信息安全漏洞周报(2021年第22期)

  • A+
所属分类:安全新闻

公开漏洞情况

  本周CNNVD采集安全漏洞446个,与上周(301个)相比增加了48.17%。

接报漏洞情况

  本周CNNVD接报漏洞1584个,其中信息技术产品漏洞(通用型漏洞)76个,网络信息系统漏洞(事件型漏洞)1508个。

 

 

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞446个,漏洞新增数量有所上升。从厂商分布来看苹果公司新增漏洞最多,有71个;从漏洞类型来看,缓冲区错误类的安全漏洞占比最大,达到13.23%。新增漏洞中,超危漏洞38个,高危漏洞107个,中危漏洞270个,低危漏洞31个。相应修复率分别为60.53%、81.31%、76.30%和90.32%。根据补丁信息统计,合计344个漏洞已有修复补丁发布,整体修复率为77.13%。

(一)安全漏洞增长数量情况

  本周CNNVD采集安全漏洞446个与上周(301个)相比增加了48.17%。

信息安全漏洞周报(2021年第22期)

                           

图1 近五周漏洞新增数量统计图

 

(二)安全漏洞分布情况

从厂商分布来看,苹果公司新增漏洞最多,有71个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

苹果

71

15.92%

2

IBM

23

5.16%

3

谷歌

22

4.93%

4

Red  Hat

13

2.91%

5

Linux基金会

13

2.91%

  本周国内厂商漏洞9个,华为公司漏洞数量最多,有2个。国内厂商漏洞整体修复率为50.00%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

  从漏洞类型来看, 缓冲区错误类的安全漏洞占比最大,达到13.23%。漏洞类型统计如表2所示。

    表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

缓冲区错误

59

13.23%

2

跨站脚本

46

10.31%

3

授权问题

19

4.26%

4

输入验证错误

18

4.04%

5

资源管理错误

17

3.81%

6

权限许可和访问控制问题

17

3.81%

7

代码问题

15

3.36%

8

安全特征问题

15

3.36%

9

信息泄露

13

2.91%

10

访问控制错误

10

2.24%

11

命令注入

8

1.79%

12

跨站请求伪造

6

1.35%

13

信任管理问题

6

1.35%

14

路径遍历

5

1.12%

15

SQL注入

4

0.90%

16

数字错误

4

0.90%

17

操作系统命令注入

3

0.67%

18

代码注入

3

0.67%

19

加密问题

3

0.67%

20

数据伪造问题

3

0.67%

21

注入

2

0.45%

22

竞争条件问题

1

0.22%

23

缓冲区错误

59

13.23%

(三)安全漏洞危害等级与修复情况

  本周共发布超危漏洞38个,高危漏洞107个,中危漏洞270个,低危漏洞31个。相应修复率分别为60.53%、81.31%、76.30%和90.32%。根据补丁信息统计,合计344个漏洞已有修复补丁发布,整体修复率为77.13%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

38

23

60.53%

2

高危

107

87

81.31%

3

中危

270

206

76.30%

4

低危

31

28

90.32%

合计

446

344

77.13%

(四)本周重要漏洞实例

    本期重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞

漏洞编号

厂商

漏洞实例

是否修复

危害等级

类型

1

授权问题

CNNVD-202105-1939

IBM

IBM Cognos Analytics授权问题漏洞

超危

2

代码注入

CNNVD-202105-1473

WordPress基金会

WordPress代码注入漏洞

高危

3

输入验证错误

CNNVD-202105-1686

Vmware

Vmware vSphere Client输入验证错误漏洞

高危

 

1. IBM Cognos Analytics授权问题漏洞(CNNVD-202105-1939)

IBM Cognos Analytics是美国IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等,并可通过分析关键因素与关键人等内容,协助企业调整决策。

IBM Cognos Analytics 存在授权问题漏洞,该漏洞源于DQM API会在未经身份验证的会话中提交所有控制请求。攻击者可利用该漏洞向Cognos Analytics系统读写文件。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://www.ibm.com/support/pages/node/6451705

2. WordPress代码注入漏洞(CNNVD-202105-1473)

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress插件是WordPress开源的一个应用插件。

WordPress插件 All in One SEO Pack 4.1.0.2及之前版本存在代码注入漏洞,该漏洞允许经过身份验证的攻击者使用“aioseo_tools_settings”的权限在底层主机上执行任意代码。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://wpscan.com/vulnerability/ab2c94d2-f6c4-418b-bd14-711ed164bcf1

3. Vmware vSphere Client 输入验证错误漏洞(CNNVD-202105-1686)

  VmwarevSphere Client是美国威睿(Vmware)公司的一个应用软件。提供虚拟化管理。

  vSphereClient存在安全漏洞,该漏洞由于vCenterServer默认启用的虚拟SAN健康检查插件缺乏输入验证,导致攻击者可以在底层操作系统上以不受限制的权限执行命令。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.vmware.com/security/advisories/VMSA-2021-0010.html

二、接报漏洞情况

本周CNNVD接报漏洞1584个,其中信息技术产品漏洞(通用型漏洞)76个,网络信息系统漏洞(事件型漏洞)1508个。

表5 本周漏洞报送情况

序号

报送单位

漏洞总量

1      

上海斗像信息科技有限公司

804

2      

网神信息技术(北京)股份有限公司

538

3      

西安四叶草信息技术有限公司

43

4      

北京天地和兴科技有限公司

31

5      

北京鸿腾智能科技有限公司

26

6      

北京安帝科技有限公司

25

7      

山东云天安全技术有限公司

25

8      

北京数字观星科技有限公司

20

9      

广州锦行网络科技有限公司

20

10     

中兴通讯

15

11     

北京梆梆安全科技有限公司

10

12     

北京顶象技术有限公司洞见安全实验室

7

13     

北京天融信网络安全技术有限公司

6

14     

华为技术有限公司未然实验室

6

15     

海南神州希望网络有限公司

4

16     

恒安嘉新(北京)科技股份公司

2

17     

个人

1

18     

内蒙古中叶信息技术有限责任公司

1

报送总计

1584

三、接报漏洞预警情况

    本周CNNVD接报漏洞预警75份。

序号

报送单位

预警总量

1      

杭州迪普科技股份有限公司

16

2      

深信服科技股份有限公司

12

3      

北京华云安信息技术有限公司

5

4      

北京启明星辰信息安全技术有限公司

4

5      

北京华顺信安科技有限公司

3

6      

新华三技术有限公司

3

7      

浪潮电子信息产业股份有限公司

3

8      

西安四叶草信息技术有限公司

3

9      

上海上讯信息技术股份有限公司

2

10     

亚信科技(成都)有限公司

2

11     

内蒙古洞明科技有限公司

2

12     

北京知道创宇信息技术股份有限公司

2

13     

北京鸿腾智能科技有限公司

2

14     

数字观星应急响应中心

2

15     

江苏金盾检测技术有限公司

2

16     

上海斗象信息科技有限公司

1

17     

内蒙古中叶信息技术有限责任公司

1

18     

内蒙古思沃科技有限公司

1

19     

北京天融信网络安全技术有限公司

1

20     

北京山石网科信息技术有限公司

1

21     

北京神州绿盟科技有限公司

1

22     

博智安全科技股份有限公司

1

23     

杭州安恒信息技术股份有限公司

1

24     

网神信息技术(北京)股份有限公司

1

25     

远江盛邦(北京)网络安全科技股份有限公司

1

26     

铱迅安全应急响应中心

1

27     

长亭科技股份有限公司

1

报送总计

75

 


本文始发于微信公众号(CNNVD安全动态):信息安全漏洞周报(2021年第22期)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: