您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
CNNVD信息安全漏洞月報(bào)2023年3月
漏洞態(tài)勢(shì)
根據(jù)國(guó)家信息安全漏洞庫(kù)(CNNVD)統(tǒng)計(jì),2023年3月份采集安全漏洞共2533個(gè)。
本月接報(bào)漏洞77952個(gè),其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)693個(gè),網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)77259個(gè),其中漏洞平臺(tái)推送漏洞76054個(gè)。
重大漏洞通報(bào)
Apache OpenOffice 參數(shù)注入漏洞(CNNVD-202303-1952、CVE-2022-47502):成功利用漏洞的攻擊者,可在目標(biāo)系統(tǒng)執(zhí)行任意代碼。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影響。目前,Apache官方已發(fā)布新版本修復(fù)了該漏洞,建議用戶及時(shí)確認(rèn)產(chǎn)品版本,盡快采取修補(bǔ)措施。
漏洞態(tài)勢(shì)
一、公開(kāi)漏洞情況
根據(jù)國(guó)家信息安全漏洞庫(kù)(CNNVD)統(tǒng)計(jì),2023年3月份新增安全漏洞共2533個(gè),從廠商分布來(lái)看,WordPress基金會(huì)公司產(chǎn)品的漏洞數(shù)量最多,共發(fā)布253個(gè);從漏洞類(lèi)型來(lái)看,跨站腳本類(lèi)的漏洞占比最大,達(dá)到14.21%。本月新增漏洞中,超危漏洞367個(gè)、高危漏洞861個(gè)、中危漏洞1247個(gè)、低危漏洞58個(gè),相應(yīng)修復(fù)率分別為61.04%、87.69%、84.20%以及94.83%。合計(jì)2084個(gè)漏洞已有修復(fù)補(bǔ)丁發(fā)布,本月整體修復(fù)率82.27%。
截至2023年3月31日,CNNVD采集漏洞總量已達(dá)206431個(gè)。
1.1 漏洞增長(zhǎng)概況
2023年3月新增安全漏洞2533個(gè),與上月(2104個(gè))相比增加了20.39%。根據(jù)近6個(gè)月來(lái)漏洞新增數(shù)量統(tǒng)計(jì)圖,平均每月漏洞數(shù)量達(dá)到2167個(gè)。
圖1 2022年10月至2023年3月漏洞新增數(shù)量統(tǒng)計(jì)圖
1.2 漏洞分布情況
1.2.1 漏洞廠商分布
2023年3月廠商漏洞數(shù)量分布情況如表1所示,WordPress基金會(huì)公司漏洞達(dá)到253個(gè),占本月漏洞總量的9.99%。
表1 2023年3月排名前十廠商新增安全漏洞統(tǒng)計(jì)表
1.2.2 漏洞產(chǎn)品分布
2023年3月主流操作系統(tǒng)的漏洞統(tǒng)計(jì)情況如表2所示。本月Windows系列操作系統(tǒng)漏洞數(shù)量共55個(gè),Windows 11漏洞數(shù)量最多,共52個(gè),占主流操作系統(tǒng)漏洞總量的10.30%,排名第一。
表2 2023年3月主流操作系統(tǒng)漏洞數(shù)量統(tǒng)計(jì)表
1.2.3 漏洞類(lèi)型分布
2023年3月份發(fā)布的漏洞類(lèi)型分布如表3所示,其中跨站腳本類(lèi)漏洞所占比例最大,約為14.21%。
表3 2023年3月漏洞類(lèi)型統(tǒng)計(jì)表
1.2.4 漏洞危害等級(jí)分布
根據(jù)漏洞的影響范圍、利用方式、攻擊后果等情況,從高到低可將其分為四個(gè)危害等級(jí),即超危、高危、中危和低危級(jí)別。2023年3月漏洞危害等級(jí)分布如圖2所示,其中超危漏洞367條,占本月漏洞總數(shù)的14.49%。
圖2 2023年3月漏洞危害等級(jí)分布
1.3漏洞修復(fù)情況
1.3.1 整體修復(fù)情況
2023年3月漏洞修復(fù)情況按危害等級(jí)進(jìn)行統(tǒng)計(jì)見(jiàn)圖3。其中低危漏洞修復(fù)率最高,達(dá)到94.83%,超危漏洞修復(fù)率最低,比例為61.04%。
總體來(lái)看,本月整體修復(fù)率由上月的83.79%下降至本月的82.27%。
圖3 2023年3月漏洞修復(fù)數(shù)量統(tǒng)計(jì)
1.3.2 廠商修復(fù)情況
2023年3月漏洞修復(fù)情況按漏洞數(shù)量前十廠商進(jìn)行統(tǒng)計(jì),其中WordPress基金會(huì)、Google、Adobe等十個(gè)廠商共890條漏洞,占本月漏洞總數(shù)的35.14%,漏洞修復(fù)率為96.63%,詳細(xì)情況見(jiàn)表4。多數(shù)知名廠商對(duì)產(chǎn)品安全高度重視,產(chǎn)品漏洞修復(fù)比較及時(shí),其中Google、Adobe、Microsoft、Apple、Aruba Networks、Cisco、IBM等公司本月漏洞修復(fù)率均為100%,共860條漏洞已全部修復(fù)。
表4 2023年3月廠商修復(fù)情況統(tǒng)計(jì)表
1.4 重要漏洞實(shí)例
1.4.1 超危漏洞實(shí)例
2023年3月超危漏洞共367個(gè),其中重要漏洞實(shí)例如表5所示。
表5 2023年3月超危漏洞實(shí)例
(詳情略)
1、IBM Security Guardium SQL注入漏洞(CNNVD-202303-1627)
IBM Security Guardium是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一套提供數(shù)據(jù)保護(hù)功能的平臺(tái)。該平臺(tái)包括自定義UI、報(bào)告管理和流線化的審計(jì)流程構(gòu)建等功能。
IBM Security Guardium Key Lifecycle Manager存在SQL注入漏洞,該漏洞源于存在SQL注入漏洞,遠(yuǎn)程攻擊者利用該漏洞可以查看、添加、修改或刪除后端數(shù)據(jù)庫(kù)中的信息。以下產(chǎn)品和版本受到影響:IBM Security Guardium Key Lifecycle Manager 3.0、3.0.1、4.0、4.1和4.1.1版本。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://www.ibm.com/support/pages/node/6962729
2、Trend Micro Apex One 代碼問(wèn)題漏洞(CNNVD-202303-779)
Trend Micro Apex One是美國(guó)趨勢(shì)科技(Trend Micro)公司的一款終端防護(hù)軟件。
Trend Micro Apex One Server存在安全漏洞,該漏洞源于安裝程序中存在不受控制的搜索路徑元素漏洞,攻擊者利用該漏洞可以在受影響的產(chǎn)品上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://success.trendmicro.com/solution/000292209
3、NETGEAR RAX30 授權(quán)問(wèn)題漏洞(CNNVD-202303-1097)
NETGEAR RAX30是美國(guó)網(wǎng)件(NETGEAR)公司的一個(gè)雙頻無(wú)線路由器。
NETGEAR RAX30 (AX2400) 1.0.6.74 之前版本存在安全漏洞,該漏洞源于允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)重置管理員密碼獲得對(duì)設(shè)備 Web 管理界面的管理訪問(wèn)權(quán)限。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,詳情請(qǐng)關(guān)注廠商主頁(yè):
https://www.netgear.com/home/wifi/routers/rax30/
4、CoreDial sipXcom sipXopenfire 操作系統(tǒng)命令注入漏洞(CNNVD-202303-641)
CoreDial sipXcom sipXopenfire是美國(guó)CoreDial公司的一個(gè)電信應(yīng)用程序。
CoreDial sipXcom sipXopenfire 21.04及之前版本存在操作系統(tǒng)命令注入漏洞,該漏洞源于存在操作系統(tǒng)命令參數(shù)注入,攻擊者利用該漏洞可以以系統(tǒng)root用戶身份執(zhí)行命令。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
http://download.sipxcom.org/
5、Aruba Networks ArubaOS 緩沖區(qū)錯(cuò)誤漏洞(CNNVD-202303-035)
Aruba Networks ArubaOS是美國(guó)安移通(Aruba Networks)公司的一套面向Aruba Mobility-Defined Networks(包括移動(dòng)控制器和移動(dòng)接入交換機(jī))的操作系統(tǒng)。
Aruba Networks ArubaOS 存在安全漏洞,該漏洞源于基于堆的緩沖區(qū)溢出漏洞,通過(guò)將特制數(shù)據(jù)包發(fā)送到 PAPI(Aruba Networks access point management protocol)的 UDP 端口 (8211),可能導(dǎo)致未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-002.txt
6、Omron PLC CJ series 訪問(wèn)控制錯(cuò)誤漏洞(CNNVD-202303-1235)
Omron PLC CJ series是日本歐姆龍(Omron)公司的一款CJ系列可編程邏輯控制器(PLC)。
Omron CJ1M PLC v4.0 及之前版本存在訪問(wèn)控制錯(cuò)誤漏洞,該漏洞源于存儲(chǔ) UM 密碼的內(nèi)存區(qū)域具有不正確的訪問(wèn)控制。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://www.ia.omron.com/product/vulnerability/OMSR-2023-001_en.pdf
7、SAMSUNG Mobile devices 資源管理錯(cuò)誤漏洞(CNNVD-202303-1366)
SAMSUNG Mobile devices是韓國(guó)三星(SAMSUNG)公司的一系列的三星移動(dòng)設(shè)備,包括手機(jī)、平板等。
SAMSUNG Mobile Devices decon driver SMR Mar-2023 Release 1 版本存在安全漏洞,該漏洞源于存在釋放后重用問(wèn)題。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://security.samsungmobile.com/securityUpdate.smsb?year=2023&month=03
8、Flatpak 輸入驗(yàn)證錯(cuò)誤漏洞(CNNVD-202303-1347)
Flatpak是一套用于Linux桌面應(yīng)用計(jì)算機(jī)環(huán)境的應(yīng)用程序虛擬化系統(tǒng)。
Flatpak 1.10.8之前版本、1.12.x版本至1.12.8版本、1.14.x版本至1.14.4版本、1.15.x版本至1.15.4版本存在輸入驗(yàn)證錯(cuò)誤漏洞。攻擊者利用該漏洞從虛擬控制臺(tái)復(fù)制文本并將其粘貼到命令緩沖區(qū)中,在Flatpak應(yīng)用程序退出后可能會(huì)從中運(yùn)行命令。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://github.com/flatpak/flatpak/commit/8e63de9a7d3124f91140fc74f8ca9ed73ed53be9
1.4.2 高危漏洞實(shí)例
2023年3月高危漏洞共861個(gè),其中重要漏洞實(shí)例如表6所示。
表6 2023年3月高危漏洞實(shí)例
(詳情略)
1、PrestaShop SQL注入漏洞(CNNVD-202303-369)
PrestaShop是美國(guó)PrestaShop公司的一套開(kāi)源的電子商務(wù)解決方案。該方案提供多種支付方式、短消息提醒和商品圖片縮放等功能。
PrestaShop Xen Forum 2.13.0之前版本存在安全漏洞。攻擊者利用該漏洞執(zhí)行SQL注入攻擊。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,詳情請(qǐng)關(guān)注廠商主頁(yè):
https://addons.prestashop.com/en/blog-forum-new/19299-xen-forum.html
2、Apache InLong 代碼問(wèn)題漏洞(CNNVD-202303-2185)
Apache InLong是美國(guó)阿帕奇(Apache)基金會(huì)的一站式的海量數(shù)據(jù)集成框架。提供自動(dòng)化、安全、可靠的數(shù)據(jù)傳輸能力。
Apache Software Foundation Apache InLong 1.1.0版本至1.5.0版本存在代碼問(wèn)題漏洞,該漏洞源于不可信數(shù)據(jù)反序列化。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://lists.apache.org/thread/xbvtjw9bwzgbo9fp1by8o3p49nf59xzt
3、ABB Symphony Plus S+ Operations 授權(quán)問(wèn)題漏洞(CNNVD-202303-154)
ABB Symphony Plus S+ Operations是ABB公司的一個(gè)分散控制系統(tǒng)。
ABB Symphony Plus S+ Operations存在授權(quán)問(wèn)題漏洞,該漏洞源于存在不正確身份驗(yàn)證,以下產(chǎn)品和版本受到影響:Symphony Plus S+ Operations 2.1 SP2 之前版本、 2.2版本、 3.3 SP1之前版本、 3.3 SP2版本.。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://search.abb.com/library/Download.aspx?DocumentID=7PAA006722&LanguageCode=en&DocumentPartId=&Action=Launch
4、NETGEAR RBR750 操作系統(tǒng)命令注入漏洞(CNNVD-202303-1595)
NETGEAR RBR750是美國(guó)網(wǎng)件(NETGEAR)公司的一套家庭WiFi系統(tǒng)。
NETGEAR RBR750 4.6.8.5版本存在操作系統(tǒng)命令注入漏洞,該漏洞源于在訪問(wèn)控制功能中存在命令執(zhí)行漏洞。攻擊者可利用該漏洞構(gòu)造HTTP請(qǐng)求來(lái)觸發(fā)任意命令執(zhí)行。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://www.netgear.com/support/product/RBR750
5、GNU LibreDWG 緩沖區(qū)錯(cuò)誤漏洞(CNNVD-202303-071)
GNU LibreDWG是美國(guó)GNU社區(qū)的一個(gè)用于處理DWG文件的C語(yǔ)言庫(kù)。
GNU LibreDWG v0.12.5版本存在安全漏洞,該漏洞源于bits.c 中的 bit_read_RC 函數(shù)存在基于堆的緩沖區(qū)溢出。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,詳情請(qǐng)關(guān)注廠商主頁(yè):
https://github.com/LibreDWG/libredwg
6、Schneider Electric IGSS Data Server 訪問(wèn)控制錯(cuò)誤漏洞(CNNVD-202303-1556)
Schneider Electric IGSS Data Server是法國(guó)施耐德電氣(Schneider Electric)公司的一個(gè)交互式圖形 Scada 系統(tǒng)的數(shù)據(jù)服務(wù)器。
Schneider Electric IGSS Data Server(IGSSdataServer.exe) V16.0.0.23040版本及之前版本、IGSS Dashboard(DashBoard.exe) V16.0.0.23040版本及之前版本、Custom Reports(RMS16.dll) V16.0.0.23040版本及之前版本存在訪問(wèn)控制錯(cuò)誤漏洞,該漏洞源于缺少關(guān)鍵功能身份的驗(yàn)證。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,詳情請(qǐng)關(guān)注廠商主頁(yè):
https://igss.schneider-electric.com/
7、ZOHO ManageEngine ServiceDesk Plus 資源管理錯(cuò)誤漏洞(CNNVD-202303-374)
ZOHO ManageEngine ServiceDesk Plus(SDP)是美國(guó)卓豪(ZOHO)公司的一套基于ITIL架構(gòu)的IT服務(wù)管理軟件。該軟件集成了事件管理、問(wèn)題管理、資產(chǎn)管理IT項(xiàng)目管理、采購(gòu)與合同管理等功能模塊。
ZOHO ManageEngine ServiceDesk Plus 14104版本及之前版本、Asset Explorer 6987版本及之前版本、ServiceDesk Plus MSP 14000之前版本、Support Center Plus 14000之前版本存在安全漏洞.攻擊者利用該漏洞導(dǎo)致系統(tǒng)拒絕服務(wù)。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://www.manageengine.com/products/service-desk/CVE-2023-26601.html
8、IBM Financial Transaction Manager 輸入驗(yàn)證錯(cuò)誤漏洞(CNNVD-202303-834)
IBM Financial Transaction Manager是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一款金融事務(wù)管理器。該產(chǎn)品主要用于監(jiān)控、跟蹤和報(bào)告金融支付和交易。
IBM Financial Transaction Manager 3.2.0 到 3.2.10版本存在安全漏洞,該漏洞源于該系統(tǒng)驗(yàn)證不當(dāng),攻擊者利用該漏洞可以執(zhí)行未經(jīng)授權(quán)的操作。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://www.ibm.com/support/pages/node/6958504
二、漏洞平臺(tái)推送情況
2023年3月漏洞平臺(tái)推送漏洞76054個(gè)。
表7 2023年3月漏洞平臺(tái)推送情況表
三、接報(bào)漏洞情況
2023年3月接報(bào)漏洞1898個(gè),其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)693個(gè),網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)1205個(gè)。
表8 2023年3月接報(bào)漏洞情況表
(詳情略)
四、重大漏洞通報(bào)
Apache OpenOffice參數(shù)注入漏洞的通報(bào)
近日,國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于Apache OpenOffice 參數(shù)注入漏洞(CNNVD-202303-1952/CVE-2022-47502)情況的報(bào)送。成功利用漏洞的攻擊者,可在目標(biāo)系統(tǒng)執(zhí)行任意代碼。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影響。目前,Apache官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁,建議用戶及時(shí)確認(rèn)產(chǎn)品版本,盡快采取修補(bǔ)措施。
. 漏洞介紹
Apache OpenOffice是美國(guó)阿帕奇(Apache)基金會(huì)的一款開(kāi)源的辦公軟件套件,該套件包含文本文檔、電子表格、演示文稿、繪圖、數(shù)據(jù)庫(kù)等。由于Apache OpenOffice 文檔內(nèi)可通過(guò)含有任意參數(shù)的鏈接調(diào)用內(nèi)部宏,惡意攻擊者通過(guò)修改特殊URI Scheme構(gòu)造惡意鏈接調(diào)用宏,當(dāng)用戶點(diǎn)擊鏈接或通過(guò)自動(dòng)文檔事件激活時(shí),會(huì)導(dǎo)致覆蓋掉文檔中現(xiàn)有宏的代碼,從而執(zhí)行任意代碼。
. 危害影響
成功利用漏洞的攻擊者,可在目標(biāo)系統(tǒng)執(zhí)行任意代碼。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影響。
. 修復(fù)建議
目前,Apache官方已發(fā)布新版本修復(fù)了該漏洞,建議用戶及時(shí)確認(rèn)產(chǎn)品版本,盡快采取修補(bǔ)措施。官方下載鏈接:
https://www.openoffice.org/download/
來(lái)源:CNNVD安全動(dòng)態(tài)