本周漏洞態(tài)勢研判情況

　　本周信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）本周共收集、整理信息安全漏洞484個，其中高危漏洞104個、中危漏洞328個、低危漏洞52個。漏洞平均分值為5.58。本周收錄的漏洞中，涉及0day漏洞344個（占71%），其中互聯(lián)網(wǎng)上出現(xiàn)“webTareas路徑遍歷漏洞、webTareas跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業(yè)單位的事件型漏洞總數(shù)20493個，與上周（13110個）環(huán)比增加56%。

　　圖1 CNVD收錄漏洞近10周平均分值分布圖

　　圖2 CNVD 0day漏洞總數(shù)按周統(tǒng)計

　　本周漏洞事件處置情況

　　本周，CNVD向銀行、保險、能源等重要行業(yè)單位通報漏洞事件24起，向基礎電信企業(yè)通報漏洞事件28起，協(xié)調(diào)CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件623起，協(xié)調(diào)教育行業(yè)應急組織驗證和處置高?？蒲性核到y(tǒng)漏洞事件147起，向國家上級信息安全協(xié)調(diào)機構上報涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件54起。

　　此外，CNVD通過已建立的聯(lián)系機制或涉事單位公開聯(lián)系渠道向以下單位通報了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞，具體處置單位情況如下所示：

　　淄博閃靈網(wǎng)絡科技有限公司、珠海玖時光科技有限公司、重慶新光互動科技有限公司、重慶華人會信息技術有限公司、中新網(wǎng)絡信息安全股份有限公司、中建西部建設股份有限公司、中國電信集團公司、浙江中易慧能科技有限公司、長沙友點軟件科技有限公司、友訊電子設備（上海）有限公司、用友網(wǎng)絡科技股份有限公司、煙臺晴好網(wǎng)絡科技有限公司、兄弟（中國）商業(yè)有限公司、新天科技股份有限公司、新都（青島）辦公系統(tǒng)有限公司、西安九佳易信息資訊有限公司、武漢達夢數(shù)據(jù)庫股份有限公司、微軟（中國）有限公司、同望科技股份有限公司、通力電梯有限公司、宿遷鑫潮信息技術有限公司、松下電器（中國）有限公司、世邦通信股份有限公司、石家莊捷搜網(wǎng)絡科技有限公司、深圳市友華通信技術有限公司、深圳市迅捷通信技術有限公司、深圳市西迪特科技有限公司、深圳市深日科技有限公司、深圳市藍凌軟件股份有限公司、深圳市吉祥騰達科技有限公司、深圳市朝恒輝網(wǎng)絡科技有限公司、深圳極速創(chuàng)想科技有限公司、深圳華望技術有限公司、紹興市青年軟件開發(fā)有限公司、上海華測導航技術股份有限公司、上海創(chuàng)圖網(wǎng)絡科技股份有限公司、山東領圖信息科技股份有限公司、廈門網(wǎng)中網(wǎng)軟件有限公司、廈門鳳凰創(chuàng)壹軟件有限公司、全訊匯聚網(wǎng)絡科技（北京）有限公司、普聯(lián)技術有限公司、南京科遠智慧科技集團股份有限公司、南京華設科技股份有限公司、摩莎科技（上海）有限公司、煤炭科學研究總院研究生院、龍采科技集團有限責任公司、廊坊市極致網(wǎng)絡科技有限公司、昆明云濤科技有限公司、佳能（中國）有限公司、吉翁電子（深圳）有限公司、華為技術有限公司、合肥優(yōu)視嵌入式技術有限責任公司、合肥久鑫網(wǎng)絡科技有限公司、杭州順網(wǎng)科技股份有限公司、漢王科技股份有限公司、桂林佳朋信息科技有限公司、貴州奧德網(wǎng)絡科技有限公司、廣州市成格信息技術有限公司、廣州獵客軟件科技有限公司、廣東旭誠科技有限公司、富泰華工業(yè)（深圳）有限公司、福州網(wǎng)鈦軟件科技有限公司、福建銀達匯智信息科技股份有限公司、福建星網(wǎng)銳捷通訊股份有限公司、帆軟軟件有限公司、東莞市信源計算機科技股份有限公司、得力集團有限公司、戴爾（中國）有限公司、大唐電信科技股份有限公司、大連龍采科技開發(fā)有限公司、成都萬江港利科技股份有限公司、成都生動網(wǎng)絡科技有限公司、成都愛誠科技有限公司、貝爾金國際有限公司、北京中遠麒麟科技有限公司、北京中創(chuàng)視訊科技有限公司、北京中成科信科技發(fā)展有限公司、北京星網(wǎng)銳捷網(wǎng)絡技術有限公司、北京偉業(yè)前程科技有限公司、北京網(wǎng)康科技有限公司、北京通達志成科技有限公司、北京通達信科科技有限公司、北京上元信安技術有限公司、北京康心心理信息技術有限公司、北京火星高科數(shù)字科技有限公司、北京漢邦高科數(shù)字技術股份有限公司、北京碧海威科技有限公司、北京奧博威斯科技有限公司、奧壹科技（廣州）有限公司、安科訊（福建）科技有限公司、無憂網(wǎng)絡、若依、京瓷辦公信息系統(tǒng)株式會社、zzcms、XnSoft、wazuh、VelosLLC、The Apache Software Foundation、Sapido Technology Inc、phpyun、Nacos、MuuCmf、Hancom、Genexis和Bandisoft。

　　本周漏洞報送情況統(tǒng)計

　　本周報送情況如表1所示。其中，北京奇虎科技有限公司、新華三技術有限公司、哈爾濱安天科技集團股份有限公司、廈門服云信息科技有限公司、北京神州綠盟科技有限公司等單位報送公開收集的漏洞數(shù)量較多。貴州多彩寶互聯(lián)網(wǎng)服務有限公司、聯(lián)想集團、山東云天安全技術有限公司、北京信聯(lián)科匯科技有限公司、河南靈創(chuàng)電子科技有限公司、廣東藍爵網(wǎng)絡安全技術股份有限公司、新疆海狼科技有限公司、長春嘉誠信息技術股份有限公司、杭州海康威視數(shù)字技術股份有限公司、南京樹安信息技術有限公司、浙江木鏈物聯(lián)網(wǎng)科技有限公司、福建省海峽信息技術有限公司、北京安帝科技有限公司、杭州迪普科技股份有限公司、內(nèi)蒙古云科數(shù)據(jù)服務股份有限公司、內(nèi)蒙古洞明科技有限公司、南京眾智維信息科技有限公司、北京云科安信科技有限公司（Seraph安全實驗室）、北京山石網(wǎng)科信息技術有限公司、北京華云安信息技術有限公司、重慶都會信息科技、北京網(wǎng)御星云信息技術有限公司、河南信安世紀科技有限公司、安元實驗室、蘇州棱鏡七彩信息科技有限公司、北京美亞柏科網(wǎng)絡安全科技有限公司、奇安信-工控安全實驗室、百度在線網(wǎng)絡技術有限公司、中移（杭州）信息技術有限公司、騰訊安全天馬實驗室、四川博恩信息技術有限公司、深圳市魔方安全科技有限公司、北京水木羽林科技有限公司、思而聽網(wǎng)絡科技有限公司、杭州天谷信息科技有限公司、北京機沃科技有限公司、山石網(wǎng)科通信技術股份有限公司、廣州安億信軟件科技有限公司、鄭州天宇鴻圖電子科技有限公司、安徽長泰科技有限公司、云南南天電子信息產(chǎn)業(yè)股份有限公司、華泰人壽保險股份有限公司、北方實驗室（沈陽）股份有限公司、蘇州棱鏡七彩信息科技有限公司、中國銀河證券股份有限公司、天訊瑞達通信技術有限公司及其他個人白帽子向CNVD提交了20493個以事件型漏洞為主的原創(chuàng)漏洞，其中包括斗象科技（漏洞盒子）、上海交大和奇安信網(wǎng)神（補天平臺）向CNVD共享的白帽子報送的17506條原創(chuàng)漏洞信息。

　　表1 漏洞報送情況統(tǒng)計表

　　本周漏洞按類型和廠商統(tǒng)計

　　本周，CNVD收錄了484個漏洞。智能設備（物聯(lián)網(wǎng)終端設備）159個， WEB應用138個，應用程序79個，網(wǎng)絡設備（交換機、路由器等網(wǎng)絡端設備）45個，操作系統(tǒng)43個，安全產(chǎn)品18個，數(shù)據(jù)庫2個。

　　表2 漏洞按影響類型統(tǒng)計表

　　圖6 本周漏洞按影響類型分布

　　CNVD整理和發(fā)布的漏洞涉及Huawei、Google、IBM等多家廠商的產(chǎn)品，部分漏洞數(shù)量按廠商統(tǒng)計如表3所示。

　　表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計表

　　本周行業(yè)漏洞收錄情況

　　本周，CNVD收錄了20個電信行業(yè)漏洞，30個移動互聯(lián)網(wǎng)行業(yè)漏洞，20個工控行業(yè)漏洞（如下圖所示）。其中，“Huawei Emui和Magic UI內(nèi)存訪問越界漏洞、Huawei Emui和Magic UI劫持未經(jīng)驗證提供商漏洞”等漏洞的綜合評級為“高?！?。相關廠商已經(jīng)發(fā)布了漏洞的修補程序，請參照CNVD相關行業(yè)漏洞庫鏈接。

　　電信行業(yè)漏洞鏈接：http://telecom.cnvd.org.cn/

　　移動互聯(lián)網(wǎng)行業(yè)漏洞鏈接：http://mi.cnvd.org.cn/

　　工控系統(tǒng)行業(yè)漏洞鏈接：http://ics.cnvd.org.cn/

　　本周重要漏洞安全告警

　　本周，CNVD整理和發(fā)布以下重要安全漏洞信息。

　　1、IBM產(chǎn)品安全漏洞

　　IBM InfoSphere Information Server是一個數(shù)據(jù)集成平臺，包含一系列產(chǎn)品，使您能夠理解、清理、監(jiān)控、轉(zhuǎn)換及傳送數(shù)據(jù)，以及協(xié)作以彌合業(yè)務與IT之間的差距。Ibm InfoSphere DataStage Flow Designer是美國Ibm公司的一個基于 Web 的數(shù)據(jù)階段流程設計器。IBM Cognos Analytics是美國IBM公司的一套商業(yè)智能軟件，可提供有價值的信息、安全的數(shù)據(jù)治理和報告。IBM Security Guardium是美國IBM公司的一套提供數(shù)據(jù)保護功能的平臺。該平臺包括自定義UI、報告管理和流線化的審計流程構建等功能。IBM Sterling B2B Integrator是美國IBM公司的一套集成了重要的B2B流程、交易和關系的軟件。該軟件支持與不同的合作伙伴社區(qū)之間實現(xiàn)復雜的B2B流程的安全集成。本周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，非法執(zhí)行SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù)，越權訪問“新作業(yè)”頁面，遠程執(zhí)行代碼等。

　　CNVD收錄的相關漏洞包括：IBM InfoSphere Information Server信息泄露漏洞（CNVD-2021-87010）、IBM Planning Analytics信息泄露漏洞（CNVD-2021-87013）、IBM InfoSphere DataStage Flow Designer代碼問題漏洞、IBM Sterling B2B Integrator授權問題漏洞（CNVD-2021-87017）、IBM Cognos Analytics權限提升漏洞（CNVD-2021-87015）、IBM Cognos Analytics遠程代碼執(zhí)行漏洞、IBM Security Guardium硬編碼憑證漏洞、IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2021-87020）。其中“IBM Security Guardium硬編碼憑證漏洞、IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2021-87020）”漏洞的綜合評級為“高?！?。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發(fā)漏洞相關的網(wǎng)絡安全事件。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-87010

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-87013

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-87012

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-87017

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-87015

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-87014

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-87021

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-87020

　　2、Huawei產(chǎn)品安全漏洞

　　Huawei Emui是一款基于Android開發(fā)的移動端操作系統(tǒng)。Magic Ui是一款基于Android開發(fā)的移動端操作系統(tǒng)。Huawei FusionCompute是中國華為（Huawei）公司的一款計算機虛擬化引擎。該產(chǎn)品提供虛擬資源管理器（VRM）和計算節(jié)點代理（CNA）等。Huawei AIS-BW50-00是中國華為（Huawei）公司的一款便攜式藍牙音箱。本周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞導致進程異常，劫持設備并偽造UI誘使用戶執(zhí)行惡意命令，在特定場景下處理證書文件時進行命令注入，在目標設備中執(zhí)行任意代碼等。

　　CNVD收錄的相關漏洞包括：Huawei Emui和Magic UI遠程DoS漏洞（CNVD-2021-84859）、Huawei Emui和Magic UI配置缺陷漏洞（CNVD-2021-84858、CNVD-2021-84860）、Huawei Emui和Magic UI目錄遍歷漏洞、Huawei Emui和Magic UI內(nèi)存訪問越界漏洞、Huawei Emui和Magic UI劫持未經(jīng)驗證提供商漏洞、Huawei FusionCompute命令注入漏洞（CNVD-2021-84882）、Huawei AIS-BW50-00授權問題漏洞。其中“Huawei Emui和Magic UI內(nèi)存訪問越界漏洞、Huawei Emui和Magic UI劫持未經(jīng)驗證提供商漏洞、Huawei FusionCompute命令注入漏洞（CNVD-2021-84882）、Huawei AIS-BW50-00授權問題漏洞”漏洞的綜合評級為“高?！薄Ｄ壳?，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發(fā)漏洞相關的網(wǎng)絡安全事件。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84860

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84859

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84858

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84857

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84869

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84877

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84882

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84884

　　3、Mozilla產(chǎn)品安全漏洞

　　Rust是Mozilla基金會的一款通用、編譯型編程語言。本周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用該漏洞創(chuàng)建釋放后使用訪問，導致并發(fā)程序中的數(shù)據(jù)競爭的錯誤，導致緩沖區(qū)溢出或堆溢出等。

　　CNVD收錄的相關漏洞包括：Mozilla Rust資源管理錯誤漏洞（CNVD-2021-85285、CNVD-2021-85301）、Mozilla Rust內(nèi)存損壞漏洞、Mozilla Rust命令注入漏洞（CNVD-2021-85287）、Mozilla Rust緩沖區(qū)溢出漏洞（CNVD-2021-85300、CNVD-2021-85299、CNVD-2021-85298、CNVD-2021-85297、）。其中“Mozilla Rust資源管理錯誤漏洞（CNVD-2021-85301）”漏洞的綜合評級為“高?！薄Ｄ壳?，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發(fā)漏洞相關的網(wǎng)絡安全事件。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85285

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85284

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85287

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85300

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85299

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85298

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85297

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85301

　　4、Google產(chǎn)品安全漏洞

　　Chrome是由Google開發(fā)的一款Web瀏覽工具。本周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息，導致程序崩潰或者拒絕服務等。

　　CNVD收錄的相關漏洞包括：Google Chrome輸入驗證不足漏洞（CNVD-2021-84801）、Google Chrome WebApp Installer實現(xiàn)不當漏洞、Google Chrome釋放后重用漏洞（CNVD-2021-84803、CNVD-2021-84808）、Google Chrome iFrame Sandbox實現(xiàn)不當漏洞、Google Chrome競爭條件漏洞（CNVD-2021-84805）、Google Chrome越界讀取漏洞（CNVD-2021-84804）、Google Chrome Blink實現(xiàn)不當漏洞（CNVD-2021-84806）。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發(fā)漏洞相關的網(wǎng)絡安全事件。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84801

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84800

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84803

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84802

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84805

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84804

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84806

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84808

　　5、D-Link DIR-823G命令注入漏洞（CNVD-2021-85889）

　　D-Link DIR-823G是一款AC1200M雙頻千兆無線路由器。本周，DIR-823G被披露存在命令注入漏洞。攻擊者可通過登錄部分的Captcha字段中的shell元字符利用該漏洞執(zhí)行任意Web腳本。目前，廠商尚未發(fā)布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85889

　　小結：本周，IBM產(chǎn)品被披露存在多個漏洞，攻擊者可利用該漏洞獲取受影響組件敏感信息，非法執(zhí)行SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù)，越權訪問“新作業(yè)”頁面，遠程執(zhí)行代碼等。此外，Huawei、Mozilla、Google等多款產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞導致進程異常，劫持設備并偽造UI誘使用戶執(zhí)行惡意命令，在特定場景下處理證書文件時進行命令注入，在目標設備中執(zhí)行任意代碼，獲取數(shù)據(jù)庫敏感信息，導致程序崩潰或者拒絕服務等。另外，D-Link DIR-823G被披露存在命令注入漏洞。攻擊者可通過登錄部分的Captcha字段中的shell元字符利用該漏洞執(zhí)行任意Web腳本。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。