您所在的位置: 首頁 >
安全研究 >
安全通告 >
信息安全漏洞月報2023年6月
漏洞態(tài)勢
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,2023年6月份采集安全漏洞共2227個。
本月接報漏洞38010個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)758個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)37252個,其中漏洞平臺推送漏洞36656個。
重大漏洞通報
微軟官方發(fā)布公告更新Microsoft SharePoint 安全漏洞(CNNVD-202306-940、CVE-2023-29357)、Microsoft Windows PGM 安全漏洞(CNNVD-202306-959、CVE-2023-29363)等多個漏洞:成功利用上述漏洞的攻擊者可以在目標系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補丁,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
漏洞態(tài)勢
一、公開漏洞情況
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,2023年6月份新增安全漏洞共2227個,從廠商分布來看,WordPress基金會公司產(chǎn)品的漏洞數(shù)量最多,共發(fā)布411個;從漏洞類型來看,跨站腳本類的漏洞占比最大,達到15.90%。本月新增漏洞中,超危漏洞280個、高危漏洞775個、中危漏洞1117個、低危漏洞55個,相應(yīng)修復(fù)率分別為68.57%、82.84%、80.39%以及81.82%。合計1777個漏洞已有修復(fù)補丁發(fā)布,本月整體修復(fù)率79.79%。
截至2023年6月30日,CNNVD采集漏洞總量已達213374個。
1.1 漏洞增長概況
2023年6月新增安全漏洞2227個,與上月(2412個)相比減少了7.67%。根據(jù)近6個月來漏洞新增數(shù)量統(tǒng)計圖,平均每月漏洞數(shù)量達到2309個。
圖1 2023年1月至2023年6月漏洞新增數(shù)量統(tǒng)計圖
1.2 漏洞分布情況
1.2.1 漏洞廠商分布
2023年6月廠商漏洞數(shù)量分布情況如表1所示,WordPress基金會公司漏洞達到411個,占本月漏洞總量的18.46%。
1.2.2 漏洞產(chǎn)品分布
2023年6月主流操作系統(tǒng)的漏洞統(tǒng)計情況如表2所示。本月Windows系列操作系統(tǒng)漏洞數(shù)量共48個,Windows Server 2022漏洞數(shù)量最多,共40個,占主流操作系統(tǒng)漏洞總量的11.27%,排名第一。
1.2.3 漏洞類型分布
2023年6月份發(fā)布的漏洞類型分布如表3所示,其中跨站腳本類漏洞所占比例最大,約為15.90%。
1.2.4 漏洞危害等級分布
根據(jù)漏洞的影響范圍、利用方式、攻擊后果等情況,從高到低可將其分為四個危害等級,即超危、高危、中危和低危級別。2023年6月漏洞危害等級分布如圖2所示,其中超危漏洞280條,占本月漏洞總數(shù)的12.57%。
圖2 2023年6月漏洞危害等級分布
1.3漏洞修復(fù)情況
1.3.1 整體修復(fù)情況
2023年6月漏洞修復(fù)情況按危害等級進行統(tǒng)計見圖3。其中高危漏洞修復(fù)率最高,達到82.84%,超危漏洞修復(fù)率最低,比例為68.57%。
總體來看,本月整體修復(fù)率由上月的81.92%下降至本月的79.79%。
圖3 2023年6月漏洞修復(fù)數(shù)量統(tǒng)計
1.3.2 廠商修復(fù)情況
2023年6月漏洞修復(fù)情況按漏洞數(shù)量前十廠商進行統(tǒng)計,其中WordPress基金會、Google、Microsoft等十個廠商共828條漏洞,占本月漏洞總數(shù)的37.18%,漏洞修復(fù)率為87.92%,詳細情況見表4。多數(shù)知名廠商對產(chǎn)品安全高度重視,產(chǎn)品漏洞修復(fù)比較及時,其中Dell、IBM、Qualcomm、Trend Micro、HP等公司本月漏洞修復(fù)率均為100%,共728條漏洞已全部修復(fù)。
1.4 重要漏洞實例
1.4.1 超危漏洞實例
2023年6月超危漏洞共280個,其中重要漏洞實例如表5所示。
表5 2023年6月超危漏洞實例
(詳情略)
1、PrestaShop SQL注入漏洞(CNNVD-202306-108)
PrestaShop是美國PrestaShop公司的一套開源的電子商務(wù)解決方案。該方案提供多種支付方式、短消息提醒和商品圖片縮放等功能。
PrestaShop Module City Autocomplete存在安全漏洞,該漏洞源于存在SQL注入漏洞。受影響的產(chǎn)品和版本:PrestaShop 1.5/1.6版本:City Autocomplete 1.8.12之前版本,PrestaShop 1.7版本:City Autocomplete 2.0.3之前版本。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://addons.prestashop.com/fr/inscription-processus-de-commande/6097-city-autocomplete.html#overview_description
2、PrestaShop 代碼問題漏洞(CNNVD-202306-244)
PrestaShop是美國PrestaShop公司的一套開源的電子商務(wù)解決方案。該方案提供多種支付方式、短消息提醒和商品圖片縮放等功能。
PrestaShop jmsslider 1.6.0版本存在安全漏洞,該漏洞源于容易受到通過ajax_jmsslider.php的不正確訪問控制的影響。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,詳情請關(guān)注廠商主頁:
https://github.com/PrestaShop/PrestaShop
3、FreeBSD 授權(quán)問題漏洞(CNNVD-202306-1613)
FreeBSD是FreeBSD基金會的一套類Unix操作系統(tǒng)。
FreeBSD存在安全漏洞,該漏洞源于如果系統(tǒng)上未配置密鑰表,pam_krb5無法驗證來自KDC的響應(yīng),攻擊者利用該漏洞可以對系統(tǒng)上的任何用戶進行身份驗證。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.freebsd.org/security/advisories/FreeBSD-SA-23:04.pam_krb5.asc
4、Google Android 緩沖區(qū)錯誤漏洞(CNNVD-202306-1235)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。
Google Android 存在安全漏洞,該漏洞源于可能存在緩沖區(qū)溢出導(dǎo)致的遠程代碼執(zhí)行,可能會導(dǎo)致無需額外執(zhí)行權(quán)限的本地權(quán)限升級。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://source.android.com/security/bulletin/2023-06-01
5、SICK EventCam 訪問控制錯誤漏洞(CNNVD-202306-1424)
SICK EventCam是德國西克(SICK)公司的一款工業(yè)光電傳感器。
SICK EventCam 存在安全漏洞,該漏洞源于缺乏API身份驗證,導(dǎo)致攻擊者可以修改和訪問程序上的配置設(shè)置。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://sick.com/.well-known/csaf/white/2023/sca-2023-0005.pdf
6、OpenBSD 資源管理錯誤漏洞(CNNVD-202306-1338)
OpenBSD是加拿大OpenBSD項目組的一套跨平臺的、基于BSD的類UNIX操作系統(tǒng)。
OpenBSD 7.2 errata 026之前版本、7.3 errata 004之前版本存在安全漏洞,該漏洞源于SSL_clear存在雙重釋放或釋放后重用問題。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://github.com/libressl/openbsd/commit/96094ca8757b95298f49d65c813f303bd514b27b
7、ABB ASPECT 輸入驗證錯誤漏洞(CNNVD-202306-190)
ABB ASPECT是瑞士ABB公司的一個可擴展建筑能源管理和控制解決方案。
ABB多款產(chǎn)品存在輸入驗證錯誤漏洞,該漏洞源于允許攻擊者利用ASPECT接口的組件來執(zhí)行遠程代碼。受影響的產(chǎn)品和版本:ABB ASPECT-Enterprise 3.0.0至3.07.0之前版本;NEXUS Series on NEXUS Series 3.0.0至3.07.0之前版本;MATRIX Series on MATRIX Series 3.0.0至3.07.01之前版本。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://search.abb.com/library/Download.aspx?DocumentID=2CKA000073B5403&LanguageCode=en&DocumentPartId=&Action=Launch
1.4.2 高危漏洞實例
2023年6月高危漏洞共775個,其中重要漏洞實例如表6所示。
表6 2023年6月高危漏洞實例
(詳情略)
1、SugarCRM Enterprise SQL注入漏洞(CNNVD-202306-1347)
SugarCRM Enterprise是美國SugarCRM公司的一套開源的客戶關(guān)系管理系統(tǒng)(CRM)的企業(yè)版。該系統(tǒng)支持對不同的客戶需求進行差異化營銷、管理和分配銷售線索,實現(xiàn)銷售代表的信息共享和追蹤。
SugarCRM Enterprise 11.0.6 之前版本、12.0.3 之前版本存在安全漏洞,該漏洞源于在 REST API 存在SQL 注入漏洞,攻擊者利用該漏洞可以通過REST API 注入任意 SQL 代碼。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://support.sugarcrm.com/Resources/Security/sugarcrm-sa-2023-008/
2、VMware Aria Operations 代碼問題漏洞(CNNVD-202306-549)
VMware Aria Operations是美國威睿(VMware)公司的一個統(tǒng)一的、人工智能驅(qū)動的自動駕駛 IT 運營管理平臺,適用于私有云、混合云和多云環(huán)境。
VMware Aria Operations Networks 6.x系列版本存在安全漏洞,攻擊者利用該漏洞可以執(zhí)行反序列化攻擊,從而導(dǎo)致遠程代碼執(zhí)行。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.vmware.com/security/advisories/VMSA-2023-0012.html
3、Trend Micro Mobile Security for Enterprise 授權(quán)問題漏洞(CNNVD-202306-1871)
Trend Micro Mobile Security for Enterprise是美國趨勢科技(Trend Micro)公司的一種移動端防病毒軟件。
Trend Micro Mobile Security for Enterprise 9.8 SP5版本存在安全漏洞,該漏洞源于允許攻擊者繞過身份驗證。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://success.trendmicro.com/dcx/s/solution/000293106?language=en_US
4、BMC AMI 操作系統(tǒng)命令注入漏洞(CNNVD-202306-804)
BMC AMI(BMC Automated Mainframe Intelligence)是美國BMC公司的一個自動化大型機智能解決方案。
BMC AMI存在安全漏洞,該漏洞源于存在任意shell命令注入漏洞,這可能導(dǎo)致代碼執(zhí)行、拒絕服務(wù)、信息泄露或數(shù)據(jù)篡改。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://9443417.fs1.hubspotusercontent-na1.net/hubfs/9443417/Security%20Advisories/AMI-SA-2023005.pdf
5、Apple macOS Ventura 緩沖區(qū)錯誤漏洞(CNNVD-202306-1546)
Apple macOS Ventura是美國Apple公司的一個桌面操作系統(tǒng)。
Apple macOS Ventura 13.3 之前版本存在安全漏洞,該漏洞源于處理網(wǎng)頁內(nèi)容時可能會導(dǎo)致任意代碼執(zhí)行。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://support.apple.com/en-us/HT213670
6、Dell OS Recovery Tool 訪問控制錯誤漏洞(CNNVD-202306-054)
Dell OS Recovery Tool是美國戴爾(Dell)公司的一個操作系統(tǒng)恢復(fù)工具。
Dell OS Recovery Tool 2.2.4013版本、2.3.7012.0版本存在訪問控制錯誤漏洞,該漏洞源于包含不當訪問控制,可能會利用此漏洞來提升系統(tǒng)權(quán)限。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.dell.com/support/kbdoc/en-us/000212575/dsa-2023-147
7、Google Android 資源管理錯誤漏洞(CNNVD-202306-1243)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。
Google Android存在安全漏洞。攻擊者利用該漏洞可以執(zhí)行任意代碼。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://source.android.com/security/bulletin/2023-06-01
8、Apache Airflow 輸入驗證錯誤漏洞(CNNVD-202306-2143)
Apache Airflow是美國阿帕奇(Apache)基金會的一套用于創(chuàng)建、管理和監(jiān)控工作流程的開源平臺。該平臺具有可擴展和動態(tài)監(jiān)控等特點。
Apache Airflow JDBC Provider 4.0.0之前版本存在輸入驗證錯誤漏洞,該漏洞源于存在不正確的輸入驗證漏洞,攻擊者利用該漏洞可以執(zhí)行遠程代碼。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://lists.apache.org/thread/ynbjwp4n0vzql0xzhog1gkp1ovncf8j3
二、漏洞平臺推送情況
2023年6月漏洞平臺推送漏洞36656個。
三、接報漏洞情況
2023年6月接報漏洞1354個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)758個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)596個。
表8 2023年6月接報漏洞情況表
(詳情略)
四、重大漏洞通報
微軟多個安全漏洞的通報
近日,微軟官方發(fā)布了多個安全漏洞的公告,其中微軟產(chǎn)品本身漏洞77個,影響到微軟產(chǎn)品的其他廠商漏洞8個。包括Microsoft SharePoint 安全漏洞(CNNVD-202306-940、CVE-2023-29357)、Microsoft Windows PGM 安全漏洞(CNNVD-202306-959、CVE-2023-29363)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補丁,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
. 漏洞介紹
2023年6月13日,微軟發(fā)布了2023年6月份安全更新,共85個漏洞的補丁程序,CNNVD對這些漏洞進行了收錄。本次更新主要涵蓋了Microsoft Windows 和 Windows 組件、Microsoft Visual Studio和Microsoft .NET、Microsoft Visual Studio和Microsoft、Microsoft Windows iSCSI、Microsoft Windows Hyper-V、Microsoft Windows Bus Filter Driver等。CNNVD對其危害等級進行了評價,其中超危漏洞4個,高危漏洞54個,中危漏洞24個,低危漏洞3個。微軟多個產(chǎn)品和系統(tǒng)版本受漏洞影響,具體影響范圍可訪問微軟官方網(wǎng)站查詢:
https://portal.msrc.microsoft.com/zh-cn/security-guidance
. 漏洞詳情
此次更新共包括70個新增漏洞的補丁程序,其中超危漏洞4個,高危漏洞43個,中危漏洞21個,低危漏洞2個。
(詳情略)
此次更新共包括7個更新漏洞的補丁程序,其中高危漏洞4個,中危漏洞3個。
(詳情略)
此次更新共包括8個影響微軟產(chǎn)品的其他廠商漏洞的補丁程序,其中高危漏洞7個,低危漏洞1個。
(詳情略)
. 修復(fù)建議
目前,微軟官方已經(jīng)發(fā)布補丁修復(fù)了上述漏洞,建議用戶及時確認漏洞影響,盡快采取修補措施。微軟官方補丁下載地址:
https://msrc.microsoft.com/update-guide/en-us
來源: CNNVD安全動態(tài)