您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
CNNVD信息安全漏洞月報(bào)2023年4月
CNNVD信息安全漏洞月報(bào)2023年4月
漏洞態(tài)勢(shì)
根據(jù)國(guó)家信息安全漏洞庫(kù)(CNNVD)統(tǒng)計(jì),2023年4月份采集安全漏洞共2304個(gè)。
本月接報(bào)漏洞26689個(gè),其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)708個(gè),網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)25981個(gè),其中漏洞平臺(tái)推送漏洞24893個(gè)。
重大漏洞通報(bào)
微軟官方發(fā)布公告更新了Microsoft Message Queuing 安全漏洞(CNNVD-202304-852、CVE-2023-21554)、Microsoft Windows PGM 安全漏洞(CNNVD-202304-844、CVE-2023-28250)等多個(gè)漏洞:成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁,建議用戶及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
漏洞態(tài)勢(shì)
一、公開(kāi)漏洞情況
根據(jù)國(guó)家信息安全漏洞庫(kù)(CNNVD)統(tǒng)計(jì),2023年4月份新增安全漏洞共2304個(gè),從廠商分布來(lái)看,WordPress基金會(huì)公司產(chǎn)品的漏洞數(shù)量最多,共發(fā)布246個(gè);從漏洞類(lèi)型來(lái)看,跨站腳本類(lèi)的漏洞占比最大,達(dá)到17.75%。本月新增漏洞中,超危漏洞347個(gè)、高危漏洞792個(gè)、中危漏洞1117個(gè)、低危漏洞48個(gè),相應(yīng)修復(fù)率分別為55.33%、81.57%、81.56%以及85.42%。合計(jì)1790個(gè)漏洞已有修復(fù)補(bǔ)丁發(fā)布,本月整體修復(fù)率77.69%。
截至2023年4月30日,CNNVD采集漏洞總量已達(dá)208735個(gè)。
1.1 漏洞增長(zhǎng)概況
2023年4月新增安全漏洞2304個(gè),與上月(2533個(gè))相比減少了9.04%。根據(jù)近6個(gè)月來(lái)漏洞新增數(shù)量統(tǒng)計(jì)圖,平均每月漏洞數(shù)量達(dá)到2218個(gè)。
圖1 2022年11月至2023年4月漏洞新增數(shù)量統(tǒng)計(jì)圖
1.2 漏洞分布情況
1.2.1 漏洞廠商分布
2023年4月廠商漏洞數(shù)量分布情況如表1所示,WordPress基金會(huì)公司漏洞達(dá)到246個(gè),占本月漏洞總量的10.68%。
表1 2023年4月排名前十廠商新增安全漏洞統(tǒng)計(jì)表
1.2.2 漏洞產(chǎn)品分布
2023年4月主流操作系統(tǒng)的漏洞統(tǒng)計(jì)情況如表2所示。本月Windows系列操作系統(tǒng)漏洞數(shù)量共78個(gè),Windows Server 2022漏洞數(shù)量最多,共72個(gè),占主流操作系統(tǒng)漏洞總量的11.96%,排名第一。
表2 2023年4月主流操作系統(tǒng)漏洞數(shù)量統(tǒng)計(jì)表
1.2.3 漏洞類(lèi)型分布
2023年4月份發(fā)布的漏洞類(lèi)型分布如表3所示,其中跨站腳本類(lèi)漏洞所占比例最大,約為17.75%。
表3 2023年4月漏洞類(lèi)型統(tǒng)計(jì)表
1.2.4 漏洞危害等級(jí)分布
根據(jù)漏洞的影響范圍、利用方式、攻擊后果等情況,從高到低可將其分為四個(gè)危害等級(jí),即超危、高危、中危和低危級(jí)別。2023年4月漏洞危害等級(jí)分布如圖2所示,其中超危漏洞347條,占本月漏洞總數(shù)的15.06%。
圖2 2023年4月漏洞危害等級(jí)分布
1.3漏洞修復(fù)情況
1.3.1 整體修復(fù)情況
2023年4月漏洞修復(fù)情況按危害等級(jí)進(jìn)行統(tǒng)計(jì)見(jiàn)圖3。其中低危漏洞修復(fù)率最高,達(dá)到85.42%,超危漏洞修復(fù)率最低,比例為55.33%。
總體來(lái)看,本月整體修復(fù)率由上月的82.27%下降至本月的77.69%。
圖3 2023年4月漏洞修復(fù)數(shù)量統(tǒng)計(jì)
1.3.2 廠商修復(fù)情況
2023年4月漏洞修復(fù)情況按漏洞數(shù)量前十廠商進(jìn)行統(tǒng)計(jì),其中WordPress基金會(huì)、Microsoft、Oracle等十個(gè)廠商共735條漏洞,占本月漏洞總數(shù)的31.90%,漏洞修復(fù)率為95.92%,詳細(xì)情況見(jiàn)表4。多數(shù)知名廠商對(duì)產(chǎn)品安全高度重視,產(chǎn)品漏洞修復(fù)比較及時(shí),其中Oracle、Google、XWiki、NVIDIA、Cisco、Qualcomm、Linux基金會(huì)等公司本月漏洞修復(fù)率均為100%,共705條漏洞已全部修復(fù)。
表4 2023年4月廠商修復(fù)情況統(tǒng)計(jì)表
1.4 重要漏洞實(shí)例
1.4.1 超危漏洞實(shí)例
2023年4月超危漏洞共347個(gè),其中重要漏洞實(shí)例如表5所示。
表5 2023年4月超危漏洞實(shí)例
(詳情略)
1、Joomla SQL注入漏洞(CNNVD-202304-1863)
Joomla是美國(guó)Open Source Matters團(tuán)隊(duì)的一套使用PHP和MySQL開(kāi)發(fā)的開(kāi)源、跨平臺(tái)的內(nèi)容管理系統(tǒng)(CMS)。
Joomla 3存在安全漏洞,該漏洞源于輸入過(guò)濾器的不當(dāng)使用導(dǎo)致 SQL 注入。攻擊者利用該漏洞可以與數(shù)據(jù)庫(kù)交互,并能夠讀取、修改和刪除其中的數(shù)據(jù)。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://vi-solutions.de/en/announcements/867-security-announcement-cve-2023-23754
2、Laravel 代碼問(wèn)題漏洞(CNNVD-202304-1554)
Laravel是Laravel社區(qū)的一個(gè)Web 應(yīng)用程序框架。
Laravel v8.5.9版本存在安全漏洞,該漏洞源于存在反序列化漏洞,允許攻擊者執(zhí)行任意命令。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://laravel.com/docs/10.x
3、Apache IoTDB 授權(quán)問(wèn)題漏洞(CNNVD-202304-1313)
Apache IoTDB是美國(guó)阿帕奇(Apache)基金會(huì)的一款為時(shí)間序列數(shù)據(jù)設(shè)計(jì)的集成數(shù)據(jù)管理引擎,它能夠提供數(shù)據(jù)收集、存儲(chǔ)和分析服務(wù)等。
Apache IoTDB Grafana Connector 0.13.0版本至0.13.3版本存在授權(quán)問(wèn)題漏洞,該漏洞源于身份驗(yàn)證不正確。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://lists.apache.org/thread/3dgvzgstycf8b5hyf4z3n7cqdhcyln3l
4、Schneider Electric Easy UPS Online Monitoring Software 操作系統(tǒng)命令注入漏洞(CNNVD-202304-1437)
Schneider Electric Easy UPS Online Monitoring Software是法國(guó)施耐德電氣(Schneider Electric)公司的一款電源監(jiān)控軟件。
Schneider Electric Easy UPS Online Monitoring Software 存在操作系統(tǒng)命令注入漏洞,該漏洞源于存在不當(dāng)處理大小寫(xiě)敏感漏洞,攻擊者利用該漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-04.pdf
5、Apple iOS 緩沖區(qū)錯(cuò)誤漏洞(CNNVD-202304-662)
Apple iOS是美國(guó)蘋(píng)果(Apple)公司的一套為移動(dòng)設(shè)備所開(kāi)發(fā)的操作系統(tǒng)。
Apple iOS 16之前版本存在安全漏洞,該漏洞源于能以內(nèi)核權(quán)限執(zhí)行任意代碼。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://support.apple.com/en-us/HT213446
6、Fortinet FortiPresence 訪問(wèn)控制錯(cuò)誤漏洞(CNNVD-202304-768)
Fortinet FortiPresence是美國(guó)飛塔(Fortinet)公司的一個(gè)全面的數(shù)據(jù)分析解決方案。
Fortinet FortiPresence存在安全漏洞,該漏洞源于缺少關(guān)鍵功能漏洞,攻擊者利用該漏洞可以通過(guò)精心設(shè)計(jì)的身份驗(yàn)證請(qǐng)求訪問(wèn)Redis和MongoDB實(shí)例。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://fortiguard.com/psirt/FG-IR-22-355
7、Google Android 資源管理錯(cuò)誤漏洞(CNNVD-202304-1639)
Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。
Google Android 存在安全漏洞,該漏洞源于 attribution_processor.cc 組件的 OnWakelockReleased 存在釋放后重用問(wèn)題,可以導(dǎo)致遠(yuǎn)程代碼執(zhí)行而無(wú)需額外的執(zhí)行權(quán)限。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://source.android.com/security/bulletin/2023-04-01
8、Google Chrome 輸入驗(yàn)證錯(cuò)誤漏洞(CNNVD-202304-1598)
Google Chrome是美國(guó)谷歌(Google)公司的一款Web瀏覽器。
Google Chrome 112.0.5615.137 之前版本存在安全漏洞,該漏洞源于kia 中的存在整數(shù)溢出問(wèn)題,導(dǎo)致允許破壞渲染器進(jìn)程,攻擊者利用該漏洞可以通過(guò)精心制作的 HTML 頁(yè)面執(zhí)行沙箱逃逸。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_18.html
1.4.2 高危漏洞實(shí)例
2023年4月高危漏洞共792個(gè),其中重要漏洞實(shí)例如表6所示。
表6 2023年4月高危漏洞實(shí)例
(詳情略)
1、PrestaShop SQL注入漏洞(CNNVD-202304-2062)
PrestaShop是美國(guó)PrestaShop公司的一套開(kāi)源的電子商務(wù)解決方案。該方案提供多種支付方式、短消息提醒和商品圖片縮放等功能。
PrestaShop 8.0.4版本、1.7.8.9版本存在SQL注入漏洞。攻擊者利用該漏洞可以訪問(wèn)敏感信息。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-8r4m-5p6p-52rp
2、Cisco Secure Network Analytics 代碼問(wèn)題漏洞(CNNVD-202304-306)
Cisco Secure Network Analytics是美國(guó)思科(Cisco)公司的一個(gè)最全面的可見(jiàn)性和網(wǎng)絡(luò)流量分析 (Nta)/網(wǎng)絡(luò)檢測(cè)和響應(yīng) (Ndr) 解決方案。用于提供對(duì)所有網(wǎng)絡(luò)流量的持續(xù)、實(shí)時(shí)監(jiān)控和普遍視圖。
Cisco Secure Network Analytics 存在安全漏洞,該漏洞源于對(duì)解析到系統(tǒng)內(nèi)存中的用戶提供的數(shù)據(jù)的清理不充分。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-stealthsmc-rce-sfNBPjcS
3、Schneider Electric StruxureWare Data Center Expert 授權(quán)問(wèn)題漏洞(CNNVD-202304-1435)
Schneider Electric StruxureWare Data Center Expert(StruxureWare數(shù)據(jù)中心管理專(zhuān)家)是法國(guó)施耐德電氣(Schneider Electric)公司的一種監(jiān)控軟件。適用于各種組織監(jiān)控其全公司范圍內(nèi)的電力、制冷、安全、環(huán)境。
Schneider Electric StruxureWare Data Center Expert 7.9.2 版本之前存在授權(quán)問(wèn)題漏洞,該漏洞源于存在不正確的身份驗(yàn)證漏洞,當(dāng)輸入少于七位數(shù)字的密鑰并且攻擊者可以訪問(wèn) KNX 安裝時(shí),可能會(huì)導(dǎo)致設(shè)備受到損害。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-045-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-045-03.pdf
4、NVIDIA DGX-1 操作系統(tǒng)命令注入漏洞(CNNVD-202304-1813)
NVIDIA DGX-1是美國(guó)英偉達(dá)(NVIDIA)公司的一款應(yīng)用于深度學(xué)習(xí)的個(gè)人計(jì)算機(jī)設(shè)備。
NVIDIA DGX-1 Servers存在安全漏洞,該漏洞源于具有適當(dāng)權(quán)限級(jí)別的攻擊者可以在該漏洞中注入任意shell命令,這可能導(dǎo)致代碼執(zhí)行、拒絕服務(wù)、信息泄露和數(shù)據(jù)篡改。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://nvidia.custhelp.com/app/answers/detail/a_id/5458
5、Apple macOS Ventura 緩沖區(qū)錯(cuò)誤漏洞(CNNVD-202304-573)
Apple macOS Ventura是美國(guó)Apple公司的一個(gè)桌面操作系統(tǒng)。
Apple macOS Ventura 13.3.1版本存在安全漏洞,該漏洞源于對(duì)輸入驗(yàn)證不正確導(dǎo)致越界寫(xiě)入。攻擊者利用該漏洞使用內(nèi)核權(quán)限執(zhí)行任意代碼。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://support.apple.com/en-us/HT213721
6、Arista EOS 訪問(wèn)控制錯(cuò)誤漏洞(CNNVD-202304-2054)
Arista EOS是美國(guó)Arista公司的一個(gè)完全可編程的、高度模塊化的、基于Linux的網(wǎng)絡(luò)操作系統(tǒng)。
Arista EOS存在訪問(wèn)控制錯(cuò)誤漏洞。攻擊者利用該漏洞可以更新交換機(jī)中的任意配置。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://www.arista.com/en/support/advisories-notices/security-advisory/17250-security-advisory-0086
7、Google Chrome 資源管理錯(cuò)誤漏洞(CNNVD-202304-209)
Google Chrome是美國(guó)谷歌(Google)公司的一款Web瀏覽器。
Google Chrome Vulkan 存在安全漏洞,該漏洞源于存在釋放后重用問(wèn)題。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop.html
8、Linux kernel 輸入驗(yàn)證錯(cuò)誤漏洞(CNNVD-202304-1200)
Linux kernel是美國(guó)Linux基金會(huì)的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核。
Linux kernel存在安全漏洞,該漏洞源于缺乏對(duì)用戶提供的數(shù)據(jù)的正確驗(yàn)證,這可能導(dǎo)致內(nèi)存訪問(wèn)超出數(shù)組末尾。攻擊者可以利用此漏洞可以提升權(quán)限并在內(nèi)核上下文中執(zhí)行任意代碼。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://github.com/torvalds/linux/commit/05b252cccb2e5c3f56119d25de684b4f810ba4
二、漏洞平臺(tái)推送情況
2023年4月漏洞平臺(tái)推送漏洞24893個(gè)。
表7 2023年4月漏洞平臺(tái)推送情況表
三、接報(bào)漏洞情況
2023年4月接報(bào)漏洞1796個(gè),其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)708個(gè),網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)1088個(gè)。
表8 2023年4月接報(bào)漏洞情況表
(詳情略)
四、重大漏洞通報(bào)
微軟多個(gè)安全漏洞的通報(bào)
近日,微軟官方發(fā)布了多個(gè)安全漏洞的公告,其中微軟產(chǎn)品本身漏洞101個(gè),影響到微軟產(chǎn)品的其他廠商漏洞1個(gè)。包括Microsoft Message Queuing 安全漏洞(CNNVD-202304-852、CVE-2023-21554)、Microsoft Windows PGM 安全漏洞(CNNVD-202304-844、CVE-2023-28250)等多個(gè)漏洞。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁,建議用戶及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
. 漏洞介紹
2023年4月11日,微軟發(fā)布了2023年4月份安全更新,共102個(gè)漏洞的補(bǔ)丁程序,CNNVD對(duì)這些漏洞進(jìn)行了收錄。本次更新主要涵蓋了Microsoft Windows 和 Windows 組件、Microsoft Windows Secure Channel、Microsoft Defender、Microsoft Windows Boot Manager、Microsoft OLE DB Provider for SQL Server、Microsoft Windows ALPC等。CNNVD對(duì)其危害等級(jí)進(jìn)行了評(píng)價(jià),其中超危漏洞3個(gè),高危漏洞68個(gè),中危漏洞31個(gè)。微軟多個(gè)產(chǎn)品和系統(tǒng)版本受漏洞影響,具體影響范圍可訪問(wèn)微軟官方網(wǎng)站查詢:
https://portal.msrc.microsoft.com/zh-cn/security-guidance
. 漏洞詳情
此次更新共包括97個(gè)新增漏洞的補(bǔ)丁程序,其中超危漏洞2個(gè),高危漏洞66個(gè),中危漏洞29個(gè)。
(詳情略)
此次更新共包括4個(gè)更新漏洞的補(bǔ)丁程序,其中超危漏洞1個(gè),高危漏洞2個(gè),中危漏洞1個(gè)。
此次更新共包括1個(gè)影響微軟產(chǎn)品的其他廠商漏洞的補(bǔ)丁程序,其中中危漏洞1個(gè)。
. 修復(fù)建議
目前,微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞,建議用戶及時(shí)確認(rèn)漏洞影響,盡快采取修補(bǔ)措施。微軟官方補(bǔ)丁下載地址:
https://msrc.microsoft.com/update-guide/en-us
來(lái)源:CNNVD安全動(dòng)態(tài)