您所在的位置: 首頁 >
安全研究 >
安全通告 >
信息安全漏洞周報(2022年第28期)
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,本周(2022 年 7 月 4日至 2022 年 7 月 10 日)安全漏洞情況如下:
公開漏洞情況
本周 CNNVD 采集安全漏洞 280 個。
接報漏洞情況
本周 CNNVD 接報漏洞 3834 個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)99 個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)402 個,漏洞平臺推送漏洞 3333 個。
重大漏洞通報
OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274):成功利用此漏洞的攻擊者,可造成目標(biāo)機(jī)器內(nèi)存損壞,進(jìn)而在目標(biāo)機(jī)器遠(yuǎn)程執(zhí)行代碼。OpenSSL 3.0.4 版本受漏洞影響。目前,OpenSSL 官方已發(fā)布新版本修復(fù)了漏洞,請用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
一、公開漏洞情況
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,本周新增安全漏洞 280個,漏洞新增數(shù)量有所下降。從廠商分布來看谷歌公司新增漏洞最多,有 36 個;從漏洞類型來看,跨站腳本類的安全漏洞占比最大,達(dá)到7.14%。新增漏洞中,超危漏洞 21 個,高危漏洞 66 個,中危漏洞 178個,低危漏洞 15 個。相應(yīng)修復(fù)率分別為 52.38%、71.21%、87.08%和100.00%。根據(jù)補(bǔ)丁信息統(tǒng)計,合計 228 個漏洞已有修復(fù)補(bǔ)丁發(fā)布,整體修復(fù)率為 81.43%。
(一) 安全漏洞增長數(shù)量情況
本周 CNNVD 采集安全漏洞 280 個。
圖 1 近五周漏洞新增數(shù)量統(tǒng)計圖
(二) 安全漏洞分布情況
從廠商分布來看,谷歌公司新增漏洞最多,有 36 個。各廠商漏洞數(shù)量分布如表 1 所示。
表 1 新增安全漏洞排名前五廠商統(tǒng)計表
本周國內(nèi)廠商漏洞 38 個,中國聯(lián)發(fā)科技股份有限公司漏洞數(shù)量最多,有 11 個。國內(nèi)廠商漏洞整體修復(fù)率為 57.50%。請受影響用戶關(guān)注廠商修復(fù)情況,及時下載補(bǔ)丁修復(fù)漏洞。
從漏洞類型來看, 跨站腳本類的安全漏洞占比最大,達(dá)到7.14%。漏洞類型統(tǒng)計如表 3 所示。
表 2 漏洞類型統(tǒng)計表
(三) 安全漏洞危害等級與修復(fù)情況
本周共發(fā)布超危漏洞 21 個,高危漏洞 66 個,中危漏洞 178 個,低危漏洞 15 個。相應(yīng)修復(fù)率分別為 52.38%、71.21%、87.08%和100.00%。根據(jù)補(bǔ)丁信息統(tǒng)計,合計 228 個漏洞已有修復(fù)補(bǔ)丁發(fā)布,整體修復(fù)率為 81.43%。詳細(xì)情況如表 3 所示。
表 3 漏洞危害等級與修復(fù)情況
(四) 本周重要漏洞實例
本周重要漏洞實例如表 4 所示。
表 4 本期重要漏洞實例
1. WordPress plugin nextgen-galery 安全漏洞(CNNVD-202207-557)
WordPress 和 WordPress plugin 都是 WordPress 基金會的產(chǎn)品。WordPress 是一套使用 PHP 語言開發(fā)的博客平臺。該平臺支持在 PHP和 MySQL 的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin 是一個應(yīng)用插件。
WordPress plugin nextgen-galery 2.0.77.3 之前版本存在安全漏洞,該漏洞源于程序沒有驗證用戶上傳的文件。攻擊者利用該漏洞可以獲得對 Web 應(yīng)用程序的完全訪問權(quán)限。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:https://wpscan.com/vulnerability/c894727a-b779-4583-a860-13c2c27275d4
2. Cloud Mobility for Dell EMC Storage 安全漏洞(CNNVD-202207-617)
Cloud Mobility for Dell EMC Storage 是美國戴爾(Dell)公司的一款支持訪問公共云的快照備份產(chǎn)品。
Cloud Mobility for Dell EMC Storage 1.3.0 版本及之前版本存在安全漏洞。攻擊者利用該漏洞可以獲得 root 權(quán)限。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:https://www.dell.com/support/kbdoc/en-us/000201258/dsa-2022-182-cloud-mobility-for-dell-emc-storage-security-update-for-a-path-traversal-rce-vulnerability
3. Cisco Smart Software Manager On-Prem 和 Cisco Smart Software Manager 資源管理錯誤漏洞(CNNVD-202207-523)
Cisco Smart Software Manager On-Prem(SSM On-Prem)和 CiscoSmart Software Manager 都是美國思科(Cisco)公司的產(chǎn)品。CiscoSmart Software Manager On-Prem 是一款用于 Cisco 產(chǎn)品許可證管理的組件。Cisco Smart Software Manager 是一個為用于提供許可證智能管理功能的軟件。該軟件消除了繁瑣的產(chǎn)品激活密鑰(PAK)和許可證文件管理,使許可證節(jié)點不再鎖定到設(shè)備,可以支持在任何兼容的設(shè)備上使用許可證。
Cisco Smart Software Manager On-Prem 存在資源管理錯誤漏洞。遠(yuǎn)程攻擊者利用該漏洞可以執(zhí)行拒絕服務(wù)攻擊。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSe curityAdvisory/cisco-sa-onprem-privesc-tP6uNZOS
二、漏洞平臺推送情況
本周漏洞平臺推送漏洞 3333 個。
三、接報漏洞情況
本周 CNNVD 接報漏洞 501 個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)99 個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)402 個。
表 5 本周漏洞報送情況(略)
四、接報漏洞通報情況
本周 CNNVD 接報漏洞通報 142 份。(詳情略)
五、重大漏洞通報
CNNVD 關(guān)于 OpenSSL 安全漏洞的通報
近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于 OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274)情況的報送。成功利用此漏洞的攻擊者,可造成目標(biāo)機(jī)器內(nèi)存損壞,進(jìn)而在目標(biāo)機(jī)器遠(yuǎn)程執(zhí)行代碼。OpenSSL 3.0.4 版本受漏洞影響。目前,OpenSSL 官方已發(fā)布新版本修復(fù)了漏洞,請用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
. 漏洞介紹
OpenSSL 是 OpenSSL 團(tuán)隊開發(fā)的一個開源的能夠?qū)崿F(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫。該產(chǎn)品支持多種加密算法,包括對稱密碼、哈希算法、安全散列算法等。該漏洞源于計算機(jī)上具有 2048 位私鑰的 RSA 實現(xiàn)不正確,并且在計算過程中會發(fā)生內(nèi)存損壞,導(dǎo)致攻擊者可能會在執(zhí)行計算的機(jī)器上遠(yuǎn)程執(zhí)行代碼。
. 危害影響
成功利用此漏洞的攻擊者,可造成目標(biāo)機(jī)器內(nèi)存損壞,進(jìn)而在目標(biāo)機(jī)器遠(yuǎn)程執(zhí)行代碼。OpenSSL 3.0.4 版本受漏洞影響。
. 修復(fù)建議
目前,OpenSSL 官方已發(fā)布新版本修復(fù)了漏洞,請用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。官方鏈接如下:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=4d8a88c134df634ba610ff8db1eb8478ac5fd345
來源:國家信息安全漏洞庫