信息安全漏洞周报(2022年第24期)

admin 2022年6月18日10:08:48安全新闻评论14 views3270字阅读10分54秒阅读模式


公开漏洞情况


  本周CNNVD采集安全漏洞521个。

接报漏洞情况

  本周CNNVD接报漏洞4632个,其中信息技术产品漏洞(通用型漏洞)137个,网络信息系统漏洞(事件型漏洞)192个,漏洞平台推送漏洞4303个。



一、公开漏洞情况

  根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞521个,漏洞新增数量有所上升。从厂商分布来看谷歌公司新增漏洞最多,有90个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到7.10%。新增漏洞中,超危漏洞45个,高危漏洞76个,中危漏洞382个,低危漏洞18个。相应修复率分别为60.00%、76.32%、76.70%和88.89%。根据补丁信息统计,合计394个漏洞已有修复补丁发布,整体修复率为75.62%。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞521

信息安全漏洞周报(2022年第24期)

1 近五周漏洞新增数量统计图


(二) 安全漏洞分布情况

  从厂商分布来看,谷歌公司新增漏洞最多,有90个。各厂商漏洞数量分布如表1所示。


1 新增安全漏洞排名前五厂商统计表


序号

厂商名称

漏洞数量(个)

所占比例

1

谷歌

90

17.27%

2

三星

41

7.87%

3

WordPress基金会

31

5.95%

4

高通

23

4.41%

5

新华三

17

3.26%

  本周国内厂商漏洞42个,联发科技股份有限公司漏洞数量最多,有17个。国内厂商漏洞整体修复率为48.08%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

  从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到7.10%。漏洞类型统计如表3所示。

2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

跨站脚本

37

7.10%

2

缓冲区错误

25

4.80%

3

SQL注入

23

4.41%

4

输入验证错误

23

4.41%

5

信息泄露

20

3.84%

6

权限许可和访问控制问题

16

3.07%

7

资源管理错误

14

2.69%

8

跨站请求伪造

8

1.54%

9

访问控制错误

4

0.77%

10

操作系统命令注入

4

0.77%

11

路径遍历

3

0.58%

12

加密问题

3

0.58%

13

授权问题

2

0.38%

14

代码问题

2

0.38%

15

代码注入

2

0.38%

16

数字错误

2

0.38%

17

数据伪造问题

2

0.38%

18

信任管理问题

1

0.19%

19

命令注入

1

0.19%

20

日志信息泄露

1

0.19%

21

环境问题

1

0.19%

22

其他

327

62.76%

(三) 安全漏洞危害等级与修复情况

  本周共发布超危漏洞45个,高危漏洞76个,中危漏洞382个,低危漏洞18个。相应修复率分别为60.00%76.32%76.70%88.89%。根据补丁信息统计,合计394个漏洞已有修复补丁发布,整体修复率为75.62%。详细情况如表3所示。

3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

45

27

60.00%

2

高危

76

58

76.32%

3

中危

382

293

76.70%

4

低危

18

16

88.89%

合计

521

394

75.62%


(四) 本周重要漏洞实例

  本周重要漏洞实例如表4所示。

4 本期重要漏洞实例

序号

漏洞

漏洞编号

厂商

漏洞实例

是否修复

危害等级

类型

1

其他

CNNVD-202206-706

三星

Samsung Account 安全漏洞

超危

2

输入验证错误

CNNVD-202206-587

谷歌

Google Android 输入验证错误漏洞

高危

3

其他

CNNVD-202206-949

Apache基金会

Apache Dubbo 安全漏洞

高危


1.Samsung Account 安全漏洞(CNNVD-202206-706

  Samsung Account是韩国三星(Samsung)公司的手机帐户管理软件。

  Samsung Account SMR Jun-2022 Release 1 之前版本存在安全漏洞。攻击者利用该漏洞可以绕过软件的用户确认功能进行登录。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

 https://security.samsungmobile.com/securityUpdate.smsb?year=2022&month=6

2. Google Android 输入验证错误漏洞(CNNVD-202206-587

  Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。

  Google Android 10111212L及之前版本存在输入验证错误漏洞。攻击者利用该漏洞可以提升本地权限。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

  https://source.android.com/security/bulletin/2022-06-01

3. Apache Dubbo 安全漏洞(CNNVD-202206-949

  Apache Dubbo是美国阿帕奇(Apache)基金会的一款基于Java的轻量级RPC(远程过程调用)框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。

  Apache Dubbo 2.6.12之前版本、2.7.15之前版本存在安全漏洞。攻击者利用该漏洞通过 parseURL()函数绕过白名单检查,从而执行服务器端请求伪造攻击。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

 https://lists.apache.org/thread/1xbckc3467wfk5r7n2o44r2brdsbwxgr


二、漏洞平台推送情况

    本周漏洞平台推送漏洞4303个。

序号

漏洞平台

漏洞总量

1

漏洞盒子

3171

2

补天平台

1132

推送总计

4303

三、接报漏洞情况

  本周CNNVD接报漏洞329个,其中信息技术产品漏洞(通用型漏洞)137个,网络信息系统漏洞(事件型漏洞)192个。

5 本周漏洞报送情况

序号

报送单位

漏洞总量

1

西安四叶草信息技术有限公司

78

2

北京天融信网络安全技术有限公司

76

3

北京网御星云信息技术有限公司

39

4

杭州海康威视数字技术股份有限公司

29

5

北京华云安信息技术有限公司

19

6

杭州安恒信息技术股份有限公司

14

7

南京众智维信息科技有限公司

11

8

北京数字观星科技有限公司

8

9

北京国舜科技股份有限公司

7

10

北京奇虎科技有限公司

7

11

上海安识网络科技有限公司

6

12

北京天地和兴科技有限公司

4

13

广州竞远安全技术股份有限公司

4

14

国防科技大学

4

15

浪潮电子信息产业股份有限公司

4

16

北京华顺信安科技有限公司

3

17

北京威努特技术有限公司

3

18

北京永信至诚科技股份有限公司

3

19

博智安全科技股份有限公司

3

20

北京小佑科技有限公司

2

21

北京城市学院

1

22

内蒙古思沃科技有限公司

1

23

山东泽鹿安全技术有限公司

1

24

奇安信网神信息技术(北京)股份有限公司

1

25

长春嘉诚信息技术股份有限公司

1

报送总计

329

四、接报漏洞通报情况

  本周CNNVD接报漏洞通报115份。

序号

报送单位

预警总量

1

深信服科技股份有限公司

27

2

杭州迪普科技股份有限公司

15

3

中瑞创信息技术(北京)有限公司

12

4

北京华云安信息技术有限公司

12

5

安徽华云安科技有限公司

12

6

北京永信至诚科技股份有限公司

4

7

上海斗象信息科技有限公司

3

8

奇安信网神信息技术(北京)股份有限公司

2

9

北京数字观星科技有限公司

2

10

北京知道创宇信息技术股份有限公司

2

11

南京铱迅信息技术股份有限公司

2

12

道普信息技术有限公司

2

13

南京众智维信息科技有限公司

2

14

北京天融信网络安全技术有限公司

2

15

北京华顺信安科技有限公司

2

16

长春嘉诚信息技术股份有限公司

2

17

北京时代新威信息技术有限公司

1

18

新华三技术有限公司

1

19

恒安嘉新(北京)科技股份公司

1

20

内蒙古洞明科技有限公司

1

21

西安四叶草信息技术有限公司

1

22

北京安天网络安全技术有限公司

1

23

杭州安恒信息技术股份有限公司

1

24

上海安识网络科技有限公司

1

25

北京启明星辰信息安全技术有限公司

1

26

远江盛邦(北京)网络安全科技股份有限公司

1

27

北京海泰方圆科技股份有限公司

1

28

上海上讯信息技术股份有限公司

1

报送总计

115



原文始发于微信公众号(CNNVD安全动态):信息安全漏洞周报(2022年第24期)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月18日10:08:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  信息安全漏洞周报(2022年第24期) http://cn-sec.com/archives/1124749.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: