您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
2022年CNVD漏洞周報(bào)第30期
(2022年07月25日-2022年07月31日)
本周漏洞態(tài)勢(shì)研判情況
本周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。
國(guó)家信息安全漏洞共享平臺(tái)(以下簡(jiǎn)稱(chēng)CNVD)本周共收集、整理信息安全漏洞622個(gè),其中高危漏洞181個(gè)、中危漏洞243個(gè)、低危漏洞198個(gè)。漏洞平均分值為5.14。本周收錄的漏洞中,涉及0day漏洞470個(gè)(占76%),其中互聯(lián)網(wǎng)上出現(xiàn)“Rescue Dispatch Management System SQL注入漏洞(CNVD-2022-53913)、TOTOLINK EX1200T命令注入漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機(jī)關(guān)和企事業(yè)單位的事件型漏洞總數(shù)7660個(gè),與上周(10876個(gè))環(huán)比減少30%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
本周漏洞事件處置情況
本周,CNVD向銀行、保險(xiǎn)、能源等重要行業(yè)單位通報(bào)漏洞事件28起,向基礎(chǔ)電信企業(yè)通報(bào)漏洞事件8起,協(xié)調(diào)CNCERT各分中心驗(yàn)證和處置涉及地方重要部門(mén)漏洞事件311起,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗(yàn)證和處置高校科研院所系統(tǒng)漏洞事件70起,向國(guó)家上級(jí)信息安全協(xié)調(diào)機(jī)構(gòu)上報(bào)涉及部委門(mén)戶(hù)、子站或直屬單位信息系統(tǒng)漏洞事件50起。
此外,CNVD通過(guò)已建立的聯(lián)系機(jī)制或涉事單位公開(kāi)聯(lián)系渠道向以下單位通報(bào)了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:(略)
本周漏洞報(bào)送情況統(tǒng)計(jì)
本周報(bào)送情況如表1所示。其中,新華三技術(shù)有限公司、深信服科技股份有限公司、北京啟明星辰信息安全技術(shù)有限公司、安天科技集團(tuán)股份有限公司、恒安嘉新(北京)科技股份公司等單位報(bào)送公開(kāi)收集的漏洞數(shù)量較多。北京華順信安科技有限公司、杭州默安科技有限公司、山東新潮信息技術(shù)有限公司、河南東方云盾信息技術(shù)有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、河南信安世紀(jì)科技有限公司、河南靈創(chuàng)電子科技有限公司、北京冠程科技有限公司、西安交大捷普網(wǎng)絡(luò)科技有限公司、蘇州棱鏡七彩信息科技有限公司、北京安帝科技有限公司、重慶都會(huì)信息科技有限公司、長(zhǎng)春嘉誠(chéng)信息技術(shù)股份有限公司、廣州易東信息安全技術(shù)有限公司、中國(guó)煙草總公司湖北省公司、湖北珞格科技發(fā)展有限公司、任子行網(wǎng)絡(luò)技術(shù)股份有限公司、北京安盟信息技術(shù)股份有限公司、貴州泰若數(shù)字科技有限公司、廣州安億信軟件科技有限公司、墨菲未來(lái)科技(北京)有限公司、北京山石網(wǎng)科信息技術(shù)有限公司、博智安全科技股份有限公司、南瑞集團(tuán)公司(國(guó)網(wǎng)電力科學(xué)研究院)、江蘇國(guó)泰新點(diǎn)軟件有限公司、北京賽博網(wǎng)安科技有限責(zé)任公司、上海紐盾科技股份有限公司、奇安星城網(wǎng)絡(luò)安全運(yùn)營(yíng)服務(wù)(長(zhǎng)沙)有限公司、中國(guó)銀行及其他個(gè)人白帽子向CNVD提交了7660個(gè)以事件型漏洞為主的原創(chuàng)漏洞,其中包括奇安信網(wǎng)神(補(bǔ)天平臺(tái))、斗象科技(漏洞盒子)、三六零數(shù)字安全科技集團(tuán)有限公司和上海交大向CNVD共享的白帽子報(bào)送的6091條原創(chuàng)漏洞信息。
表1 漏洞報(bào)送情況統(tǒng)計(jì)表(略)
本周漏洞按類(lèi)型和廠(chǎng)商統(tǒng)計(jì)
本周,CNVD收錄了622個(gè)漏洞。應(yīng)用程序234個(gè),WEB應(yīng)用230個(gè),網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器等網(wǎng)絡(luò)端設(shè)備)86個(gè),操作系統(tǒng)49個(gè),數(shù)據(jù)庫(kù)14個(gè),安全產(chǎn)品5個(gè),智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)4個(gè)。
表2 漏洞按影響類(lèi)型統(tǒng)計(jì)表
圖2 本周漏洞按影響類(lèi)型分布
CNVD整理和發(fā)布的漏洞涉及Carlo Montero、Google、TOTOLINK等多家廠(chǎng)商的產(chǎn)品,部分漏洞數(shù)量按廠(chǎng)商統(tǒng)計(jì)如表3所示。
表3 漏洞產(chǎn)品涉及廠(chǎng)商分布統(tǒng)計(jì)表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了63個(gè)電信行業(yè)漏洞,55個(gè)移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞,3個(gè)工控行業(yè)漏洞(如下圖所示)。其中,“Google Android緩沖區(qū)溢出漏洞(CNVD-2022-53367)、TOTOLINK N600R命令注入漏洞(CNVD-2022-53559)”等漏洞的綜合評(píng)級(jí)為“高?!?。相關(guān)廠(chǎng)商已經(jīng)發(fā)布了漏洞的修補(bǔ)程序,請(qǐng)參照CNVD相關(guān)行業(yè)漏洞庫(kù)鏈接。
電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/
移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/
工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖3 電信行業(yè)漏洞統(tǒng)計(jì)
圖4 移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計(jì)
圖5 工控系統(tǒng)行業(yè)漏洞統(tǒng)計(jì)
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、Google產(chǎn)品安全漏洞
Google Android是美國(guó)谷歌(Google)公司的一套以L(fǎng)inux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞獲取敏感信息,使用解析代碼中的錯(cuò)誤來(lái)遠(yuǎn)程使調(diào)制解調(diào)器崩潰,導(dǎo)致遠(yuǎn)程權(quán)限提升等。
CNVD收錄的相關(guān)漏洞包括:Google Android越界讀取漏洞(CNVD-2022-53368、CNVD-2022-53384)、Google Android緩沖區(qū)溢出漏洞(CNVD-2022-53367)、Google Android越界寫(xiě)入漏洞(CNVD-2022-53369、CNVD-2022-53385)、Google Android信息泄露漏洞(CNVD-2022-53372、CNVD-2022-53381、CNVD-2022-53380)。其中, “Google Android越界讀取漏洞(CNVD-2022-53368)、Google Android緩沖區(qū)溢出漏洞(CNVD-2022-53367)、Google Android越界寫(xiě)入漏洞(CNVD-2022-53369、CNVD-2022-53385)”的綜合評(píng)級(jí)為“高?!薄D壳?,廠(chǎng)商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶(hù)及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53368
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53367
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53369
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53372
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53381
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53380
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53384
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53385
2、Cybozu產(chǎn)品安全漏洞
Cybozu Garoon是日本才望子(Cybozu)公司的一套門(mén)戶(hù)型OA辦公系統(tǒng)。該系統(tǒng)提供門(mén)戶(hù)、E-mail、書(shū)簽、日程安排、公告欄、文件管理等功能。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞獲取敏感信息,禁用添加類(lèi)別,更改數(shù)據(jù),并在用戶(hù)瀏覽器中在易受攻擊的網(wǎng)站上下文中執(zhí)行任意HTML和腳本代碼等。
CNVD收錄的相關(guān)漏洞包括:Cybozu Garoon授權(quán)問(wèn)題漏洞(CNVD-2022-53804、CNVD-2022-54300、CNVD-2022-54304)、Cybozu Garoon輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-53806、CNVD-2022-54301、CNVD-2022-54303)、Cybozu Garoon操作限制繞過(guò)漏洞(CNVD-2022-54299)、Cybozu Garoon跨站腳本漏洞(CNVD-2022-54343)。目前,廠(chǎng)商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶(hù)及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53804
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53806
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54299
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54301
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54300
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54303
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54304
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54343
3、Huawei產(chǎn)品安全漏洞
Huawei HarmonyOS是中國(guó)華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei Emui是中國(guó)Huawei公司的一款基于Android開(kāi)發(fā)的移動(dòng)端操作系統(tǒng)。Honor Magic Ui是中國(guó)Honor公司的一款基于Android開(kāi)發(fā)的移動(dòng)端操作系統(tǒng)。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞提交特殊的請(qǐng)求,越界訪(fǎng)問(wèn),進(jìn)行拒絕服務(wù)攻擊等。
CNVD收錄的相關(guān)漏洞包括:Huawei HarmonyOS拒絕服務(wù)漏洞(CNVD-2022-53575、CNVD-2022-53574)、Huawei HarmonyOS資源管理錯(cuò)誤漏洞(CNVD-2022-53578、CNVD-2022-53579)、Huawei HarmonyOS權(quán)限控制錯(cuò)誤漏洞、Huawei HarmonyOS拒絕服務(wù)漏洞(CNVD-2022-53576)、Huawei Emui和Honor Magic Ui緩沖區(qū)溢出漏洞、Huawei EMUI輸入驗(yàn)證拒絕服務(wù)漏洞。目前,廠(chǎng)商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶(hù)及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53575
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53574
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53578
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53577
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53576
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53581
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53580
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53579
4、Oracle產(chǎn)品安全漏洞
Oracle MySQL Server是美國(guó)甲骨文(Oracle)公司的一款關(guān)系型數(shù)據(jù)庫(kù)。本周,上述產(chǎn)品被披露存在拒絕服務(wù)漏洞,攻擊者可利用漏洞通過(guò)多種協(xié)議訪(fǎng)問(wèn)網(wǎng)絡(luò)破壞MySQL Server,進(jìn)而導(dǎo)致MySQL Server掛起或頻繁重復(fù)崩潰(完全拒絕服務(wù))。
CNVD收錄的相關(guān)漏洞包括:Oracle MySQL Server拒絕服務(wù)漏洞(CNVD-2022-54312、CNVD-2022-54311、CNVD-2022-54310、CNVD-2022-54313、CNVD-2022-54315、CNVD-2022-54314、CNVD-2022-54317、CNVD-2022-54316)。目前,廠(chǎng)商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶(hù)及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54312
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54311
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54310
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54313
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54315
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54314
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54317
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54316
5、Apache HTTP Server輸入驗(yàn)證錯(cuò)誤漏洞
Apache HTTP Server是美國(guó)阿帕奇(Apache)基金會(huì)的一款開(kāi)源網(wǎng)頁(yè)服務(wù)器。該服務(wù)器具有快速、可靠且可通過(guò)簡(jiǎn)單的API進(jìn)行擴(kuò)充的特點(diǎn)。本周,Apache HTTP Server被披露存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于對(duì)調(diào)用r:parsebody(0)的lua腳本的惡意請(qǐng)求輸入未能限制,攻擊者利用該漏洞導(dǎo)致拒絕服務(wù)。目前,廠(chǎng)商尚未發(fā)布上述漏洞的修補(bǔ)程序。CNVD提醒廣大用戶(hù)隨時(shí)關(guān)注廠(chǎng)商主頁(yè),以獲取最新版本。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53584
更多高危漏洞如表4所示,詳細(xì)信息可根據(jù)CNVD編號(hào),在CNVD官網(wǎng)進(jìn)行查詢(xún)。參考鏈接:http://www.cnvd.org.cn/flaw/list.htm
表4 部分重要高危漏洞列表
小結(jié):本周,Google產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞獲取敏感信息,使用解析代碼中的錯(cuò)誤來(lái)遠(yuǎn)程使調(diào)制解調(diào)器崩潰,導(dǎo)致遠(yuǎn)程權(quán)限提升等。此外,Cybozu、Huawei、Oracle等多款產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞獲取敏感信息,禁用添加類(lèi)別,更改數(shù)據(jù),并在用戶(hù)瀏覽器中在易受攻擊的網(wǎng)站上下文中執(zhí)行任意HTML和腳本代碼,進(jìn)行拒絕服務(wù)攻擊等。另外,Apache HTTP Server被披露存在輸入驗(yàn)證錯(cuò)誤漏洞,攻擊者利用該漏洞導(dǎo)致拒絕服務(wù)。建議相關(guān)用戶(hù)隨時(shí)關(guān)注上述廠(chǎng)商主頁(yè),及時(shí)獲取修復(fù)補(bǔ)丁或解決方案。
(編輯:CNVD)
來(lái)源:國(guó)家信息安全漏洞共享平臺(tái)