《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > CNVD漏洞周報2021年第45期

CNVD漏洞周報2021年第45期

2021-11-15
來源:CNVD漏洞平臺
關鍵詞: CNVD漏洞

  本周漏洞態(tài)勢研判情況

  本周信息安全漏洞威脅整體評價級別為中。

  國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞484個,其中高危漏洞104個、中危漏洞328個、低危漏洞52個。漏洞平均分值為5.58。本周收錄的漏洞中,涉及0day漏洞344個(占71%),其中互聯(lián)網(wǎng)上出現(xiàn)“webTareas路徑遍歷漏洞、webTareas跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業(yè)單位的事件型漏洞總數(shù)20493個,與上周(13110個)環(huán)比增加56%。

  圖1 CNVD收錄漏洞近10周平均分值分布圖

  圖2 CNVD 0day漏洞總數(shù)按周統(tǒng)計

  本周漏洞事件處置情況

  本周,CNVD向銀行、保險、能源等重要行業(yè)單位通報漏洞事件24起,向基礎電信企業(yè)通報漏洞事件28起,協(xié)調(diào)CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件623起,協(xié)調(diào)教育行業(yè)應急組織驗證和處置高??蒲性核到y(tǒng)漏洞事件147起,向國家上級信息安全協(xié)調(diào)機構上報涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件54起。

  此外,CNVD通過已建立的聯(lián)系機制或涉事單位公開聯(lián)系渠道向以下單位通報了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:

  淄博閃靈網(wǎng)絡科技有限公司、珠海玖時光科技有限公司、重慶新光互動科技有限公司、重慶華人會信息技術有限公司、中新網(wǎng)絡信息安全股份有限公司、中建西部建設股份有限公司、中國電信集團公司、浙江中易慧能科技有限公司、長沙友點軟件科技有限公司、友訊電子設備(上海)有限公司、用友網(wǎng)絡科技股份有限公司、煙臺晴好網(wǎng)絡科技有限公司、兄弟(中國)商業(yè)有限公司、新天科技股份有限公司、新都(青島)辦公系統(tǒng)有限公司、西安九佳易信息資訊有限公司、武漢達夢數(shù)據(jù)庫股份有限公司、微軟(中國)有限公司、同望科技股份有限公司、通力電梯有限公司、宿遷鑫潮信息技術有限公司、松下電器(中國)有限公司、世邦通信股份有限公司、石家莊捷搜網(wǎng)絡科技有限公司、深圳市友華通信技術有限公司、深圳市迅捷通信技術有限公司、深圳市西迪特科技有限公司、深圳市深日科技有限公司、深圳市藍凌軟件股份有限公司、深圳市吉祥騰達科技有限公司、深圳市朝恒輝網(wǎng)絡科技有限公司、深圳極速創(chuàng)想科技有限公司、深圳華望技術有限公司、紹興市青年軟件開發(fā)有限公司、上海華測導航技術股份有限公司、上海創(chuàng)圖網(wǎng)絡科技股份有限公司、山東領圖信息科技股份有限公司、廈門網(wǎng)中網(wǎng)軟件有限公司、廈門鳳凰創(chuàng)壹軟件有限公司、全訊匯聚網(wǎng)絡科技(北京)有限公司、普聯(lián)技術有限公司、南京科遠智慧科技集團股份有限公司、南京華設科技股份有限公司、摩莎科技(上海)有限公司、煤炭科學研究總院研究生院、龍采科技集團有限責任公司、廊坊市極致網(wǎng)絡科技有限公司、昆明云濤科技有限公司、佳能(中國)有限公司、吉翁電子(深圳)有限公司、華為技術有限公司、合肥優(yōu)視嵌入式技術有限責任公司、合肥久鑫網(wǎng)絡科技有限公司、杭州順網(wǎng)科技股份有限公司、漢王科技股份有限公司、桂林佳朋信息科技有限公司、貴州奧德網(wǎng)絡科技有限公司、廣州市成格信息技術有限公司、廣州獵客軟件科技有限公司、廣東旭誠科技有限公司、富泰華工業(yè)(深圳)有限公司、福州網(wǎng)鈦軟件科技有限公司、福建銀達匯智信息科技股份有限公司、福建星網(wǎng)銳捷通訊股份有限公司、帆軟軟件有限公司、東莞市信源計算機科技股份有限公司、得力集團有限公司、戴爾(中國)有限公司、大唐電信科技股份有限公司、大連龍采科技開發(fā)有限公司、成都萬江港利科技股份有限公司、成都生動網(wǎng)絡科技有限公司、成都愛誠科技有限公司、貝爾金國際有限公司、北京中遠麒麟科技有限公司、北京中創(chuàng)視訊科技有限公司、北京中成科信科技發(fā)展有限公司、北京星網(wǎng)銳捷網(wǎng)絡技術有限公司、北京偉業(yè)前程科技有限公司、北京網(wǎng)康科技有限公司、北京通達志成科技有限公司、北京通達信科科技有限公司、北京上元信安技術有限公司、北京康心心理信息技術有限公司、北京火星高科數(shù)字科技有限公司、北京漢邦高科數(shù)字技術股份有限公司、北京碧海威科技有限公司、北京奧博威斯科技有限公司、奧壹科技(廣州)有限公司、安科訊(福建)科技有限公司、無憂網(wǎng)絡、若依、京瓷辦公信息系統(tǒng)株式會社、zzcms、XnSoft、wazuh、VelosLLC、The Apache Software Foundation、Sapido Technology Inc、phpyun、Nacos、MuuCmf、Hancom、Genexis和Bandisoft。

  本周漏洞報送情況統(tǒng)計

  本周報送情況如表1所示。其中,北京奇虎科技有限公司、新華三技術有限公司、哈爾濱安天科技集團股份有限公司、廈門服云信息科技有限公司、北京神州綠盟科技有限公司等單位報送公開收集的漏洞數(shù)量較多。貴州多彩寶互聯(lián)網(wǎng)服務有限公司、聯(lián)想集團、山東云天安全技術有限公司、北京信聯(lián)科匯科技有限公司、河南靈創(chuàng)電子科技有限公司、廣東藍爵網(wǎng)絡安全技術股份有限公司、新疆海狼科技有限公司、長春嘉誠信息技術股份有限公司、杭州海康威視數(shù)字技術股份有限公司、南京樹安信息技術有限公司、浙江木鏈物聯(lián)網(wǎng)科技有限公司、福建省海峽信息技術有限公司、北京安帝科技有限公司、杭州迪普科技股份有限公司、內(nèi)蒙古云科數(shù)據(jù)服務股份有限公司、內(nèi)蒙古洞明科技有限公司、南京眾智維信息科技有限公司、北京云科安信科技有限公司(Seraph安全實驗室)、北京山石網(wǎng)科信息技術有限公司、北京華云安信息技術有限公司、重慶都會信息科技、北京網(wǎng)御星云信息技術有限公司、河南信安世紀科技有限公司、安元實驗室、蘇州棱鏡七彩信息科技有限公司、北京美亞柏科網(wǎng)絡安全科技有限公司、奇安信-工控安全實驗室、百度在線網(wǎng)絡技術有限公司、中移(杭州)信息技術有限公司、騰訊安全天馬實驗室、四川博恩信息技術有限公司、深圳市魔方安全科技有限公司、北京水木羽林科技有限公司、思而聽網(wǎng)絡科技有限公司、杭州天谷信息科技有限公司、北京機沃科技有限公司、山石網(wǎng)科通信技術股份有限公司、廣州安億信軟件科技有限公司、鄭州天宇鴻圖電子科技有限公司、安徽長泰科技有限公司、云南南天電子信息產(chǎn)業(yè)股份有限公司、華泰人壽保險股份有限公司、北方實驗室(沈陽)股份有限公司、蘇州棱鏡七彩信息科技有限公司、中國銀河證券股份有限公司、天訊瑞達通信技術有限公司及其他個人白帽子向CNVD提交了20493個以事件型漏洞為主的原創(chuàng)漏洞,其中包括斗象科技(漏洞盒子)、上海交大和奇安信網(wǎng)神(補天平臺)向CNVD共享的白帽子報送的17506條原創(chuàng)漏洞信息。

  表1 漏洞報送情況統(tǒng)計表

  本周漏洞按類型和廠商統(tǒng)計

  本周,CNVD收錄了484個漏洞。智能設備(物聯(lián)網(wǎng)終端設備)159個, WEB應用138個,應用程序79個,網(wǎng)絡設備(交換機、路由器等網(wǎng)絡端設備)45個,操作系統(tǒng)43個,安全產(chǎn)品18個,數(shù)據(jù)庫2個。

  表2 漏洞按影響類型統(tǒng)計表

  圖6 本周漏洞按影響類型分布

  CNVD整理和發(fā)布的漏洞涉及Huawei、Google、IBM等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計如表3所示。

  表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計表

  本周行業(yè)漏洞收錄情況

  本周,CNVD收錄了20個電信行業(yè)漏洞,30個移動互聯(lián)網(wǎng)行業(yè)漏洞,20個工控行業(yè)漏洞(如下圖所示)。其中,“Huawei Emui和Magic UI內(nèi)存訪問越界漏洞、Huawei Emui和Magic UI劫持未經(jīng)驗證提供商漏洞”等漏洞的綜合評級為“高?!?。相關廠商已經(jīng)發(fā)布了漏洞的修補程序,請參照CNVD相關行業(yè)漏洞庫鏈接。

  電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/

  移動互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/

  工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/

  本周重要漏洞安全告警

  本周,CNVD整理和發(fā)布以下重要安全漏洞信息。

  1、IBM產(chǎn)品安全漏洞

  IBM InfoSphere Information Server是一個數(shù)據(jù)集成平臺,包含一系列產(chǎn)品,使您能夠理解、清理、監(jiān)控、轉(zhuǎn)換及傳送數(shù)據(jù),以及協(xié)作以彌合業(yè)務與IT之間的差距。Ibm InfoSphere DataStage Flow Designer是美國Ibm公司的一個基于 Web 的數(shù)據(jù)階段流程設計器。IBM Cognos Analytics是美國IBM公司的一套商業(yè)智能軟件,可提供有價值的信息、安全的數(shù)據(jù)治理和報告。IBM Security Guardium是美國IBM公司的一套提供數(shù)據(jù)保護功能的平臺。該平臺包括自定義UI、報告管理和流線化的審計流程構建等功能。IBM Sterling B2B Integrator是美國IBM公司的一套集成了重要的B2B流程、交易和關系的軟件。該軟件支持與不同的合作伙伴社區(qū)之間實現(xiàn)復雜的B2B流程的安全集成。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞獲取受影響組件敏感信息,非法執(zhí)行SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù),越權訪問“新作業(yè)”頁面,遠程執(zhí)行代碼等。

  CNVD收錄的相關漏洞包括:IBM InfoSphere Information Server信息泄露漏洞(CNVD-2021-87010)、IBM Planning Analytics信息泄露漏洞(CNVD-2021-87013)、IBM InfoSphere DataStage Flow Designer代碼問題漏洞、IBM Sterling B2B Integrator授權問題漏洞(CNVD-2021-87017)、IBM Cognos Analytics權限提升漏洞(CNVD-2021-87015)、IBM Cognos Analytics遠程代碼執(zhí)行漏洞、IBM Security Guardium硬編碼憑證漏洞、IBM Sterling B2B Integrator SQL注入漏洞(CNVD-2021-87020)。其中“IBM Security Guardium硬編碼憑證漏洞、IBM Sterling B2B Integrator SQL注入漏洞(CNVD-2021-87020)”漏洞的綜合評級為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關的網(wǎng)絡安全事件。

  參考鏈接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-87010

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-87013

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-87012

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-87017

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-87015

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-87014

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-87021

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-87020

  2、Huawei產(chǎn)品安全漏洞

  Huawei Emui是一款基于Android開發(fā)的移動端操作系統(tǒng)。Magic Ui是一款基于Android開發(fā)的移動端操作系統(tǒng)。Huawei FusionCompute是中國華為(Huawei)公司的一款計算機虛擬化引擎。該產(chǎn)品提供虛擬資源管理器(VRM)和計算節(jié)點代理(CNA)等。Huawei AIS-BW50-00是中國華為(Huawei)公司的一款便攜式藍牙音箱。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞導致進程異常,劫持設備并偽造UI誘使用戶執(zhí)行惡意命令,在特定場景下處理證書文件時進行命令注入,在目標設備中執(zhí)行任意代碼等。

  CNVD收錄的相關漏洞包括:Huawei Emui和Magic UI遠程DoS漏洞(CNVD-2021-84859)、Huawei Emui和Magic UI配置缺陷漏洞(CNVD-2021-84858、CNVD-2021-84860)、Huawei Emui和Magic UI目錄遍歷漏洞、Huawei Emui和Magic UI內(nèi)存訪問越界漏洞、Huawei Emui和Magic UI劫持未經(jīng)驗證提供商漏洞、Huawei FusionCompute命令注入漏洞(CNVD-2021-84882)、Huawei AIS-BW50-00授權問題漏洞。其中“Huawei Emui和Magic UI內(nèi)存訪問越界漏洞、Huawei Emui和Magic UI劫持未經(jīng)驗證提供商漏洞、Huawei FusionCompute命令注入漏洞(CNVD-2021-84882)、Huawei AIS-BW50-00授權問題漏洞”漏洞的綜合評級為“高?!薄D壳?,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關的網(wǎng)絡安全事件。

  參考鏈接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84860

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84859

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84858

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84857

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84869

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84877

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84882

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84884

  3、Mozilla產(chǎn)品安全漏洞

  Rust是Mozilla基金會的一款通用、編譯型編程語言。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用該漏洞創(chuàng)建釋放后使用訪問,導致并發(fā)程序中的數(shù)據(jù)競爭的錯誤,導致緩沖區(qū)溢出或堆溢出等。

  CNVD收錄的相關漏洞包括:Mozilla Rust資源管理錯誤漏洞(CNVD-2021-85285、CNVD-2021-85301)、Mozilla Rust內(nèi)存損壞漏洞、Mozilla Rust命令注入漏洞(CNVD-2021-85287)、Mozilla Rust緩沖區(qū)溢出漏洞(CNVD-2021-85300、CNVD-2021-85299、CNVD-2021-85298、CNVD-2021-85297、)。其中“Mozilla Rust資源管理錯誤漏洞(CNVD-2021-85301)”漏洞的綜合評級為“高?!薄D壳?,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關的網(wǎng)絡安全事件。

  參考鏈接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-85285

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-85284

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-85287

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-85300

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-85299

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-85298

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-85297

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-85301

  4、Google產(chǎn)品安全漏洞

  Chrome是由Google開發(fā)的一款Web瀏覽工具。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息,導致程序崩潰或者拒絕服務等。

  CNVD收錄的相關漏洞包括:Google Chrome輸入驗證不足漏洞(CNVD-2021-84801)、Google Chrome WebApp Installer實現(xiàn)不當漏洞、Google Chrome釋放后重用漏洞(CNVD-2021-84803、CNVD-2021-84808)、Google Chrome iFrame Sandbox實現(xiàn)不當漏洞、Google Chrome競爭條件漏洞(CNVD-2021-84805)、Google Chrome越界讀取漏洞(CNVD-2021-84804)、Google Chrome Blink實現(xiàn)不當漏洞(CNVD-2021-84806)。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關的網(wǎng)絡安全事件。

  參考鏈接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84801

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84800

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84803

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84802

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84805

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84804

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84806

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84808

  5、D-Link DIR-823G命令注入漏洞(CNVD-2021-85889)

  D-Link DIR-823G是一款AC1200M雙頻千兆無線路由器。本周,DIR-823G被披露存在命令注入漏洞。攻擊者可通過登錄部分的Captcha字段中的shell元字符利用該漏洞執(zhí)行任意Web腳本。目前,廠商尚未發(fā)布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關注廠商主頁,以獲取最新版本。

  參考鏈接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-85889

  小結:本周,IBM產(chǎn)品被披露存在多個漏洞,攻擊者可利用該漏洞獲取受影響組件敏感信息,非法執(zhí)行SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù),越權訪問“新作業(yè)”頁面,遠程執(zhí)行代碼等。此外,Huawei、Mozilla、Google等多款產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞導致進程異常,劫持設備并偽造UI誘使用戶執(zhí)行惡意命令,在特定場景下處理證書文件時進行命令注入,在目標設備中執(zhí)行任意代碼,獲取數(shù)據(jù)庫敏感信息,導致程序崩潰或者拒絕服務等。另外,D-Link DIR-823G被披露存在命令注入漏洞。攻擊者可通過登錄部分的Captcha字段中的shell元字符利用該漏洞執(zhí)行任意Web腳本。建議相關用戶隨時關注上述廠商主頁,及時獲取修復補丁或解決方案。




電子技術圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。

相關內(nèi)容