您所在的位置: 首頁 >
安全研究 >
安全通告 >
信息安全漏洞周報 (2022年第36期)
(2022 年第 36 期 總第 640 期)
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,本周(2022 年 8 月 29日至 2022 年 9 月 4 日)安全漏洞情況如下:
公開漏洞情況
本周 CNNVD 采集安全漏洞 364 個。
接報漏洞情況
本周 CNNVD 接報漏洞 8908 個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)86 個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)272 個,漏洞平臺推送漏洞 8550 個。
重大漏洞通報
GitLab 安全漏洞(CNNVD-202208-3803、CVE-2022-2884):成功利用漏洞的攻擊者可導(dǎo)入惡意制作的項目,進(jìn)而導(dǎo)致在目標(biāo)系統(tǒng)遠(yuǎn)程代碼執(zhí)行。GitLab(CE/EE)多版本受漏洞影響。目前,GitLab 官方已發(fā)布新版本修復(fù)了漏洞,請用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補措施。
一、公開漏洞情況
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,本周新增安全漏洞 364個,漏洞新增數(shù)量有所下降。從廠商分布來看谷歌公司新增漏洞最多,有 23 個;從漏洞類型來看,SQL 注入類的安全漏洞占比最大,達(dá)到7.14%。新增漏洞中,超危漏洞 58 個,高危漏洞 126 個,中危漏洞172 個,低危漏洞 8 個。相應(yīng)修復(fù)率分別為 58.62%、72.22%、68.60%和 100.00%。根據(jù)補丁信息統(tǒng)計,合計 251 個漏洞已有修復(fù)補丁發(fā)布,整體修復(fù)率為 68.96%。
(一) 安全漏洞增長數(shù)量情況
本周 CNNVD 采集安全漏洞 364 個。
(二) 安全漏洞分布情況
從廠商分布來看,谷歌公司新增漏洞最多,有 23 個。各廠商漏洞數(shù)量分布如表 1 所示。
本周國內(nèi)廠商漏洞 31 個,友訊公司漏洞數(shù)量最多,有 7 個。國內(nèi)廠商漏洞整體修復(fù)率為 50.00%。請受影響用戶關(guān)注廠商修復(fù)情況,及時下載補丁修復(fù)漏洞。
從漏洞類型來看, SQL 注入類的安全漏洞占比最大,達(dá)到 7.14%。漏洞類型統(tǒng)計如表 2 所示。
(三) 安全漏洞危害等級與修復(fù)情況
本周共發(fā)布超危漏洞 58 個,高危漏洞 126 個,中危漏洞 172 個,低危漏洞8個。相應(yīng)修復(fù)率分別為58.62%、72.22%、68.60%和100.00%。根據(jù)補丁信息統(tǒng)計,合計 251 個漏洞已有修復(fù)補丁發(fā)布,整體修復(fù)率為 68.96%。詳細(xì)情況如表 3 所示。
(四) 本周重要漏洞實例
本周重要漏洞實例如表 4 所示。
1. Apache OFBiz 安全漏洞(CNNVD-202209-094)
Apache OFBiz 是美國阿帕奇(Apache)基金會的一套企業(yè)資源計劃(ERP)系統(tǒng)。該系統(tǒng)提供了一整套基于 Java 的 Web 應(yīng)用程序組件和工具。
Apache OFBiz 18.12.05 版本及之前版本存在安全漏洞,該漏洞源于 Birt 插件存在錯誤。攻擊者利用該漏洞可以遠(yuǎn)程執(zhí)行代碼。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://lists.apache.org/thread/bvp3sczqq863lxr1wh7wjvdtjbkcwspq
2. Google Chrome 安全漏洞(CNNVD-202208-4409)
Google Chrome 是美國谷歌(Google)公司的一款 Web 瀏覽器。
Google Chrome 存在安全漏洞,該漏洞源于在 PhoneHub(可以查看手機的蜂窩信號,電池壽命等)中存在內(nèi)存釋放后重用問題。以下產(chǎn)品和版本受到影響:Chrome 105.0.5195.52 (Mac/linux)之前版本和 105.0.5195.52/53/54(Windows)之前版本。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_33.html
3. WordPress plugin WPIDE 路徑遍歷漏洞(CNNVD-202208-4343)6
WordPress 和 WordPress plugin 都是 WordPress 基金會的產(chǎn)品。WordPress 是一套使用 PHP 語言開發(fā)的博客平臺。該平臺支持在 PHP和 MySQL 的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin 是一個應(yīng)用插件。
WordPress plugin WPIDE 3.0 之前版本存在路徑遍歷漏洞,該漏洞源于不會對 filename 參數(shù)進(jìn)行清理和驗證。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://wpscan.com/vulnerability/f6091d7b-97b5-42f2-b2f4-09a0fe6d5a21
二、漏洞平臺推送情況
本周漏洞平臺推送漏洞 8550 個。
三、接報漏洞情況
本周 CNNVD 接報漏洞 358 個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)86 個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)272 個。(詳情略))
四、接報漏洞通報情況
本周 CNNVD 接報漏洞通報 105 份。(詳情略)
五、重大漏洞通報
CNNVD 關(guān)于 GitLab 安全漏洞的通報
近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于 GitLab 安全漏洞(CNNVD-202208-3803、CVE-2022-2884)情況的報送。經(jīng)身份驗證的攻擊者利用該漏洞可導(dǎo)入惡意制作的項目,進(jìn)而導(dǎo)致在目標(biāo)系統(tǒng)遠(yuǎn)程代碼執(zhí)行。GitLab(CE/EE)多版本受漏洞影響。目前,GitLab 官方已發(fā)布新版本修復(fù)了漏洞,請用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補措施。
. 漏洞介紹
GitLab 是美國 GitLab 公司的一款軟件項目倉庫應(yīng)用程序,具有版本控制、問題跟蹤、代碼審查、持續(xù)集成和持續(xù)交付等功能。
. 危害影響
經(jīng)身份驗證的攻擊者利用該漏洞可導(dǎo)入惡意制作的項目,進(jìn)而導(dǎo)致在目標(biāo)系統(tǒng)遠(yuǎn)程代碼執(zhí)行。GitLab(CE/EE)的 11.3.4 至 15.1.5之前版本、15.2 至 15.2.3 之前版本、15.3 至 15.3.1 之前版本受該漏洞影響。
.修復(fù)建議
目前,GitLab 官方已發(fā)布新版本修復(fù)了漏洞,請用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補措施。官方鏈接如下:
https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/
來源:國家信息安全漏洞庫網(wǎng)站