您所在的位置: 首頁 >
安全研究 >
安全通告 >
信息安全漏洞月報2022年11月
漏洞態(tài)勢
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,2022年11月份采集安全漏洞共1922個。
本月接報漏洞80163個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)612個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)79551個,其中漏洞平臺推送漏洞78534個。
重大漏洞通報
F5 BIG-IP 安全漏洞(CNNVD-202211-2929、CVE-2022-41622):攻擊者可以發(fā)送特制的 HTTP 請求以執(zhí)行未經(jīng)授權(quán)的操作。F5 BIG-IP 13.1.0等多個版本均受此漏洞影響。目前,F(xiàn)5官方已經(jīng)發(fā)布了修復(fù)漏洞的升級版本,建議用戶及時確認產(chǎn)品版本,盡快采取修補措施。
微軟官方發(fā)布公告更新了Microsoft Windows Kerberos 安全漏洞(CNNVD-202211-2306、CVE-2022-37966)、Microsoft Windows Kerberos 安全漏洞(CNNVD-202211-2288、CVE-2022-37967)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補丁,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
漏洞態(tài)勢
一、公開漏洞情況
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,2022年11月份新增安全漏洞共1922個,從廠商分布來看,WordPress基金會公司產(chǎn)品的漏洞數(shù)量最多,共發(fā)布193個;從漏洞類型來看,跨站腳本類的漏洞占比最大,達到14.52%。本月新增漏洞中,超危漏洞308個、高危漏洞694個、中危漏洞888個、低危漏洞32個,相應(yīng)修復(fù)率分別為62.01%、77.95%、77.48%以及84.38%。合計1447個漏洞已有修復(fù)補丁發(fā)布,本月整體修復(fù)率75.29%。
截至2022年11月30日,CNNVD采集漏洞總量已達197350個。
1.1 漏洞增長概況
2022年11月新增安全漏洞1922個,與上月(2001個)相比減少了3.95%。根據(jù)近6個月來漏洞新增數(shù)量統(tǒng)計圖,平均每月漏洞數(shù)量達到2094個。
圖1 2022年6月至2022年11月漏洞新增數(shù)量統(tǒng)計圖
1.2 漏洞分布情況
1.2.1 漏洞廠商分布
11月廠商漏洞數(shù)量分布情況如表1所示,WordPress基金會公司漏洞達到193個,占本月漏洞總量的10.04%。
表1 2022年11月排名前十廠商新增安全漏洞統(tǒng)計表
1.2.2 漏洞產(chǎn)品分布
2022年11月主流操作系統(tǒng)的漏洞統(tǒng)計情況如表2所示。本月Windows系列操作系統(tǒng)漏洞數(shù)量共44個,Windows Server 2022漏洞數(shù)量最多,共38個,占主流操作系統(tǒng)漏洞總量的9.57%,排名第一。
表2 2022年11月主流操作系統(tǒng)漏洞數(shù)量統(tǒng)計
1.2.3 漏洞類型分布
2022年11月份發(fā)布的漏洞類型分布如表3所示,其中跨站腳本類漏洞所占比例最大,約為14.52%。
表3 2022年11月漏洞類型統(tǒng)計表
1.2.4 漏洞危害等級分布
根據(jù)漏洞的影響范圍、利用方式、攻擊后果等情況,從高到低可將其分為四個危害等級,即超危、高危、中危和低危級別。2022年11月漏洞危害等級分布如圖2所示,其中超危漏洞308條,占本月漏洞總數(shù)的16.02%。
圖2 2022年11月漏洞危害等級分布
1.3漏洞修復(fù)情
1.3.1 整體修復(fù)情況
2022年11月漏洞修復(fù)情況按危害等級進行統(tǒng)計見圖3。其中低危漏洞修復(fù)率最高,達到84.38%,超危漏洞修復(fù)率最低,比例為62.01%。
總體來看,本月整體修復(fù)率由上月的74.01%上升至本月的75.29%。
圖3 2022年11月漏洞修復(fù)數(shù)量統(tǒng)計
1.3.2 廠商修復(fù)情況
2022年11月漏洞修復(fù)情況按漏洞數(shù)量前十廠商進行統(tǒng)計,其中WordPress基金會、Google、Microsoft等十個廠商共572條漏洞,占本月漏洞總數(shù)的29.76%,漏洞修復(fù)率為92.31%,詳細情況見表4。多數(shù)知名廠商對產(chǎn)品安全高度重視,產(chǎn)品漏洞修復(fù)比較及時,其中Siemens、Mozilla基金會、Git等公司本月漏洞修復(fù)率均為100%,共528條漏洞已全部修復(fù)。
表4 2022年11月廠商修復(fù)情況統(tǒng)計表
1.4 重要漏洞實例
1.4.1 超危漏洞實例
2022年11月超危漏洞共308個,其中重要漏洞實例如表5所示。
表5 2022年11月超危漏洞實例
(略)
1、WordPress plugin WooCommerce Dropshipping SQL注入漏洞(CNNVD-202211-2184)
WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin是一個應(yīng)用插件。
WordPress plugin WooCommerce Dropshipping 存在安全漏洞,該漏洞源于在通過未經(jīng)身份驗證的用戶可用的 REST 端點在SQL 語句中使用參數(shù)之前,未正確清理和轉(zhuǎn)義參數(shù),從而導致SQL 注入。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://wpscan.com/vulnerability/c5e395f8-257e-49eb-afbd-9c1e26045373
2、Sophos Mobile 代碼問題漏洞(CNNVD-202211-2919)
Sophos Mobile是英國Sophos公司的一個安全的統(tǒng)一端點管理(UEM)解決方案。
Sophos Mobile 5.0.0版本至9.7.4版本存在安全漏洞,該漏洞源于XML外部實體(XEE)問題,允許服務(wù)器端請求偽造(SSRF)和潛在代碼執(zhí)行。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.sophos.com/en-us/security-advisories/sophos-sa-20221116-smc-xee
3、Citrix Gateway和Citrix ADC 授權(quán)問題漏洞(CNNVD-202211-2372)
Citrix Systems Citrix Gateway(Citrix Systems NetScaler Gateway)和Citrix ADC都是美國思杰系統(tǒng)(Citrix Systems)公司的產(chǎn)品。Citrix Gateway是一套安全的遠程接入解決方案。該產(chǎn)品可為管理員提供應(yīng)用級和數(shù)據(jù)級管控功能,以實現(xiàn)用戶從任何地點遠程訪問應(yīng)用和數(shù)據(jù)。Citrix ADC是一個最全面的應(yīng)用程序交付和負載平衡解決方案。用于實現(xiàn)應(yīng)用程序安全性、整體可見性和可用性。
Citrix Gateway和Citrix ADC存在安全漏洞。攻擊者利用該漏洞訪問網(wǎng)關(guān)用戶功能。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516
4、Apache Airflow 操作系統(tǒng)命令注入漏洞(CNNVD-202211-3281)
Apache Airflow是美國阿帕奇(Apache)基金會的一套用于創(chuàng)建、管理和監(jiān)控工作流程的開源平臺。該平臺具有可擴展和動態(tài)監(jiān)控等特點。
Apache Airflow Pig Provider 4.0.0之前版本存在操作系統(tǒng)命令注入漏洞,該漏洞源于不恰當?shù)闹泻筒僮飨到y(tǒng)命令的特殊元素(操作系統(tǒng)命令注入)漏洞,允許攻擊者控制在任務(wù)執(zhí)行上下文中執(zhí)行的命令,而無需對DAG文件進行寫入訪問。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://lists.apache.org/thread/yxnfzfw2w9pj5s785k3rlyly4y44sd15
5、Google TensorFlow 緩沖區(qū)錯誤漏洞(CNNVD-202211-3082)
Google TensorFlow是美國谷歌(Google)公司的一套用于機器學習的端到端開源平臺。
Google TensorFlow 2.11 版本,2.10.1 版本之前的 2.10.x 版本存在緩沖區(qū)錯誤漏洞,該漏洞源于該安全漏洞導致 FractionalMax(AVG)Pool 具有非法的 pooling_ratio。使用Tensorflow 的攻擊者可以利用該漏洞。他們可以訪問不受用戶控制的堆內(nèi)存,導致崩潰或遠程代碼執(zhí)行。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://github.com/tensorflow/tensorflow/security/advisories/GHSA-xvwp-h6jv-7472
6、VMware Workspace ONE Assist 訪問控制錯誤漏洞(CNNVD-202211-2484)
VMware Workspace ONE Assist是美國威睿(VMware)公司的一個實時遠程支持解決方案。允許VMware Workspace ONE UEM 管理員實時遠程訪問設(shè)備并進行故障排除,同時尊重最終用戶的隱私。
VMware Workspace ONE Assist 22.10 之前版本存在安全漏洞,該漏洞源于包含一個身份驗證繞過漏洞,攻擊者利用該漏洞可以無需對應(yīng)用程序進行身份驗證即可獲得管理訪問權(quán)限。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.vmware.com/security/advisories/VMSA-2022-0028.html
7、LibTIFF 輸入驗證錯誤漏洞(CNNVD-202211-2670)
LibTIFF是一個讀寫TIFF(標簽圖像文件格式)文件的庫。該庫包含一些處理TIFF文件的命令行工具。
LibTIFF存在安全漏洞,該漏洞源于libtiff/tif_getimage.c 文件的函數(shù) TIFFReadRGBATileExt未知功能,攻擊者利用該漏洞可以導致整數(shù)溢出。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,詳情請關(guān)注廠商主頁:
https://github.com/libsdl-org/libtiff
1.4.2 高危漏洞實例
2022年11月高危漏洞共694個,其中重要漏洞實例如表6所示。
表6 2022年11月高危漏洞實例
(略)
1、Liferay Portal和Liferay DXP SQL注入漏洞(CNNVD-202211-2787)
Liferay Portal和Liferay DXP都是美國Liferay公司的產(chǎn)品。Liferay Portal是一套基于J2EE的門戶解決方案。該方案使用了EJB以及JMS等技術(shù),并可作為Web發(fā)布和共享工作區(qū)、企業(yè)協(xié)作平臺、社交網(wǎng)絡(luò)等。Liferay DXP是一套數(shù)字化體驗協(xié)作平臺。
Liferay Portal 7.1.3版本至7.4.3.4版本、Liferay DXP 7.1版本、7.2版本、7.3版本、7.4版本存在安全漏洞,該漏洞源于Layout模塊中存在SQL注入漏洞。攻擊者利用該漏洞通過注入“Name”字段的特制有效載荷來執(zhí)行任意SQL命令。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/cve-2022-42121
2、SolarWinds Platform 代碼問題漏洞(CNNVD-202211-3661)
SolarWinds Platform是美國SolarWinds公司的一個統(tǒng)一監(jiān)控、可觀察性和服務(wù)管理平臺。
SolarWinds Platform存在安全漏洞,該漏洞源于容易受到不可信數(shù)據(jù)反序列化的影響,允許對SolarWinds Web Console具有有效訪問權(quán)限的遠程攻擊者執(zhí)行任意命令。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://documentation.solarwinds.com/en/success_center/orionplatform/content/release_notes/solarwinds_platform_2022-4_release_notes.htm
3、Fortinet FortiSIEM 授權(quán)問題漏洞(CNNVD-202211-1923)
Fortinet FortiSIEM是美國飛塔(Fortinet)公司的一套安全信息和事件管理系統(tǒng)。該系統(tǒng)包括資產(chǎn)發(fā)現(xiàn)、工作流程自動化和統(tǒng)一管理等功能。
Fortinet FortiSIEM 6.5.0之前版本存在安全漏洞。攻擊者利用該漏洞通過硬編碼密碼直接在Glassfish服務(wù)器上執(zhí)行操作。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.fortiguard.com/psirt/FG-IR-22-064
4、IBM Cloud Pak for Security 操作系統(tǒng)命令注入漏洞(CNNVD-202211-2640)
IBM Cloud Pak for Security是美國國際商業(yè)機器(IBM)公司的一款應(yīng)用軟件。一個開放的安全平臺,可連接到您現(xiàn)有的數(shù)據(jù)源以產(chǎn)生更深刻的見解,并使您能夠更快地采取自動化行動。
IBM Cloud Pak for Security (CP4S) 1.10.0.0至1.10.2.0版本存在安全漏洞,該漏洞源于其允許通過身份驗證的遠程攻擊者通過發(fā)送專門編寫的請求在系統(tǒng)上執(zhí)行任意命令。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.ibm.com/support/pages/node/6833584
5、Artifex Software Artifex MuJS 緩沖區(qū)錯誤漏洞(CNNVD-202211-3428)
Artifex Software Artifex MuJS是美國Artifex Software公司的一款輕量級的JavaScript解釋器,它用于嵌入到其他的軟件中提供腳本執(zhí)行功能。
Artifex Software Artifex MuJS 1.0.0 到1.3.1版本存在安全漏洞,該漏洞源于O_getOwnPropertyDescriptor()中存在一個邏輯問題,攻擊者利用該漏洞可以通過加載精心設(shè)計的 JavaScript 文件通過內(nèi)存損壞來實現(xiàn)遠程代碼執(zhí)行。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,詳情請關(guān)注廠商主頁:
https://artifex.com/products/mujs/
6、Cisco Firepower Management Center 訪問控制錯誤漏洞(CNNVD-202211-2504)
Cisco Firepower Management Center是美國Cisco公司的新一代防火墻管理中心軟件。Proto是開源的一個用于創(chuàng)建對象的可擴展程序代碼模板。
Cisco FirePOWER Software、Cisco Firepower Management Center(FMC) Software和Cisco Next-Generation Intrusion Prevention System(NGIPS) Software存在訪問控制錯誤漏洞,該漏洞源于SNMPv1和SNMPv2存在默認憑證,攻擊者可以通過向受影響設(shè)備發(fā)送SNMPv1或SNMPv2 GET請求來利用這一漏洞,可能允許未經(jīng)認證的遠程攻擊者使用默認憑證執(zhí)行SNMP GET請求從設(shè)備中獲取敏感信息。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmcsfr-snmp-access-6gqgtJ4S
7、Linux kernel 資源管理錯誤漏洞(CNNVD-202211-3294)
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。
Linux kernel 存在安全漏洞,該漏洞源于存在內(nèi)存釋放后重用問題。攻擊者利用該漏洞升級權(quán)限。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://github.com/torvalds/linux/commit/fc7222c3a9f56271fba02aabbfbae999042f1679
8、Cisco BroadWorks CommPilot 輸入驗證錯誤漏洞(CNNVD-202211-2102)
Cisco BroadWorks CommPilot是美國思科(Cisco)公司的一個運營商級統(tǒng)一通信軟件平臺,針對性能和規(guī)模進行了優(yōu)化。BroadWorks 由服務(wù)提供商托管,可在任何類型的有線或無線網(wǎng)絡(luò)架構(gòu)上部署來自通用網(wǎng)絡(luò)平臺的云呼叫。
Cisco BroadWorks CommPilot存在安全漏洞,該漏洞源于對用戶提供的輸入驗證不充分,可能允許未經(jīng)身份驗證的遠程攻擊者對受影響的設(shè)備執(zhí)行服務(wù)器端請求偽造(SSRF)攻擊,成功利用此漏洞可能允許攻擊者從服務(wù)器和網(wǎng)絡(luò)上的其他設(shè)備獲取機密信息。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-broadworks-ssrf-BJeQfpp
二、漏洞平臺推送情況
2022年11月漏洞平臺推送漏洞78534個。
表7 2022年11月漏洞平臺推送情況表
三、接報漏洞情況
2022年11月接報漏洞1629個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)612個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)1017個。
表8 2022年11月接報漏洞情況表
(略)
四、重大漏洞通報
4.1Fortinet FortiOS安全漏洞的通報
近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于F5 BIG-IP 安全漏洞(CNNVD-202211-2929、CVE-2022-41622)情況的報送。攻擊者可以發(fā)送特制的 HTTP 請求以執(zhí)行未經(jīng)授權(quán)的操作。F5 BIG-IP 13.1.0,13.1.5,14.1.0,14.1.5,15.1.0,F(xiàn)5 BIG-IP 15.1.8,16.1.0,16.1.3,17.0.0,F(xiàn)5 BIG-IQ Centralized Management 7.1.0,F(xiàn)5 BIG-IQ Centralized Management 8.0.0,F(xiàn)5 BIG-IQ Centralized Management 8.2.0等多個版本均受此漏洞影響。目前,F(xiàn)5官方已經(jīng)發(fā)布了修復(fù)漏洞的升級版本,建議用戶及時確認產(chǎn)品版本,盡快采取修補措施。
. 漏洞介紹
F5 BIG-IP是美國F5公司的一款集成了網(wǎng)絡(luò)流量管理、應(yīng)用程序安全管理、負載均衡等功能的應(yīng)用交付平臺。F5 BIG-IP中存在安全漏洞,漏洞源于對用戶輸入驗證不當導致,遠程攻擊者可以發(fā)送特制的 HTTP 請求以執(zhí)行未經(jīng)授權(quán)的操作。
. 危害影響
F5 BIG-IP 13.1.0,13.1.5,14.1.0,14.1.5,15.1.0,F(xiàn)5 BIG-IP 15.1.8,16.1.0,16.1.3,17.0.0,F(xiàn)5 BIG-IQ Centralized Management 7.1.0,F(xiàn)5 BIG-IQ Centralized Management 8.0.0,F(xiàn)5 BIG-IQ Centralized Management 8.2.0等多個版本均受此漏洞影響。
. 修復(fù)建議
目前,F(xiàn)5官方已經(jīng)發(fā)布了修復(fù)漏洞的升級版本,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。官方鏈接如下:
https://support.f5.com/csp/article/K94221585
4.2 微軟多個安全漏洞的通報
近日,微軟官方發(fā)布了多個安全漏洞的公告,其中微軟產(chǎn)品本身漏洞78個,影響到微軟產(chǎn)品的其他廠商漏洞3個。包括Microsoft Windows Kerberos 安全漏洞(CNNVD-202211-2306、CVE-2022-37966)、Microsoft Windows Kerberos 安全漏洞(CNNVD-202211-2288、CVE-2022-37967)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補丁,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
. 漏洞介紹
2022年11月8日,微軟發(fā)布了2022年11月份安全更新,共81個漏洞的補丁程序,CNNVD對這些漏洞進行了收錄。本次更新主要涵蓋了Microsoft Windows 和 Windows 組件、Microsoft Windows Netlogon、Microsoft Dynamics、Microsoft Excel、Microsoft Windows Print Spooler Components、Microsoft Windows Human Interface Devices等。CNNVD對其危害等級進行了評價,其中超危漏洞2個,高危漏洞12個,中危漏洞66個,低危漏洞1個。微軟多個產(chǎn)品和系統(tǒng)版本受漏洞影響,具體影響范圍可訪問
https://portal.msrc.microsoft.com/zh-cn/security-guidance查詢。
. 漏洞詳情
此次更新共包括62個新增漏洞的補丁程序。
(詳情略)
此次更新共包括16個更新漏洞的補丁程序,其中超危漏洞1個,高危漏洞12個,中危漏洞2個,低危漏洞1個。
(詳情略)
. 修復(fù)建議
目前,微軟官方已經(jīng)發(fā)布補丁修復(fù)了上述漏洞,建議用戶及時確認漏洞影響,盡快采取修補措施。微軟官方補丁下載地址:
https://msrc.microsoft.com/update-guide/en-us
來源:CNNVD安全動態(tài)