CNVD漏洞周报2020年第51期

  • A+
所属分类:安全新闻

2020年12月14日-2020年12月20日

CNVD漏洞周报2020年第51期

本周漏洞态势研判情况


本周信息安全漏洞威胁整体评价级别
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞214个,其中高危漏洞80个、中危漏洞125个、低危漏洞9个。漏洞平均分值为5.92。本周收录的漏洞中,涉及0day漏洞143个(占67%),其中互联网上出现“Online Bus Ticket Reservation SQL注入漏洞、BloodX SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数12185个,与上周(12235个)环比减少0.4%。

CNVD漏洞周报2020年第51期

图1 CNVD收录漏洞近10周平均分值分布图

CNVD漏洞周报2020年第51期

图2 CNVD 0day漏洞总数按周统计


本周漏洞事件处置情况

本周,CNVD向银行、保险、能源等重要行业单位通报漏洞事件30起,向基础电信企业通报漏洞事件7起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件329起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件21起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件43起。

CNVD漏洞周报2020年第51期

图3 CNVD各行业漏洞处置情况按周统计

CNVD漏洞周报2020年第51期

图4 CNCERT各分中心处置情况按周统计

CNVD漏洞周报2020年第51期

图5 CNVD教育行业应急组织处置情况按周统计

此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:

网际傲游(北京)科技有限公司、小船出海教育科技(北京)有限公司、北京数码大方科技股份有限公司、上海二三四五移动科技有限公司、上海广乐网络科技有限公司、北京因酷时代科技有限公司、广东睿江云计算股份有限公司、深圳市星空量子科技有限公司、上海百胜软件股份有限公司、北京易普拉格科技股份有限公司、浙江快服集团有限公司、北京通达信科科技有限公司、长沙米拓信息技术有限公司、ACS运动控制中国(上海)、工业供热与制冷有限公司、郑州天迈科技股份有限公司、青岛商至信网络科技有限公司、杭州新中大科技股份有限公司、网易有道信息技术(北京)有限公司、苏州思杰马克丁软件有限公司、金蝶软件(中国)有限公司、郑州微口网络科技有限公司、上海泛微网络科技股份有限公司、北京尚网汇智科技有限公司、江苏三希科技股份有限公司、上海迈微软件科技有限公司、方法数码(成都)科技有限公司、北京百度网讯科技有限公司、黄山生活在线信息科技有限公司、广州网易计算机系统有限公司、江苏连邦信息技术有限公司、北京威速科技有限公司、成都俊云科技有限公司、普联技术有限公司、北京多点在线科技有限公司、淄博闪灵网络科技有限公司、锐捷网络股份有限公司、瑞芯微电子股份有限公司、青岛软媒网络科技有限公司、北京搜狗信息服务有限公司、广州齐博网络科技有限公司、厦门网中网软件有限公司、浙江中控技术股份有限公司、上海牛迈网络科技有限公司、福建福昕软件开发股份有限公司、深圳市盛世桃源网络科技有限公司、成都市任我行信息技术有限公司、上海阿法迪智能标签系统技术有限公司、深圳市信锐网科技术有限公司、联想集团、上海荃路软件开发工作室、米酷影视、佳佳软件、VMware、Eltima、SEACMS、FUEL CMS、YzmCMS 、UCMS 、LzCMS 、CIMCO和SEMCMS。


本周漏洞报送情况统计

本周报送情况如表1所示。其中,北京神州绿盟科技有限公司、北京天融信网络安全技术有限公司、厦门服云信息科技有限公司、阿里云计算有限公司、哈尔滨安天科技集团股份有限公司等单位报送公开收集的漏洞数量较多。国瑞数码零点实验室、北京山石网科信息技术有限公司、山东华鲁科技发展股份有限公司、北京天地和兴科技有限公司、河南灵创电子科技有限公司、山东云天安全技术有限公司、新疆海狼科技有限公司、北京云科安信科技有限公司(Seraph安全实验室)、远江盛邦(北京)网络安全科技股份有限公司、河南信安世纪科技有限公司、南京众智维信息科技有限公司、浙江安腾信息技术有限公司、北京机沃科技有限公司、广州市蓝爵计算机科技有限公司、内蒙古奥创科技有限公司、上海观安信息技术股份有限公司、山东道普测评技术有限公司、郑州云智信安安全技术有限公司、安徽长泰信息安全服务有限公司、北京长亭科技有限公司、吉林谛听信息技术有限公司、广州万方计算机科技有限公司、长扬科技(北京)有限公司、广州百蕴启辰科技有限公司、北京智游网安科技有限公司、北京时代新威信息技术有限公司、深圳市魔方安全科技有限公司、上海纽盾科技股份有限公司及其他个人白帽子向CNVD提交了12185个以事件型漏洞为主的原创漏洞,其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的10376条原创漏洞信息。

表1 漏洞报送情况统计表

CNVD漏洞周报2020年第51期


本周漏洞按类型和厂商统计

 

本周,CNVD收录了214个漏洞。应用程序120个,WEB应用71个,操作系统14个,网络设备(交换机、路由器等网络端设备)5个,数据库3个,安全产品1个。

表2 漏洞按影响类型统计表

CNVD漏洞周报2020年第51期

CNVD漏洞周报2020年第51期

图6 本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及JerryScript、Microsoft、Oracle等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

CNVD漏洞周报2020年第51期


本周行业漏洞收录情况


本周,CNVD收录了4个电信行业漏洞,11个移动互联网行业漏洞,5个工控行业漏洞(如下图所示)。其中,“D-Link DSR-250命令注入漏洞、FactoryTalk Linx堆缓冲区溢出漏洞、Google Android System权限提升漏洞(CNVD-2020-72495)”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接:http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接:http://mi.cnvd.org.cn/

工控系统行业漏洞链接:http://ics.cnvd.org.cn/

CNVD漏洞周报2020年第51期

图7 电信行业漏洞统计

CNVD漏洞周报2020年第51期

图8 移动互联网行业漏洞统计

CNVD漏洞周报2020年第51期

图9 工控系统行业漏洞统计

本周重要漏洞安全告警


本周,CNVD整理和发布以下重要安全漏洞信息。
1、Google产品安全漏洞

Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升本地权限获取敏感信息,造成拒绝服务等。

CNVD收录的相关漏洞包括:Google Android信息泄露漏洞(CNVD-2020-72490)、Google Android权限提升漏洞(CNVD-2020-72489、CNVD-2020-72491、CNVD-2020-72494)、Google Android Media Framework信息泄露漏洞(CNVD-2020-72488)、Google Android拒绝服务漏洞(CNVD-2020-72493、CNVD-2020-72492)、Google Android System权限提升漏洞(CNVD-2020-72495)。其中,“Google Android拒绝服务漏洞(CNVD-2020-72493)、Google Android System权限提升漏洞(CNVD-2020-72495)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72490

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72489

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72488

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72493

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72492

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72491

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72495

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72494

2、Microsoft产品安全漏洞

Microsoft Outlook是美国微软(Microsoft)公司的一套电子邮件应用程序。Microsoft ChakraCore和Microsoft Edge都是美国微软(Microsoft)公司的产品。ChakraCore是使用在Edge浏览器中的一个开源的ChakraJavaScript脚本引擎的核心部分,也可作为单独的JavaScript引擎使用。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Windows Codecs Library是其中的一个音频、视频文件编解码器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在系统用户的上下文中运行任意代码,破坏内存,控制受影响的系统等。

CNVD收录的相关漏洞包括:Microsoft Outlook远程代码执行漏洞(CNVD-2020-72694)、Microsoft ChakraCore和Edge远程代码执行漏洞(CNVD-2020-72698)、Microsoft Color Management远程代码执行漏洞、Microsoft ChakraCore远程代码执行漏洞(CNVD-2020-72699、CNVD-2020-72701、CNVD-2020-72700)、Microsoft Windows Codecs Library远程代码执行漏洞(CNVD-2020-72695、CNVD-2020-72696)。其中,“Microsoft Outlook远程代码执行漏洞(CNVD-2020-72694)、Microsoft ChakraCore和Edge远程代码执行漏洞(CNVD-2020-72698)、Microsoft Color Management远程代码执行漏洞、Microsoft ChakraCore远程代码执行漏洞(CNVD-2020-72699、CNVD-2020-72701、CNVD-2020-72700)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72694

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72698

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72697

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72699

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72701

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72700

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72695

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72696

3、Cisco产品安全漏洞

Cisco IoT Field Network Director(IoT-FND)是美国思科(Cisco)公司的一套端到端的物联网管理系统。Cisco RoomOS Software是美国思科(Cisco)公司的一套用于Cisco设备的自动管理软件。该软件主要用于升级、管理Cisco设备的主板固件。Cisco Security Manager(CSM)是美国思科(Cisco)公司的一套企业级的管理应用,它主要用于在Cisco网络和安全设备上配置防火墙、VPN和入侵保护安全服务。Cisco IOS XE是美国Cisco公司为其网络设备开发的一套基于Linux内核的模块化操作系统。Cisco FXOS Software是美国思科(Cisco)公司的一套运行在思科安全设备中的防火墙软件。Cisco IoT Field Network Director (FND)是大规模FAN部署的网络管理系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞查看受影响系统上的敏感信息,使用生成的令牌在设备上启用用户不应该使用的实验特性,发送特制API请求利用该漏洞覆盖受影响系统上的文件等。

CNVD收录的相关漏洞包括:Cisco IoT Field Network Director访问控制错误漏洞(CNVD-2020-72728)、Cisco RoomOS Software权限许可和访问控制问题漏洞、Cisco Security Manager输入验证错误漏洞(CNVD-2020-72726)、Cisco IOS XE拒绝服务漏洞(CNVD-2020-72733)、Cisco FXOS安全启动绕过漏洞、Cisco IoT Field Network Director访问控制错误漏洞、Cisco IoT Field Network Director文件覆盖漏洞、Cisco IoT Field Network Director SQL注入漏洞。其中,“Cisco FXOS安全启动绕过漏洞、Cisco IoT Field Network Director SQL注入漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72728

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72727

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72726

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72733

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72732

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72731

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72730

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72729

4、Mozilla产品安全漏洞

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。NSS是美国Mozilla基金会的一个底层密码学库。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致内存破坏和程序崩溃,导致浏览器挂起,获取Thunderbird的用户名和密码等。

CNVD收录的相关漏洞包括:Mozilla Firefox内存破坏漏洞(CNVD-2020-72461、CNVD-2020-72462、CNVD-2020-72720)、Mozilla Firefox拒绝服务漏洞(CNVD-2020-72463)、Mozilla Firefox欺骗漏洞(CNVD-2020-72716)、Mozilla Thunderbird信息泄露漏洞(CNVD-2020-72718)、Mozilla NSS拒绝服务漏洞、Mozilla Firefox内存错误引用漏洞(CNVD-2020-72719),其中,“Mozilla Firefox内存破坏漏洞(CNVD-2020-72461、CNVD-2020-72462)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72461

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72462

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72463

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72716

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72718

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72717

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72720

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72719

5、OpenTSDB命令注入漏洞

OpenTSDB是一个基于Hbase的分布式、可扩展的时间序列数据库(TSDB)。OpenTSDB 2.4.0及更早版本存在命令执行漏洞。攻击者可通过yrange参数注入命令利用该漏洞实现远程代码执行。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72736

小结:本周,Google产品被披露存在多个漏洞,攻击者可利用漏洞提升本地权限获取敏感信息,造成拒绝服务等。此外,Microsoft、Cisco、Mozilla等多款产品被披露存在多个漏洞,攻击者可利用漏洞在系统用户的上下文中运行任意代码,破坏内存,控制受影响的系统等。另外,OpenTSDB被披露存在命令注入漏洞。攻击者可利用漏洞实现远程代码执行。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。


本周重要漏洞攻击验证情况


本周,CNVD建议注意防范以下已公开漏洞攻击验证情况。

1、Online Bus Ticket Reservation SQL注入漏洞

验证描述

Sourcecodester Online Bus Ticket Reservation是美国Sourcecodester公司的一个在线公交车售票平台。

Online Bus Ticket Reservation 1.0版本存在SQL注入漏洞,该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行任意SQL命令,并通过用户名和密码字段绕过身份验证。

验证信息

POC链接:

https://www.exploit-db.com/exploits/49212

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72738

信息提供者

新华三技术有限公司


注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用。请广大用户加强对漏洞的防范工作,尽快下载相关补丁。


关于CNVD

国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

关于CNCERT

国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构。

作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行。

网址:www.cert.org.cn

邮箱:[email protected]

电话:010-82991537


关注CNVD漏洞平台

CNVD漏洞周报2020年第51期

本文始发于微信公众号(CNVD漏洞平台):CNVD漏洞周报2020年第51期

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: