当前位置:病毒专区 \ 安全预警
CNVD漏洞周报2019年第30期
新闻来源:国家互联网应急中心CNCERT
发布人:计算机安全协会
点击率:412
发布日期:2019.07.31

 2019年07月22日-2019年07月28日

国家信息安全漏洞.jpg

本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞443个,其中高危漏洞198个、中危漏洞181个、低危漏洞64个。漏洞平均分值为6.50。本周收录的漏洞中,涉及0day漏洞107个(占24%),其中互联网上出现“Invoxia NVX220信任管理问题漏洞、Private Internet Access (PIA) VPN客户端任意代码执行漏洞(CNVD-2019-24214)”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数2259个,与上周(3226个)环比下降30%。

1.jpg

图1 CNVD收录漏洞近10周平均分值分布图

2.jpg

图2 CNVD 0day漏洞总数按周统计

本周漏洞事件处置情况

本周,CNVD向基础电信企业通报漏洞事件12起,向银行、保险、能源等重要行业单位通报漏洞事件34起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件437起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件32起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件9起。

3.jpg

图3 CNVD各行业漏洞处置情况按周统计

4.jpg

图4 CNCERT各分中心处置情况按周统计

5.jpg

图5 CNVD教育行业应急组织处置情况按周统计

此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:

桂林崇胜网络科技有限公司、沧州市凡诺广告传媒有限公司、山石网科通信技术有限公司、山大鲁能信息科技有限公司、东莞偶偶网络科技有限公司、福建皮皮跳动科技有限公司、中山市华拓信息技术有限公司、北京五指互联科技有限公司、中海粮油集团有限公司、上海卓卓网络科技有限公司、深圳市锟铻科技有限公司、深圳市金卫信信息技术有限公司 、福建星网锐捷通讯股份有限公司、北京亿赛通科技发展有限责任公司、浙江大华技术股份有限公司、台州精迅信息技术有限公司、研华科技(中国)有限公司、深圳市贝尔利科技有限公司、中国生物技术股份有限公司、中国医药集团有限公司、上海同磊土木工程技术有限公司、深圳市金卫信信息技术有限公司、锐捷网络股份有限公司、山西牛酷信息科技有限公司、上海丹帆网络科技有限公司、北京盈算计算机系统工程有限公司、四川云百特科技有限公司、上海浪擎信息科技有限公司、江苏汇文软件有限公司、广州搜客网络科技有限公司、武汉达梦数据库有限公司、郑州维维信息技术有限公司、浙江齐治科技股份有限公司、中国船舶重工集团国际工程有限公司、深圳市硕赢互动信息技术有限公司、深圳搜豹网络有限公司、太原迅易科技有限公司、台达电子企业管理(上海)有限公司、北京卓正志远软件有限公司、深圳好生意网络工作室、国药控股北京华鸿有限公司、青岛圭谷品牌设计有限公司、杭州可道云网络有限公司、中国国际电视总公司、武汉客客信息技术有限公司、中泽国际会展(北京)有限公司、国药控股贵州有限公司、正方软件股份有限公司、海南赞赞网络科技有限公司、厦门科汛软件有限公司、昆山优网信息科技有限公司、郑州新开普电子技术有限公司、国药控股常州医药物流中心有限公司、中国医药保健品进出口商会、中国国际经济贸易仲裁委员会、中国自动化学会、中国质量协会、中国盲文出版社、中国数字认证网、六安市开发区鹏程网络工作室、CCTV乡情快讯、Creatiwity机构、UQCMS、OFCMS、ShopXO、ArtCMS、ShyPost、UPX、Zzzcms、SemCms、PHPEMS、ThinkSAAS、UCMS。

本周漏洞报送情况统计

本周报送情况如表1所示。其中,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、深信服科技股份有限公司、厦门服云信息科技有限公司、华为技术有限公司等单位报送公开收集的漏洞数量较多。山东新潮信息技术有限公司、南京众智维信息科技有限公司、国瑞数码零点实验室、国网思极检测技术(北京)有限公司、任子行网络技术股份有限公司、山东云天安全技术有限公司、长春嘉诚信息技术股份有限公司、内蒙古奥创科技有限公司、山东华鲁科技发展股份有限公司、北京铭图天成信息技术有限公司、山东新潮信息技术有限公司、河南信安世纪科技有限公司、山石网科通信技术有限公司、北京智游网安科技有限公司、北京国腾创新科技有限公司、北京圣博润高新技术股份有限公司、上海并擎软件科技有限公司、上海物盾信息科技有限公司、中移(杭州)信息技术有限公司及其他个人白帽子向CNVD提交了2259个以事件型漏洞为主的原创漏洞,其中包括奇安信网神(补天平台)和斗象科技(漏洞盒子)向CNVD共享的白帽子报送的1561条原创漏洞信息。

表1 漏洞报送情况统计表

b1.jpg

本周漏洞按类型和厂商统计

本周,CNVD收录了443个漏洞。应用程序291个,WEB应用69个,操作系统47个,网络设备(交换机、路由器等网络端设备)26个,智能设备(物联网终端设备)5个,安全产品4个,数据库1个。

表2 漏洞按影响类型统计表

b2.jpg

6.jpg 

图6 本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及HP、Google、CloudBees等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

b3.jpg

本周行业漏洞收录情况

本周,CNVD收录了9个电信行业漏洞,15个移动互联网行业漏洞(如下图所示)。其中,“Cisco NX-OS Software本地权限提升漏洞、ProFTPd任意文件拷贝漏洞、Moxa OnCell G3100-HSPA内存破坏漏洞、Google Android System组件远程代码执行漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接:http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接:http://mi.cnvd.org.cn/

工控系统行业漏洞链接:http://ics.cnvd.org.cn/

7.jpg

图7 电信行业漏洞统计

8.jpg

图8 移动互联网行业漏洞统计

本周重要漏洞安全警告

本周,CNVD整理和发布以下重要安全漏洞信息。

1、HP产品安全漏洞

HPE Intelligent Management Center(IMC)是一个从底层构建的综合管理平台,支持故障、配置、记账、性能及安全(FCAPS)模型。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全机制执行未授权操作,导致缓冲区溢出,执行远程代码,造成拒绝服务。

CNVD收录的相关漏洞包括:HPE Intelligent Management Center (IMC)拒绝服务漏洞、HPE Intelligent Management Center (IMC) UrlAccessController认证绕过漏洞、HPE Intelligent Management Center (IMC)远程代码执行漏洞(CNVD-2019-23771、CNVD-2019-23769、CNVD-2019-23770、CNVD-2019-23772、CNVD-2019-23773)、HPE Intelligent Management Center (IMC)栈缓冲区溢出漏洞(CNVD-2019-24023)。其中,除“HPE Intelligent Management Center (IMC)远程代码执行漏洞(CNVD-2019-23769)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23551

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23760

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23771

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23769

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23770

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23772

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23773

http://www.cnvd.org.cn/flaw/show/CNVD-2019-24023

2、CloudBees产品安全漏洞

CloudBees Jenkins是一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,造成拒绝服务(无限循环)等。

CNVD收录的相关漏洞包括:CloudBees Jenkins SSH Credentials Plugin任意文件读取漏洞、CloudBees Jenkins SAML PluginHTTP会话固定漏洞 、CloudBees jenkins-email-ext Email Extension插件信息泄露漏洞、CloudBees Jenkins拒绝服务漏洞(CNVD-2019-23809)、CloudBees Jenkins Cloud Foundry Plugin信息泄露漏洞、CloudBees Jenkins JMS Messaging Plugin服务器请求伪造漏洞、CloudBees Jenkins Script Security Plugin沙盒绕过漏洞、CloudBees Jenkins信息泄露漏洞(CNVD-2019-24407)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23805

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23806

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23810

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23809

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23828

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23832

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23829

http://www.cnvd.org.cn/flaw/show/CNVD-2019-24407

3、Google产品安全漏洞

Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括:Google Android Media framework远程代码执行漏洞(CNVD-2019-23555、CNVD-2019-23556)、Google Android System组件远程代码执行漏洞、Google Android Framework组件远程代码执行漏洞(CNVD-2019-23561、CNVD-2019-23562、CNVD-2019-23563)、Google Android远程代码执行漏洞(CNVD-2019-24161、CNVD-2019-24164)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23555

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23556

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23560

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23561

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23562

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23563

http://www.cnvd.org.cn/flaw/show/CNVD-2019-24161

http://www.cnvd.org.cn/flaw/show/CNVD-2019-24164

4、Moxa产品安全漏洞

Moxa OnCell G3100-HSPA是一款G3100-HSPA系列蜂窝网络网关设备。Moxa OnCell G3470A-LTE是一款G3470A-LTE系列蜂窝网络网关设备。Moxa AWK-3121是一款工业级无线访问接入点。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,破坏内存等。

CNVD收录的相关漏洞包括:Moxa OnCell G3100-HSPA安全绕过漏洞、Moxa OnCell G3100-HSPA内存破坏漏洞(CNVD-2019-23543、CNVD-2019-23545)、Moxa OnCell G3470A-LTE内存破坏漏洞(CNVD-2019-23546、CNVD-2019-23547)、Moxa OnCell G3100-HSPA安全特征问题漏洞、Moxa AWK-3121信息泄露漏洞、Moxa AWK-3121加密问题漏洞。其中,除“Moxa OnCell G3100-HSPA安全特征问题漏洞、Moxa AWK-3121信息泄露漏洞、Moxa AWK-3121加密问题漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23541

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23543

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23546

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23545

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23544

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23547

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23548

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23550

5、Sony BRAVIA Smart TVs拒绝服务漏洞

Sony BRAVIA Smart TVs是日本索尼(Sony)公司的一款智能电视。Sony BRAVIA Smart TVs被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成电视卡屏,无法响应,程序崩溃并且导致电视重启。CNVD提醒广大用户随时关注厂商主页,以获取最新版本

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23992

更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。

参考链接:

http://www.cnvd.org.cn/flaw/list.htm

小结:本周,HP被披露存在多个漏洞,攻击者可利用漏洞绕过安全机制执行未授权操作,导致缓冲区溢出,执行远程代码,造成拒绝服务。此外,CloudBees、Google、Moxa等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码,造成拒绝服务(无限循环)等。Sony BRAVIA Smart TVs被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成电视卡屏,无法响应,程序崩溃并且导致电视重启。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

本周重要漏洞攻击验证情况

本周,CNVD建议注意防范以下已公开漏洞攻击验证情况。

1、Invoxia NVX220信任管理问题漏洞

验证描述

Invoxia NVX220是法国Invoxia公司的一款IP电话机。

Invoxia NVX220中存在信任管理问题漏洞。攻击者可利用该漏洞访问自定义的CLI。

验证信息

POC链接:

https://gitlab.com/r3dlight/CVE-2018-14528

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-23976

信息提供者

CNVD工作组

上一篇:网络安全信息与动态周报2019年第30期(7月22日-7月28日)
下一篇:网络安全信息与动态周报2019年第29期(7月15日-7月21日)
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com