您所在的位置: 首頁 >
安全研究 >
安全通告 >
信息安全漏洞月報2023年5月
漏洞態(tài)勢
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,2023年5月份采集安全漏洞共2412個。
本月接報漏洞28115個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)855個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)27260個,其中漏洞平臺推送漏洞26805個。
重大漏洞通報
微軟官方發(fā)布公告更新了Microsoft Windows Network File System 安全漏洞(CNNVD-202305-749、CVE-2023-24941)、Microsoft Windows PGM 安全漏洞(CNNVD-202305-747、CVE-2023-24943)等多個漏洞:成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補丁,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
漏洞態(tài)勢
一、公開漏洞情況
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,2023年5月份新增安全漏洞共2412個,從廠商分布來看,WordPress基金會公司產(chǎn)品的漏洞數(shù)量最多,共發(fā)布401個;從漏洞類型來看,跨站腳本類的漏洞占比最大,達到18.20%。本月新增漏洞中,超危漏洞321個、高危漏洞850個、中危漏洞1197個、低危漏洞44個,相應(yīng)修復(fù)率分別為66.67%、83.88%、84.13%以及95.45%。合計1976個漏洞已有修復(fù)補丁發(fā)布,本月整體修復(fù)率81.92%。
截至2023年5月31日,CNNVD采集漏洞總量已達211147個。
1.1 漏洞增長概況
2023年5月新增安全漏洞2412個,與上月(2304個)相比增加了4.69%。根據(jù)近6個月來漏洞新增數(shù)量統(tǒng)計圖,平均每月漏洞數(shù)量達到2300個。
圖1 2022年12月至2023年5月漏洞新增數(shù)量統(tǒng)計圖
1.2 漏洞分布情況
1.2.1 漏洞廠商分布
2023年5月廠商漏洞數(shù)量分布情況如表1所示,WordPress基金會公司漏洞達到401個,占本月漏洞總量的16.63%。
表1 2023年5月排名前十廠商新增安全漏洞統(tǒng)計表
1.2.2 漏洞產(chǎn)品分布
2023年5月主流操作系統(tǒng)的漏洞統(tǒng)計情況如表2所示。本月Windows系列操作系統(tǒng)漏洞數(shù)量共28個,Apple macOS漏洞數(shù)量最多,共47個,占主流操作系統(tǒng)漏洞總量的19.67%,排名第一。
表2 2023年5月主流操作系統(tǒng)漏洞數(shù)量統(tǒng)計表
1.2.3 漏洞類型分布
2023年5月份發(fā)布的漏洞類型分布如表3所示,其中跨站腳本類漏洞所占比例最大,約為18.20%。
表3 2023年5月漏洞類型統(tǒng)計表
1.2.4 漏洞危害等級分布
根據(jù)漏洞的影響范圍、利用方式、攻擊后果等情況,從高到低可將其分為四個危害等級,即超危、高危、中危和低危級別。2023年5月漏洞危害等級分布如圖2所示,其中超危漏洞321條,占本月漏洞總數(shù)的13.31%。
圖2 2023年5月漏洞危害等級分布
1.3漏洞修復(fù)情況
1.3.1 整體修復(fù)情況
2023年5月漏洞修復(fù)情況按危害等級進行統(tǒng)計見圖3。其中低危漏洞修復(fù)率最高,達到95.45%,超危漏洞修復(fù)率最低,比例為66.67%。
總體來看,本月整體修復(fù)率由上月的77.73%上升至本月的81.92%。
圖3 2023年5月漏洞修復(fù)數(shù)量統(tǒng)計
1.3.2 廠商修復(fù)情況
2023年5月漏洞修復(fù)情況按漏洞數(shù)量前十廠商進行統(tǒng)計,其中WordPress基金會、Intel、Apple等十個廠商共785條漏洞,占本月漏洞總數(shù)的32.55%,漏洞修復(fù)率為90.32%,詳細情況見表4。多數(shù)知名廠商對產(chǎn)品安全高度重視,產(chǎn)品漏洞修復(fù)比較及時,其中Intel、Apple、Google、Microsoft、IBM、Samsung、Cisco、AMD、Aruba Networks等公司本月漏洞修復(fù)率均為100%,共709條漏洞已全部修復(fù)。
1.4 重要漏洞實例
1.4.1 超危漏洞實例
2023年5月超危漏洞共321個,其中重要漏洞實例如表5所示。
表5 2023年5月超危漏洞實例
(此處省略)
1、IBM InfoSphere Information Server SQL注入漏洞(CNNVD-202305-1891)
IBM InfoSphere Information Server是美國國際商業(yè)機器(IBM)公司的一套數(shù)據(jù)整合平臺。該平臺可用于整合各種渠道獲取的數(shù)據(jù)信息。
IBM InfoSphere Information Server 11.7版本存在SQL注入漏洞,該漏洞源于允許攻擊者查看、添加、修改或刪除后端數(shù)據(jù)庫中的信息。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.ibm.com/support/pages/node/6988153
2、Apache StreamPark 代碼問題漏洞(CNNVD-202305-009)
Apache StreamPark是美國阿帕奇(Apache)基金會的一個流媒體應(yīng)用程序開發(fā)框架。
Apache StreamPark 存在代碼問題漏洞,該漏洞源于允許任何用戶上傳一個jar作為應(yīng)用程序,但沒有強制驗證上傳的文件類型,導(dǎo)致用戶上傳一些高危文件,并可能上傳到任意目錄。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://lists.apache.org/thread/thwl1v2h6r3c21x1qwff08o57qzjnst6
3、SICK FTMg 授權(quán)問題漏洞(CNNVD-202305-1344)
SICK FTMg是德國西克(SICK)公司的一款流量傳感器。
SICK FTMg AIR FLOW SENSOR存在安全漏洞,該漏洞源于使用密碼哈希而不是密碼進行身份驗證,允許非特權(quán)遠程攻擊者通過REST接口使用密碼哈希而不是實際密碼登錄到有效的用戶帳戶。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://sick.com/.well-known/csaf/white/2023/sca-2023-0004.pdf
4、Western Digital My Cloud 操作系統(tǒng)命令注入漏洞(CNNVD-202305-1003)
Western Digital My Cloud是美國西部數(shù)據(jù)(Western Digital)公司的一款個人云存儲設(shè)備。
Western Digital My Cloud OS 5 5.26.119之前版本存在安全漏洞,該漏洞源于存在操作系統(tǒng)命令注入漏洞,攻擊者利用該漏洞可以遠程執(zhí)行代碼并在獲得反向shell。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.westerndigital.com/support/product-security/wdc-23002-my-cloud-firmware-version-5-26-119
5、Rockwell Automation Arena Simulation Software 緩沖區(qū)錯誤漏洞(CNNVD-202305-672)
Rockwell Automation Arena Simulation Software是美國羅克韋爾(Rockwell Automation)公司的一套提供3D動畫和圖形功能的仿真軟件。
Rockwell Automation Arena Simulation Software存在緩沖區(qū)錯誤漏洞。攻擊者利用該漏洞可以執(zhí)行任意代碼,從而導(dǎo)致機密性、完整性和可用性的完全喪失。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1139391
6、Snap One OvrC Cloud 訪問控制錯誤漏洞(CNNVD-202305-1684)
Snap One OvrC是美國Snap One公司的一款基于云的免費遠程管理和監(jiān)控平臺。
Snap One OvrC Cloud存在訪問控制錯誤漏洞,該漏洞源于不當(dāng)訪問控制,攻擊者利用該漏洞可以繞過要求并直接索取設(shè)備。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.snapav.com/shop/en/snapav/ovrc-pro
7、Linux kernel 資源管理錯誤漏洞(CNNVD-202305-1929)
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。
Linux kernel 存在安全漏洞,該漏洞源于在并發(fā) iptables 規(guī)則替換期間每個 CPU 序列計數(shù)被錯誤處理,導(dǎo)致在數(shù)據(jù)包處理上下文中可能存在釋放后重用。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cc00bcaa589914096edef7fb87ca5cee4a166b5c
8、Django 輸入驗證錯誤漏洞(CNNVD-202305-200)
Django是Django基金會的一套基于Python語言的開源Web應(yīng)用框架。該框架包括面向?qū)ο蟮挠成淦?、視圖系統(tǒng)、模板系統(tǒng)等。
Django存在安全漏洞,該漏洞源于使用一個表單字段上傳多個文件時可以繞過驗證。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.djangoproject.com/weblog/2023/may/03/security-releases/
1.4.2 高危漏洞實例
2023年5月高危漏洞共850個,其中重要漏洞實例如表6所示。
表6 2023年5月高危漏洞實例
(此處省略)
1、IBM i SQL注入漏洞(CNNVD-202305-223)
IBM i是美國國際商業(yè)機器(IBM)公司的一套運行在IBM Power Systems和IBM PureSystems中的操作系統(tǒng)。
IBM i 7.2版本至7.5版本存在安全漏洞,該漏洞源于可能允許經(jīng)過身份驗證的特權(quán)管理員在非默認配置中獲得提升的特權(quán)。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.ibm.com/support/pages/node/6987767
2、Apache InLong 代碼問題漏洞(CNNVD-202305-1963)
Apache InLong是美國阿帕奇(Apache)基金會的一站式的海量數(shù)據(jù)集成框架。提供自動化、安全、可靠的數(shù)據(jù)傳輸能力。
Apache InLong 1.4.0版本至1.6.0版本存在代碼問題漏洞,該漏洞源于使用未知或不受信任的數(shù)據(jù)。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://lists.apache.org/thread/bkcgbn9l61croxfyspf7xd42qb189s3z
3、Intel Data Center Manager 授權(quán)問題漏洞(CNNVD-202305-805)
Intel Data Center Manager是美國英特爾(Intel)公司的一種軟件解決方案。可收集和分析數(shù)據(jù)中心內(nèi)各種設(shè)備的實時運行狀況、功率和熱量,幫助提高效率和正常運行時間。
Intel Data Center Manager 5.1之前版本存在安全漏洞。攻擊者利用該漏洞可以升級權(quán)限。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00806.html
4、F5 BIG-IP 操作系統(tǒng)命令注入漏洞(CNNVD-202305-154)
F5 BIG-IP是美國F5公司的一款集成了網(wǎng)絡(luò)流量管理、應(yīng)用程序安全管理、負載均衡等功能的應(yīng)用交付平臺。
F5 BIG-IP存在操作系統(tǒng)命令注入漏洞,該漏洞源于存在經(jīng)過身份驗證的遠程命令執(zhí)行漏洞。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://my.f5.com/manage/s/article/K000132972
5、Google Chrome 緩沖區(qū)錯誤漏洞(CNNVD-202305-1270)
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。
Google Chrome ChromeOS 113.0.5672.114之前版本存在安全漏洞。攻擊者利用該漏洞通過特制的音頻文件導(dǎo)致堆損壞。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-chromeos.html
6、Cisco Business Wireless Access Points 訪問控制錯誤漏洞(CNNVD-202305-1753)
Cisco Business Wireless Access Points是美國思科(Cisco)公司的商用無線接入解決方案。
Cisco Business Wireless Access Points (APs) 存在安全漏洞,該漏洞源于來賓用戶的社交登錄配置選項中存在一個漏洞。未經(jīng)身份驗證的相鄰攻擊者利用該漏洞可以繞過社交登錄身份驗證。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cbw-auth-bypass-ggnAfdZ
7、Google Chrome 資源管理錯誤漏洞(CNNVD-202305-1575)
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。
Google Chrome 113.0.5672.126之前版本存在安全漏洞,該漏洞源于釋放后重用,允許攻擊者說服用戶安裝惡意擴展程序,從而可能通過精心制作的HTML頁面利用堆損壞。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_16.html
8、Cloudflared 輸入驗證錯誤漏洞(CNNVD-202305-1131)
Cloudflare cloudflared是美國Cloudflare公司的一個云服務(wù)器安全管理平臺。該平臺可提供防火墻分析、緩存控制、基于角色訪問等功能。
Cloudflared v1.20230419.0之前版本存在安全漏洞,該漏洞源于FormData API的實現(xiàn)會出現(xiàn)整數(shù)溢出。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://github.com/cloudflare/workerd/security/advisories/GHSA-8vx6-69vg-c46f
二、漏洞平臺推送情況
2023年5月漏洞平臺推送漏洞26805個。
表7 2023年5月漏洞平臺推送情況表
三、接報漏洞情況
2023年5月接報漏洞1310個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)855個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)455個。
表8 2023年5月接報漏洞情況表
(此處省略)
四、重大漏洞通報
微軟多個安全漏洞的通報
近日,微軟官方發(fā)布了多個安全漏洞的公告,其中微軟產(chǎn)品本身漏洞51個,影響到微軟產(chǎn)品的其他廠商漏洞1個。包括Microsoft Windows Network File System 安全漏洞(CNNVD-202305-749、CVE-2023-24941)、Microsoft Windows PGM 安全漏洞(CNNVD-202305-747、CVE-2023-24943)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補丁,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
. 漏洞介紹
2023年5月9日,微軟發(fā)布了2023年5月份安全更新,共52個漏洞的補丁程序,CNNVD對這些漏洞進行了收錄。本次更新主要涵蓋了Microsoft Windows 和 Windows 組件、Microsoft Bluetooth Driver、Microsoft Teams、Microsoft Windows Win32K、Microsoft Remote Desktop Client、Microsoft Windows Codecs Library等。CNNVD對其危害等級進行了評價,其中超危漏洞3個,高危漏洞32個,中危漏洞16個,低危漏洞1個。微軟多個產(chǎn)品和系統(tǒng)版本受漏洞影響,具體影響范圍可訪問微軟官方網(wǎng)站查詢:
https://portal.msrc.microsoft.com/zh-cn/security-guidance
. 漏洞詳情
此次更新共包括38個新增漏洞的補丁程序,其中超危漏洞2個,高危漏洞24個,中危漏洞11個,低危漏洞1個。
(此處省略)
此次更新共包括13個更新漏洞的補丁程序,其中超危漏洞1個,高危漏洞8個,中危漏洞4個。
(此處省略)
此次更新共包括1個影響微軟產(chǎn)品的其他廠商漏洞的補丁程序,其中中危漏洞1個。
. 修復(fù)建議
目前,微軟官方已經(jīng)發(fā)布補丁修復(fù)了上述漏洞,建議用戶及時確認漏洞影響,盡快采取修補措施。微軟官方補丁下載地址:
https://msrc.microsoft.com/update-guide/en-us
來源:CNNVD安全動態(tài)