Unity Connection是一套語音留言平臺(tái)。該平臺(tái)可利用語音命令,以免提方式撥打電話或收聽留言。Cisco AppDynamics Controller是美國(guó)思科(Cisco)公司的通過跨高度分布式應(yīng)用程序環(huán)境的精確跟蹤和分析來監(jiān)控和分析全棧數(shù)據(jù)。Cisco Smart Software Manager On-Prem是一款用于Cisco產(chǎn)品許可證管理的組件。Cisco Smart Software Manager是一個(gè)為用于提供許可證智能管理功能的軟件。該軟件消除了繁瑣的產(chǎn)品激活密鑰(PAK)和許可證文件管理,使許可證節(jié)點(diǎn)不再鎖定到設(shè)備,可以支持任何兼容的設(shè)備上使用許可證。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞讀取主機(jī)上的任意文件,獲取敏感信息,并在易受攻擊的用戶瀏覽器中執(zhí)行任意HTML和腳本代碼,造成拒絕服務(wù)等。
CNVD收錄的相關(guān)漏洞包括:Cisco Unified Communications Manager任意文件讀取漏洞(CNVD-2022-50625、CNVD-2022-50631)、Cisco Unified Communications Manager跨站腳本漏洞(CNVD-2022-50628、CNVD-2022-50630)、Cisco Unified Communications Manager和Cisco Unity Connection信息泄露漏洞、Cisco Unified Communications Manager訪問控制錯(cuò)誤漏洞、Cisco AppDynamics Controller授權(quán)問題漏洞、Cisco Smart Software Manager On-Prem和Cisco Smart Software Manager資源管理錯(cuò)誤漏洞。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50625
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50628
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50627
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50626
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50632
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50631
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50630
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50629
5、Jenkins Agent Server Parameter Plugin跨站腳本漏洞(CNVD-2022-49787)
Jenkins和Jenkins Plugin都是Jenkins開源的產(chǎn)品。Jenkins是一個(gè)應(yīng)用軟件。一個(gè)開源自動(dòng)化服務(wù)器Jenkins提供了數(shù)百個(gè)插件來支持構(gòu)建,部署和自動(dòng)化任何項(xiàng)目。Jenkins Plugin是一個(gè)應(yīng)用軟件。本周,Jenkins Agent Server Parameter Plugin被披露存在跨站腳本漏洞。該漏洞源于未在顯示參數(shù)的視圖上對(duì)Agent Server參數(shù)的名稱和描述進(jìn)行轉(zhuǎn)義,攻擊者可利用該漏洞在客戶端執(zhí)行JavaScript代碼。目前,廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。CNVD提醒廣大用戶隨時(shí)關(guān)注廠商主頁(yè),以獲取最新版本。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-49787
更多高危漏洞如表4所示,詳細(xì)信息可根據(jù)CNVD編號(hào),在CNVD官網(wǎng)進(jìn)行查詢。參考鏈接:http://www.cnvd.org.cn/flaw/list.htm
表4 部分重要高危漏洞列表
小結(jié):本周,Adobe產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。此外,IBM、Google、Cisco等多款產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞繞過安全限制,讀取主機(jī)上的任意文件,獲取敏感信息,執(zhí)行任意代碼,導(dǎo)致拒絕服務(wù)攻擊等。另外,Jenkins Agent Server Parameter Plugin被披露存在跨站腳本漏洞。攻擊者可利用該漏洞在客戶端執(zhí)行JavaScript代碼。建議相關(guān)用戶隨時(shí)關(guān)注上述廠商主頁(yè),及時(shí)獲取修復(fù)補(bǔ)丁或解決方案。(編輯:CNVD)
來源:CNVD漏洞平臺(tái)