2024年01月08日-2024年01月14日
本周漏洞态势研判情况
卓豪(中国)技术有限公司、珠海派诺科技股份有限公司、珠海金山办公软件有限公司、重庆中联信息产业有限责任公司、重庆软狐信息技术有限公司、众勤通信设备贸易(上海)有限公司、中兴通讯股份有限公司、中国招标公共服务平台有限公司、智业软件股份有限公司、郑州一览科技有限公司、正奇晟业(北京)科技有限公司、浙江宇视科技有限公司、浙江联运知慧科技有限公司、浙江兰德纵横网络技术股份有限公司、浙江大华技术股份有限公司、云南链滴科技有限公司、云和恩墨(北京)信息技术有限公司、渔翁信息技术股份有限公司、友讯电子设备(上海)有限公司、用友网络科技股份有限公司、兄弟(中国)商业有限公司、小说精品屋、西安众邦网络科技有限公司、西安瑞友信息技术资讯有限公司、西安纳沃信息科技有限公司、西安旌旗电子股份有限公司、西安大西信息科技有限公司、武汉玖玖珈网络科技有限公司、武汉达梦数据库有限公司、卫宁健康科技集团股份有限公司、统信软件技术有限公司、天津天视第六频道传媒有限责任公司、天津百望金赋科技有限公司、腾讯安全应急响应中心、宿州市涛盛网络科技有限公司、宿迁鑫潮信息技术有限公司、速达软件技术(广州)有限公司、苏州欧信达信息科技有限公司、苏州科达科技股份有限公司、四川众望升腾科技有限公司、四川东久科技股份有限公司、斯宝亚创(天津)电器有限公司广州分公司、世邦通信股份有限公司、深圳智慧光迅信息技术有限公司、深圳希施玛数据科技有限公司、深圳市思迅软件股份有限公司、深圳市蓝凌软件股份有限公司、深圳市科荣软件股份有限公司、深圳市金证优智科技有限公司、深圳市吉祥腾达科技有限公司、深圳市虹膜信息技术有限公司、深圳市好吃好喝网络技术有限公司、深圳市道尔智控科技股份有限公司、深圳昂楷科技有限公司、深信服科技股份有限公司、上海真兰仪表科技股份有限公司、上海栖闲科技工作室、上海普华科技发展股份有限公司、上海穆云智能科技有限公司、上海建业信息科技股份有限公司、上海寰创通信科技股份有限公司、上海华测导航技术股份有限公司、上海观安信息技术股份有限公司、上海泛微网络科技股份有限公司、上海艾泰科技有限公司、熵基科技股份有限公司、商丘芝麻开门网络科技有限公司、陕西华贝金服网络科技有限公司、山东卓文信息科技有限公司、山东中维世纪科技股份有限公司、山东运筹软件有限公司、山东科德电子有限公司、山东大众报业(集团)有限公司、厦门天锐科技股份有限公司、厦门快普信息技术有限公司、厦门科拓通讯技术股份有限公司、厦门傲博教育科技有限公司、睿因科技(深圳)有限公司、融信世欧物业服务集团有限公司、曲靖蜂信科技有限公司、青岛恒泽水利科技有限公司、普联技术有限公司、南京科远智慧科技集团股份有限公司、纳龙健康科技股份有限公司、魔方动力、库课文化科技股份有限公司、京瓷(中国)商贸有限公司上海分公司、金蝶软件(中国)有限公司、金蝶国际软件集团有限公司、江苏捷成睿创科技发展有限公司、佳能(中国)有限公司、吉翁电子(深圳)有限公司、惠普贸易(上海)有限公司、华为技术有限公司、华平信息技术股份有限公司、华动泰越科技有限责任公司、湖南智尚科技发展有限公司、湖南汉坤实业有限公司、河北网星软件有限公司、杭州毓创科技有限公司、杭州与盟医疗技术有限公司、杭州逸曜信息技术有限公司、杭州雄伟科技开发股份有限公司、杭州西软信息技术有限公司、杭州合众数据技术有限公司、杭州浩腾智能科技开发有限公司、杭州海康威视系统技术有限公司、杭州恩软信息技术有限公司、杭州玳数科技有限公司、广州易达建信科技开发有限公司、广州信虹通信技术有限公司、广州全通数码科技有限公司、广州青鹿教育科技有限公司、广州璐华信息技术有限公司、广州华壹智能科技有限公司、广州红帆科技有限公司、广州白云区清泉宏知自学考试辅导中心有限责任公司、广联达科技股份有限公司、广东广凌信息科技股份有限公司、广东飞企互联科技股份有限公司、广东保伦电子股份有限公司、富士胶片商业创新(中国)有限公司、福州网钛软件科技有限公司、福建科立讯通信有限公司、福建博思软件股份有限公司、福建奥拓美科技有限公司、东莞市宇腾信息科技有限公司、东莞市通天星软件科技有限公司、鼎捷软件股份有限公司、电能易购(北京)科技有限公司、帝兴软件开发有限公司、大汉软件股份有限公司、成都元素科技有限公司、比亚迪股份有限公司、北京中科大洋科技发展股份有限公司、北京用友政务软件股份有限公司、北京亿赛通科技发展有限责任公司、北京星网锐捷网络技术有限公司、北京鑫锐诚毅数字科技有限公司、北京新时空科技股份有限公司、北京五指互联科技有限公司、北京网康科技有限公司、北京万户网络技术有限公司、北京万户软件技术有限公司、北京世纪超星信息技术发展有限责任公司、北京深睿博联科技有限责任公司、北京人大金仓信息技术股份有限公司、北京龙软科技股份有限公司、北京金和网络股份有限公司、北京火木科技有限公司、北京慧图科技(集团)股份有限公司、北京华腾网讯科技有限公司、北京宏景世纪软件股份有限公司、北京瀚维特科技有限公司、北京海量数据技术股份有限公司、北京北大方正电子有限公司、北京百卓网络技术有限公司、北京百度网讯科技有限公司、北京奥博威斯科技有限公司、安美世纪(北京)科技有限公司、安徽生命港湾信息技术有限公司、安徽青柿信息科技有限公司、DELTA_IABG和ABB。
本周,CNVD发布了《Microsoft发布2024年1月安全更新》。详情参见CNVD网站公告内容。
https://www.cnvd.org.cn/webinfo/show/9636
本周报送情况如表1所示。其中,北京天融信网络安全技术有限公司、新华三技术有限公司、北京启明星辰信息安全技术有限公司、北京数字观星科技有限公司、安天科技集团股份有限公司等单位报送公开收集的漏洞数量较多。江苏金盾检测技术股份有限公司、河南东方云盾信息技术有限公司、江苏云天网络安全技术有限公司、西门子(中国)有限公司、联想集团、内蒙古洞明科技有限公司、贵州多彩网安科技有限公司、北京卓识网安技术股份有限公司、快页信息技术有限公司、亚信科技(成都)有限公司、中电科网络安全科技股份有限公司、湖南泛联新安信息科技有限公司、北京山石网科信息技术有限公司、安徽锋刃信息科技有限公司、苏州棱镜七彩信息科技有限公司、北京冠程科技有限公司、南京先维信息技术有限公司、西安秦易信息技术有限公司、安徽天行网安信息安全技术有限公司、杭州默安科技有限公司、星云博创科技有限公司、上海直画科技有限公司、江苏晟晖信息科技有限公司、任子行网络技术股份有限公司、含光实验室、江苏金陵科技集团有限公司、杭州弘沿科技有限公司、江苏极元信息技术有限公司、浙江木链物联网科技有限公司、中孚安全技术有限公司、广州安亿信软件科技有限公司、北京君云天下科技有限公司、南京深安科技有限公司、南京共美科技有限公司及其他个人白帽子向CNVD提交了4842个以事件型漏洞为主的原创漏洞,其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)、三六零数字安全科技集团有限公司和上海交大向CNVD共享的白帽子报送的3675条原创漏洞信息。
本周漏洞按类型和厂商统计
本周,CNVD收录了344个漏洞。WEB应用153个,应用程序100个,网络设备(交换机、路由器等网络端设备)42个,智能设备(物联网终端设备)20个,操作系统19个,安全产品7个,数据库3个。
表2 漏洞按影响类型统计表
本周行业漏洞收录情况
1、Google产品安全漏洞
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在系统上获得更高的权限。CNVD收录的相关漏洞包括:
Google Android信息泄露漏洞(CNVD-2024-01353、CNVD-2024-01354、CNVD-2024-01355、CNVD-2024-01356、CNVD-2024-01368、CNVD-2024-01369、CNVD-2024-01377)、Google Android权限提升漏洞(CNVD-2024-01363)。其中,“Google Android权限提升漏洞(CNVD-2024-01363)、Google Android信息泄露漏洞(CNVD-2024-01377)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01353
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01354
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01355
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01356
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01363
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01368
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01369
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01377
2、IBM产品安全漏洞
IBM Planning Analytics是美国国际商业机器(IBM)公司的一套业务规划分析解决方案。该方案支持自动化执行业务规划、预算和分析等流程。IBM AIX是美国国际商业机器(IBM)公司的一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。IBM Rational Asset Manager是美国IBM公司的一种协作软件开发工具。组织可以使用它来识别、管理和治理软件资产和服务的设计、开发和使用。IBM i是美国国际商业机器(IBM)公司的一套运行在IBM Power Systems和IBM PureSystems中的操作系统。IBM QRadar SIEM是美国国际商业机器(IBM)公司的一套利用安全智能保护资产和信息远离高级威胁的解决方案。该方案提供对整个IT架构范围进行监督、生成详细的数据访问和用户活动报告等功能。IBM Security Verify Access(ISAM)是美国国际商业机器(IBM)公司的一款提高用户访问安全的服务。该服务通过使用基于风险的访问、单点登录、集成访问管理控制、身份联合以及移动多因子认证实现对Web、移动、IoT和云技术等平台安全简单的访问。IBM TRIRIGA Application Platform是美国国际商业机器(IBM)公司的一套用于部署TRIRIGA应用的技术平台。该平台提供了一组设计时和运行时组件,分别用于构建和运行其企业级应用,并支持客户特定的配置,而无需更改源代码。IBM Tivoli Workload Scheduler是美国国际商业机器(IBM)公司的一套企业任务调度软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞发送特制的HTTP请求上传恶意脚本,从而导致在易受攻击的系统上执行任意代码,导致拒绝服务攻击,执行远程代码等
CNVD收录的相关漏洞包括:IBM Planning Analytics代码问题漏洞(CNVD-2024-01168)、IBM AIX输入验证错误漏洞(CNVD-2024-01169)、IBM Rational Asset Manager权限控制问题漏洞、IBM i授权问题漏洞、IBM QRadar SIEM跨站脚本漏洞(CNVD-2024-01173)、IBM Security Verify Access资源管理错误漏洞、IBM TRIRIGA Application Platform跨站脚本漏洞(CNVD-2024-01175)、IBM Tivoli Workload Scheduler XML外部实体注入漏洞。其中,“IBM Planning Analytics代码问题漏洞(CNVD-2024-01168)、IBM Security Verify Access资源管理错误漏洞、IBM Tivoli Workload Scheduler XML外部实体注入漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01168
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01169
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01170
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01172
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01173
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01174
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01175
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01176
3、Adobe产品安全漏洞
Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。CNVD收录的相关漏洞包括:
Adobe Experience Manager跨站脚本漏洞(CNVD-2024-01177、CNVD-2024-01178、CNVD-2024-01179、CNVD-2024-01180、CNVD-2024-01181、CNVD-2024-01182、CNVD-2024-01183、CNVD-2024-01184)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01177
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01178
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01179
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01180
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01181
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01182
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01183
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01184
4、Apache产品安全漏洞
Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache Guacamole是美国阿帕奇(Apache)基金会的一款无客户端的远程桌面网关。该产品支持VNC、RDP和SSH等协议。Apache Pulsar是美国阿帕奇(Apache)基金会的一个用于云环境种,集消息、存储、轻量化函数式计算为一体的分布式消息流平台。Apache IoTDB是美国阿帕奇(Apache)基金会的一款为时间序列数据设计的集成数据管理引擎,它能够提供数据收集、存储和分析服务等。Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache Dubbo是美国阿帕奇(Apache)基金会的一款基于Java的轻量级RPC(远程过程调用)框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。Apache Doris是美国阿帕奇(Apache)基金会的一个现代MPP分析数据库产品。可以提供亚秒级查询和高效的实时数据分析。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞发送特制请求进行SSRF攻击,读取任意文件属性,导致拒绝服务,在系统上执行任意代码等
CNVD收录的相关漏洞包括:Apache OFBiz服务器端请求伪造漏洞、Apache OFBiz服务器端请求伪造漏洞(CNVD-2024-01013)、Apache Guacamole整数溢出漏洞、Apache Pulsar WebSocket Proxy拒绝服务漏洞、Apache IoTDB反序列化漏洞、Apache Airflow跨站请求伪造漏洞(CNVD-2024-01017)、Apache Dubbo代码问题漏洞(CNVD-2024-02173)、Apache Doris授权问题漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01012
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01013
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01020
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01019
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01018
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01017
https://www.cnvd.org.cn/flaw/show/CNVD-2024-02173
https://www.cnvd.org.cn/flaw/show/CNVD-2024-02172
5、TP-LINK Tapo C100拒绝服务漏洞
TP-LINK Tapo C100是中国普联(TP-LINK)公司的一款网络摄像头设备。本周,TP-LINK Tapo C100被披露存在拒绝服务漏洞。攻击者可利用该漏洞通过提供精心设计的Web请求来导致拒绝服务(DoS)。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-02155
小结:本周,Google产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在系统上获得更高的权限。此外,IBM、Adobe、Apache等多款产品被披露存在多个漏洞,攻击者可利用漏洞发送特制的HTTP请求上传恶意脚本,从而导致在易受攻击的系统上执行任意代码,导致拒绝服务攻击,执行远程代码等。另外,TP-LINK Tapo C100被披露存在拒绝服务漏洞。攻击者可利用漏洞通过提供精心设计的Web请求来导致拒绝服务(DoS)。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
本周重要漏洞攻击验证情况
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论