您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
2022年CNVD漏洞周報(bào)第29期
(2022年07月18日-2022年07月24日)
本周漏洞態(tài)勢(shì)研判情況
本周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。
國(guó)家信息安全漏洞共享平臺(tái)(以下簡(jiǎn)稱CNVD)本周共收集、整理信息安全漏洞347個(gè),其中高危漏洞130個(gè)、中危漏洞180個(gè)、低危漏洞37個(gè)。漏洞平均分值為6.16。本周收錄的漏洞中,涉及0day漏洞280個(gè)(占81%),其中互聯(lián)網(wǎng)上出現(xiàn)“Tenda M3 formSetStoreWeb函數(shù)緩沖區(qū)溢出漏洞、政機(jī)關(guān)和企事業(yè)單位的事件型漏洞總數(shù)10876個(gè),與上周(6909個(gè))環(huán)比增加57%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
本周漏洞事件處置情況
本周,CNVD向銀行、保險(xiǎn)、能源等重要行業(yè)單位通報(bào)漏洞事件40起,向基礎(chǔ)電信企業(yè)通報(bào)漏洞事件13起,協(xié)調(diào)CNCERT各分中心驗(yàn)證和處置涉及地方重要部門漏洞事件1367起,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗(yàn)證和處置高??蒲性核到y(tǒng)漏洞事件190起,向國(guó)家上級(jí)信息安全協(xié)調(diào)機(jī)構(gòu)上報(bào)涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件115起。
此外,CNVD通過(guò)已建立的聯(lián)系機(jī)制或涉事單位公開聯(lián)系渠道向以下單位通報(bào)了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:(略)
本周,CNVD發(fā)布了《Oracle發(fā)布2022年7月的安全公告》。詳情參見CNVD網(wǎng)站公告內(nèi)容。
https://www.cnvd.org.cn/webinfo/show/7916
本周漏洞報(bào)送情況統(tǒng)計(jì)
本周報(bào)送情況如表1所示。其中,深信服科技股份有限公司、北京神州綠盟科技有限公司、新華三技術(shù)有限公司、北京數(shù)字觀星科技有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司等單位報(bào)送公開收集的漏洞數(shù)量較多。北京華順信安科技有限公司、貴州泰若數(shù)字科技有限公司、奇安星城網(wǎng)絡(luò)安全運(yùn)營(yíng)服務(wù)(長(zhǎng)沙)有限公司、杭州迪普科技股份有限公司、河南東方云盾信息技術(shù)有限公司、北京山石網(wǎng)科信息技術(shù)有限公司、蘇州棱鏡七彩信息科技有限公司、河南靈創(chuàng)電子科技有限公司、平安銀河實(shí)驗(yàn)室、北京遠(yuǎn)禾科技有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、統(tǒng)信軟件技術(shù)有限公司、浙江木鏈物聯(lián)網(wǎng)科技有限公司、中能融合智慧科技有限公司攻防實(shí)驗(yàn)室、快頁(yè)信息技術(shù)有限公司、山東新潮信息技術(shù)有限公司、北京冠程科技有限公司、廣州易東信息安全技術(shù)有限公司、上海紐盾科技股份有限公司、任子行網(wǎng)絡(luò)技術(shù)股份有限公司、墨菲未來(lái)科技(北京)有限公司、廣東唯頂信息科技股份有限公司、河南信安世紀(jì)科技有限公司、北京安盟信息技術(shù)股份有限公司、長(zhǎng)春嘉誠(chéng)信息技術(shù)股份有限公司、浙江安騰信息技術(shù)有限公司、南京深安科技有限公司、思而聽網(wǎng)絡(luò)科技有限公司、上海觀安信息技術(shù)股份有限公司、廣電奇安網(wǎng)絡(luò)科技(重慶)有限公司、福建省海峽信息技術(shù)有限公司、江蘇耘和計(jì)算機(jī)系統(tǒng)工程有限公司、華堡天建(天津)信息技術(shù)有限公司、騰訊安全天馬實(shí)驗(yàn)室、博智安全科技股份有限公司、河北千誠(chéng)電子科技有限公司、江西和爾惠信息技術(shù)有限公司、北京東方通科技股份有限公司、北京升鑫網(wǎng)絡(luò)科技有限公司、北京華云安信息技術(shù)有限公司、廣州安億信軟件科技有限公司及其他個(gè)人白帽子向CNVD提交了10876個(gè)以事件型漏洞為主的原創(chuàng)漏洞,其中包括斗象科技(漏洞盒子)、上海交大、奇安信網(wǎng)神(補(bǔ)天平臺(tái))和三六零數(shù)字安全科技集團(tuán)有限公司向CNVD共享的白帽子報(bào)送的8920條原創(chuàng)漏洞信息。
表1 漏洞報(bào)送情況統(tǒng)計(jì)表(略)
本周漏洞按類型和廠商統(tǒng)計(jì)
本周,CNVD收錄了347個(gè)漏洞。WEB應(yīng)用138個(gè),網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器等網(wǎng)絡(luò)端設(shè)備)76個(gè),應(yīng)用程序63個(gè),操作系統(tǒng)38個(gè),智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)24個(gè),數(shù)據(jù)庫(kù)7個(gè),安全產(chǎn)品1個(gè)。
表2 漏洞按影響類型統(tǒng)計(jì)表
圖2 本周漏洞按影響類型分布
CNVD整理和發(fā)布的漏洞涉及Google、新華三技術(shù)有限公司、Oracle等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計(jì)如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計(jì)表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了57個(gè)電信行業(yè)漏洞,28個(gè)移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞,7個(gè)工控行業(yè)漏洞(如下圖所示)。其中,“Google Android資源管理錯(cuò)誤漏洞(CNVD-2022-52275)、Google Android任意代碼執(zhí)行漏洞”等漏洞的綜合評(píng)級(jí)為“高?!?。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補(bǔ)程序,請(qǐng)參照CNVD相關(guān)行業(yè)漏洞庫(kù)鏈接。
電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/
移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/
工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖3 電信行業(yè)漏洞統(tǒng)計(jì)
圖4 移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計(jì)
圖5 工控系統(tǒng)行業(yè)漏洞統(tǒng)計(jì)
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、Adobe產(chǎn)品安全漏洞
Adobe Character Animator是美國(guó)奧多比(Adobe)公司的一款動(dòng)作捕捉和動(dòng)畫制作工具。Adobe Photoshop是美國(guó)奧多比(Adobe)公司的一套圖片處理軟件。該軟件主要用于處理圖片。Adobe Media Encoder是美國(guó)奧多比(Adobe)公司的一款音、視頻編碼應(yīng)用程序。Adobe Acrobat是一套PDF文件編輯和轉(zhuǎn)換工具。Adobe Reader是一套PDF文檔閱讀軟件。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞導(dǎo)致敏感內(nèi)存泄露,在當(dāng)前用戶的上下文中執(zhí)行任意代碼等。
CNVD收錄的相關(guān)漏洞包括:Adobe Character Animator越界寫入漏洞、Adobe Photoshop越界寫入漏洞(CNVD-2022-52087)、Adobe Media Encoder內(nèi)存破壞漏洞(CNVD-2022-52098)、多款A(yù)dobe資源管理錯(cuò)誤漏洞(CNVD-2022-52291)、多款A(yù)dobe產(chǎn)品緩沖區(qū)溢出漏洞(CNVD-2022-52922)、多款A(yù)dobe產(chǎn)品越界寫入漏洞(CNVD-2022-52921)、多款A(yù)dobe產(chǎn)品資源管理錯(cuò)誤漏洞(CNVD-2022-52920)、多款A(yù)dobe產(chǎn)品越界讀取漏洞(CNVD-2022-52924)。其中,除“多款A(yù)dobe產(chǎn)品越界讀取漏洞(CNVD-2022-52924)”外,其余漏洞的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52081
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52087
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52098
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52291
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52922
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52921
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52920
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52924
2、Huawei產(chǎn)品安全漏洞
Huawei MindSpore Community是中國(guó)華為(Huawei)公司的開源深度學(xué)習(xí)框架。HUAWEI EMUI是中國(guó)華為(HUAWEI)公司的一款基于Android開發(fā)的移動(dòng)端操作系統(tǒng)。HUAWEI HarmonyOS是中國(guó)華為(HUAWEI)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Honor Magic Ui是中國(guó)Honor公司的一款基于Android開發(fā)的移動(dòng)端操作系統(tǒng)。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞獲取敏感信息,導(dǎo)致設(shè)備崩潰等。
CNVD收錄的相關(guān)漏洞包括:Huawei MindSpore Community SparseToDense信息泄露漏洞、Huawei MindSpore Community Transpose信息泄露漏洞、HUAWEI EMUI信息泄露漏洞、HUAWEI HarmonyOS緩沖區(qū)溢出漏洞(CNVD-2022-52823)、HUAWEI HarmonyOS拒絕服務(wù)漏洞、HUAWEI HarmonyOS安全模塊授權(quán)問(wèn)題漏洞、HUAWEI HarmonyOS SystemUI模塊權(quán)限管理漏洞、Huawei Emui和Honor Magic Ui緩沖區(qū)溢出漏洞(CNVD-2022-52826)。其中,“HUAWEI HarmonyOS拒絕服務(wù)漏洞、Huawei Emui和Honor Magic Ui緩沖區(qū)溢出漏洞(CNVD-2022-52826)”的綜合評(píng)級(jí)為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52099
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52100
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52818
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52823
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52822
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52821
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52820
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52826
3、Google產(chǎn)品安全漏洞
Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞導(dǎo)致本地權(quán)限升級(jí)。
CNVD收錄的相關(guān)漏洞包括:Google Android權(quán)限提升漏洞(CNVD-2022-52264、CNVD-2022-52265、CNVD-2022-52268、CNVD-2022-52267、CNVD-2022-52271、CNVD-2022-52270)、Google Android緩沖區(qū)溢出漏洞(CNVD-2022-52274)、Google Android輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-52273)。上述漏洞的綜合評(píng)級(jí)為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52264
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52265
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52268
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52267
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52271
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52270
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52274
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52273
4、Oracle產(chǎn)品安全漏洞
Oracle PeopleSoft Enterprise PRTL Interaction Hub是美國(guó)甲骨文(Oracle)公司的一個(gè)企業(yè)門戶交互中心組件。Oracle Fusion Middleware(Oracle融合中間件)是美國(guó)甲骨文(Oracle)公司的一套面向企業(yè)和云環(huán)境的業(yè)務(wù)創(chuàng)新平臺(tái)。該平臺(tái)提供了中間件、軟件集合等功能。Oracle Access Manager是美國(guó)甲骨文(Oracle)公司的提供創(chuàng)新的新服務(wù)來(lái)補(bǔ)充傳統(tǒng)的訪問(wèn)管理功能。Oracle Database Server是美國(guó)甲骨文(Oracle)公司的一套關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)。該數(shù)據(jù)庫(kù)管理系統(tǒng)提供數(shù)據(jù)管理、分布式處理等功能。Oracle MySQL是美國(guó)甲骨文(Oracle)公司的一套開源的關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)。MySQL Server是其中的一個(gè)數(shù)據(jù)庫(kù)服務(wù)器組件。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞破壞或刪除數(shù)據(jù),導(dǎo)致拒絕服務(wù),執(zhí)行任意代碼等。
CNVD收錄的相關(guān)漏洞包括:Oracle MySQL輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-52562)、Oracle PeopleSoft Enterprise PRTL Interaction Hub訪問(wèn)控制錯(cuò)誤漏洞、Oracle Fusion Middleware Helidon輸入驗(yàn)證錯(cuò)誤漏洞、Oracle Access Manager存在輸入驗(yàn)證錯(cuò)誤漏洞、Oracle Database Server輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-52564)、Oracle WebLogic Server輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-52566)、Oracle MySQL輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-53246、CNVD-2022-53249)。其中“Oracle WebLogic Server存在拒絕服務(wù)漏洞、Oracle WebLogic Server輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-52566)、Oracle MySQL輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-53246)”漏洞的綜合評(píng)級(jí)為“高?!薄D壳?,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52562
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52561
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52560
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52565
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52564
https://www.cnvd.org.cn/flaw/show/CNVD-2022-52566
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53246
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53249
5、Juniper Networks Junos OS輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-53250)
Juniper Networks Junos OS是美國(guó)瞻博網(wǎng)絡(luò)(Juniper Networks)公司的一套專用于該公司的硬件設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)。該操作系統(tǒng)提供了安全編程接口和Junos SDK。本周,Juniper Networks Junos OS被披露存在輸入驗(yàn)證錯(cuò)誤漏洞。攻擊者利用該漏洞通過(guò)MPLS IPv6 Packet引起Jonos OS的致命錯(cuò)誤導(dǎo)致其拒絕服務(wù)。目前,廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。CNVD提醒廣大用戶隨時(shí)關(guān)注廠商主頁(yè),以獲取最新版本。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-53250
更多高危漏洞如表4所示,詳細(xì)信息可根據(jù)CNVD編號(hào),在CNVD官網(wǎng)進(jìn)行查詢。參考鏈接:http://www.cnvd.org.cn/flaw/list.htm
表4 部分重要高危漏洞列表
小結(jié):本周,Adobe產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞導(dǎo)致敏感內(nèi)存泄露,在當(dāng)前用戶的上下文中執(zhí)行任意代碼等。此外,Huawei、Google、Oracle等多款產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞獲取敏感信息,導(dǎo)致設(shè)備崩潰,執(zhí)行任意代碼等。另外,Juniper Networks Junos OS被披露存在輸入驗(yàn)證錯(cuò)誤漏洞。攻擊者可利用漏洞通過(guò)MPLS IPv6 Packet引起Jonos OS的致命錯(cuò)誤導(dǎo)致其拒絕服務(wù)。建議相關(guān)用戶隨時(shí)關(guān)注上述廠商主頁(yè),及時(shí)獲取修復(fù)補(bǔ)丁或解決方案。
(編輯:CNVD)
來(lái)源:國(guó)家信息安全漏洞共享平臺(tái)