您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
信息安全漏洞周報(bào)(2023年第15期)
根據(jù)國(guó)家信息安全漏洞庫(kù)(CNNVD)統(tǒng)計(jì),本周(2023年4月10日至2023年4月16日)安全漏洞情況如下:
公開(kāi)漏洞情況
本周CNNVD采集安全漏洞683個(gè)。
接報(bào)漏洞情況
本周CNNVD接報(bào)漏洞5667個(gè),其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)196個(gè),網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)76個(gè),漏洞平臺(tái)推送漏洞5395個(gè)。
重大漏洞通報(bào)
微軟多個(gè)安全漏洞:Microsoft Message Queuing 安全漏洞(CNNVD-202304-852、CVE-2023-21554)、Microsoft Windows PGM 安全漏洞(CNNVD-202304-844、CVE-2023-28250)。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶(hù)數(shù)據(jù),提升權(quán)限等。微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁,建議用戶(hù)及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
一、公開(kāi)漏洞情況
根據(jù)國(guó)家信息安全漏洞庫(kù)(CNNVD)統(tǒng)計(jì),本周新增安全漏洞683個(gè),漏洞新增數(shù)量有所上升。從廠商分布來(lái)看微軟公司新增漏洞最多,有98個(gè);從漏洞類(lèi)型來(lái)看,跨站腳本類(lèi)的安全漏洞占比最大,達(dá)到8.05%。新增漏洞中,超危漏洞65個(gè),高危漏洞225個(gè),中危漏洞381個(gè),低危漏洞12個(gè)。
(一)安全漏洞增長(zhǎng)數(shù)量情況
本周CNNVD采集安全漏洞683個(gè)。
圖1 近五周漏洞新增數(shù)量統(tǒng)計(jì)圖
(二) 安全漏洞分布情況
從廠商分布來(lái)看,微軟公司新增漏洞最多,有98個(gè)。各廠商漏洞數(shù)量分布如表1所示。
表1 新增安全漏洞排名前五廠商統(tǒng)計(jì)表
本周?chē)?guó)內(nèi)廠商漏洞42個(gè),紫光展銳公司漏洞數(shù)量最多,有11個(gè)。國(guó)內(nèi)廠商漏洞整體修復(fù)率為85.71%。請(qǐng)受影響用戶(hù)關(guān)注廠商修復(fù)情況,及時(shí)下載補(bǔ)丁修復(fù)漏洞。
從漏洞類(lèi)型來(lái)看, 跨站腳本類(lèi)的安全漏洞占比最大,達(dá)到8.05%。漏洞類(lèi)型統(tǒng)計(jì)如表2所示。
表2 漏洞類(lèi)型統(tǒng)計(jì)表
(三) 安全漏洞危害等級(jí)與修復(fù)情況
本周共發(fā)布超危漏洞65個(gè),高危漏洞225個(gè),中危漏洞381個(gè),低危漏洞12個(gè)。相應(yīng)修復(fù)率分別為78.46%、88.89%、79.00%和100.00%。根據(jù)補(bǔ)丁信息統(tǒng)計(jì),合計(jì)564個(gè)漏洞已有修復(fù)補(bǔ)丁發(fā)布,整體修復(fù)率為82.58%。詳細(xì)情況如表3所示。
表3 漏洞危害等級(jí)與修復(fù)情況
(四) 本周重要漏洞實(shí)例
本周重要漏洞實(shí)例如表4所示。
表4 本期重要漏洞實(shí)例
1.Apache Linkis 代碼問(wèn)題漏洞(CNNVD-202304-618)
Apache Linkis是美國(guó)阿帕奇(Apache)基金會(huì)的一款中間件產(chǎn)品,可以在上層應(yīng)用和底層數(shù)據(jù)引擎之間建立起有效的連接。
Apache Linkis 1.3.1版本及之前版本存在代碼問(wèn)題漏洞,該漏洞源于程序缺乏對(duì)參數(shù)的有效過(guò)濾。攻擊者利用該漏洞可以使用MySQL數(shù)據(jù)源和惡意參數(shù)觸發(fā)數(shù)據(jù)反序列化,導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,參考鏈接:
https://lists.apache.org/thread/18vv0m32oy51nzk8tbz13qdl5569y55l
2. Microsoft Windows Network Load Balancing 安全漏洞(CNNVD-202304-858)
Microsoft Windows是美國(guó)微軟(Microsoft)公司的一套個(gè)人設(shè)備使用的操作系統(tǒng)。
Microsoft Windows Network Load Balancing存在安全漏洞。以下產(chǎn)品和版本受到影響:Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation),Windows Server 2019,Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2019 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation),Windows Server 2008 for 32-bit Systems Service Pack 2,Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation),Windows Server 2008 for x64-based Systems Service Pack 2,Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation),Windows Server 2008 R2 for x64-based Systems Service Pack 1,Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation)。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,參考鏈接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28240
3. Linux kernel 安全漏洞(CNNVD-202304-1200)
Linux kernel是美國(guó)Linux基金會(huì)的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核。
Linux kernel存在安全漏洞,該漏洞源于程序沒(méi)有對(duì)用戶(hù)提供的數(shù)據(jù)進(jìn)行正確驗(yàn)證。攻擊者可以利用該漏洞可以提升權(quán)限并在內(nèi)核環(huán)境中執(zhí)行任意代碼。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,參考鏈接:
https://github.com/torvalds/linux/commit/05b252cccb2e5c3f56119d25de684b4f810ba4
二、漏洞平臺(tái)推送情況
本周CNNVD接收漏洞平臺(tái)推送漏洞5395個(gè)。
三、接報(bào)漏洞情況
本周CNNVD接報(bào)漏洞272個(gè),其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)196個(gè),網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)76個(gè)。
(詳情略)
四、收錄漏洞通報(bào)情況
本周CNNVD收錄漏洞通報(bào)163份。
(詳情略)
五、重大漏洞通報(bào)
CNNVD關(guān)于微軟多個(gè)安全漏洞的通報(bào)
近日,微軟官方發(fā)布了多個(gè)安全漏洞的公告,其中微軟產(chǎn)品本身漏洞101個(gè),影響到微軟產(chǎn)品的其他廠商漏洞1個(gè)。包括Microsoft Message Queuing 安全漏洞(CNNVD-202304-852、CVE-2023-21554)、Microsoft Windows PGM 安全漏洞(CNNVD-202304-844、CVE-2023-28250)等多個(gè)漏洞。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶(hù)數(shù)據(jù),提升權(quán)限等。微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁,建議用戶(hù)及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
1、漏洞介紹
2023年4月11日,微軟發(fā)布了2023年4月份安全更新,共102個(gè)漏洞的補(bǔ)丁程序,CNNVD對(duì)這些漏洞進(jìn)行了收錄。本次更新主要涵蓋了Microsoft Windows 和 Windows 組件、Microsoft Windows Secure Channel、Microsoft Defender、Microsoft Windows Boot Manager、Microsoft OLE DB Provider for SQL Server、Microsoft Windows ALPC等。CNNVD對(duì)其危害等級(jí)進(jìn)行了評(píng)價(jià),其中超危漏洞3個(gè),高危漏洞68個(gè),中危漏洞31個(gè)。微軟多個(gè)產(chǎn)品和系統(tǒng)版本受漏洞影響,具體影響范圍可訪(fǎng)問(wèn)微軟官方網(wǎng)站查詢(xún):
https://portal.msrc.microsoft.com/zh-cn/security-guidance
2、危害影響
此次更新共包括97個(gè)新增漏洞的補(bǔ)丁程序,其中超危漏洞2個(gè),高危漏洞66個(gè),中危漏洞29個(gè)。
(詳情略)
此次更新共包括4個(gè)更新漏洞的補(bǔ)丁程序,其中超危漏洞1個(gè),高危漏洞2個(gè),中危漏洞1個(gè)。
此次更新共包括1個(gè)影響微軟產(chǎn)品的其他廠商漏洞的補(bǔ)丁程序,其中中危漏洞1個(gè)。
3、修復(fù)建議
目前,微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞,建議用戶(hù)及時(shí)確認(rèn)漏洞影響,盡快采取修補(bǔ)措施。微軟官方補(bǔ)丁下載地址:
https://msrc.microsoft.com/update-guide/en-us
來(lái)源:CNNVD安全動(dòng)態(tài)