您所在的位置: 首頁 >
安全研究 >
安全通告 >
信息安全漏洞周報(2023年第15期)
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,本周(2023年4月10日至2023年4月16日)安全漏洞情況如下:
公開漏洞情況
本周CNNVD采集安全漏洞683個。
接報漏洞情況
本周CNNVD接報漏洞5667個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)196個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)76個,漏洞平臺推送漏洞5395個。
重大漏洞通報
微軟多個安全漏洞:Microsoft Message Queuing 安全漏洞(CNNVD-202304-852、CVE-2023-21554)、Microsoft Windows PGM 安全漏洞(CNNVD-202304-844、CVE-2023-28250)。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補丁,建議用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補措施。
一、公開漏洞情況
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,本周新增安全漏洞683個,漏洞新增數(shù)量有所上升。從廠商分布來看微軟公司新增漏洞最多,有98個;從漏洞類型來看,跨站腳本類的安全漏洞占比最大,達(dá)到8.05%。新增漏洞中,超危漏洞65個,高危漏洞225個,中危漏洞381個,低危漏洞12個。
(一)安全漏洞增長數(shù)量情況
本周CNNVD采集安全漏洞683個。
圖1 近五周漏洞新增數(shù)量統(tǒng)計圖
(二) 安全漏洞分布情況
從廠商分布來看,微軟公司新增漏洞最多,有98個。各廠商漏洞數(shù)量分布如表1所示。
表1 新增安全漏洞排名前五廠商統(tǒng)計表
本周國內(nèi)廠商漏洞42個,紫光展銳公司漏洞數(shù)量最多,有11個。國內(nèi)廠商漏洞整體修復(fù)率為85.71%。請受影響用戶關(guān)注廠商修復(fù)情況,及時下載補丁修復(fù)漏洞。
從漏洞類型來看, 跨站腳本類的安全漏洞占比最大,達(dá)到8.05%。漏洞類型統(tǒng)計如表2所示。
表2 漏洞類型統(tǒng)計表
(三) 安全漏洞危害等級與修復(fù)情況
本周共發(fā)布超危漏洞65個,高危漏洞225個,中危漏洞381個,低危漏洞12個。相應(yīng)修復(fù)率分別為78.46%、88.89%、79.00%和100.00%。根據(jù)補丁信息統(tǒng)計,合計564個漏洞已有修復(fù)補丁發(fā)布,整體修復(fù)率為82.58%。詳細(xì)情況如表3所示。
表3 漏洞危害等級與修復(fù)情況
(四) 本周重要漏洞實例
本周重要漏洞實例如表4所示。
表4 本期重要漏洞實例
1.Apache Linkis 代碼問題漏洞(CNNVD-202304-618)
Apache Linkis是美國阿帕奇(Apache)基金會的一款中間件產(chǎn)品,可以在上層應(yīng)用和底層數(shù)據(jù)引擎之間建立起有效的連接。
Apache Linkis 1.3.1版本及之前版本存在代碼問題漏洞,該漏洞源于程序缺乏對參數(shù)的有效過濾。攻擊者利用該漏洞可以使用MySQL數(shù)據(jù)源和惡意參數(shù)觸發(fā)數(shù)據(jù)反序列化,導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,參考鏈接:
https://lists.apache.org/thread/18vv0m32oy51nzk8tbz13qdl5569y55l
2. Microsoft Windows Network Load Balancing 安全漏洞(CNNVD-202304-858)
Microsoft Windows是美國微軟(Microsoft)公司的一套個人設(shè)備使用的操作系統(tǒng)。
Microsoft Windows Network Load Balancing存在安全漏洞。以下產(chǎn)品和版本受到影響:Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation),Windows Server 2019,Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2019 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation),Windows Server 2008 for 32-bit Systems Service Pack 2,Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation),Windows Server 2008 for x64-based Systems Service Pack 2,Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation),Windows Server 2008 R2 for x64-based Systems Service Pack 1,Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation)。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,參考鏈接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28240
3. Linux kernel 安全漏洞(CNNVD-202304-1200)
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。
Linux kernel存在安全漏洞,該漏洞源于程序沒有對用戶提供的數(shù)據(jù)進(jìn)行正確驗證。攻擊者可以利用該漏洞可以提升權(quán)限并在內(nèi)核環(huán)境中執(zhí)行任意代碼。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,參考鏈接:
https://github.com/torvalds/linux/commit/05b252cccb2e5c3f56119d25de684b4f810ba4
二、漏洞平臺推送情況
本周CNNVD接收漏洞平臺推送漏洞5395個。
三、接報漏洞情況
本周CNNVD接報漏洞272個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)196個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)76個。
(詳情略)
四、收錄漏洞通報情況
本周CNNVD收錄漏洞通報163份。
(詳情略)
五、重大漏洞通報
CNNVD關(guān)于微軟多個安全漏洞的通報
近日,微軟官方發(fā)布了多個安全漏洞的公告,其中微軟產(chǎn)品本身漏洞101個,影響到微軟產(chǎn)品的其他廠商漏洞1個。包括Microsoft Message Queuing 安全漏洞(CNNVD-202304-852、CVE-2023-21554)、Microsoft Windows PGM 安全漏洞(CNNVD-202304-844、CVE-2023-28250)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補丁,建議用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補措施。
1、漏洞介紹
2023年4月11日,微軟發(fā)布了2023年4月份安全更新,共102個漏洞的補丁程序,CNNVD對這些漏洞進(jìn)行了收錄。本次更新主要涵蓋了Microsoft Windows 和 Windows 組件、Microsoft Windows Secure Channel、Microsoft Defender、Microsoft Windows Boot Manager、Microsoft OLE DB Provider for SQL Server、Microsoft Windows ALPC等。CNNVD對其危害等級進(jìn)行了評價,其中超危漏洞3個,高危漏洞68個,中危漏洞31個。微軟多個產(chǎn)品和系統(tǒng)版本受漏洞影響,具體影響范圍可訪問微軟官方網(wǎng)站查詢:
https://portal.msrc.microsoft.com/zh-cn/security-guidance
2、危害影響
此次更新共包括97個新增漏洞的補丁程序,其中超危漏洞2個,高危漏洞66個,中危漏洞29個。
(詳情略)
此次更新共包括4個更新漏洞的補丁程序,其中超危漏洞1個,高危漏洞2個,中危漏洞1個。
此次更新共包括1個影響微軟產(chǎn)品的其他廠商漏洞的補丁程序,其中中危漏洞1個。
3、修復(fù)建議
目前,微軟官方已經(jīng)發(fā)布補丁修復(fù)了上述漏洞,建議用戶及時確認(rèn)漏洞影響,盡快采取修補措施。微軟官方補丁下載地址:
https://msrc.microsoft.com/update-guide/en-us
來源:CNNVD安全動態(tài)