<b id="bjfal"></b>
    <tt id="bjfal"><small id="bjfal"><del id="bjfal"></del></small></tt>

      <rp id="bjfal"></rp>
    <tt id="bjfal"><tbody id="bjfal"></tbody></tt>
    <video id="bjfal"><menuitem id="bjfal"></menuitem></video>
    <strong id="bjfal"></strong>
  • <source id="bjfal"><menu id="bjfal"></menu></source>
      <source id="bjfal"><menuitem id="bjfal"><legend id="bjfal"></legend></menuitem></source>

        安全周报

        作者:  /  来源:  /  时间:2019/8/23 10:25:06  /  阅读:359次


        2019年络安安全周报第三十一期(3)_页面_01.jpg

        • 本周安全漏洞态势研判情况

         

        本周网络安全漏洞威胁整体评价级别为:

        • 本周漏洞按类型和厂商统计

         

         

        本周,CNVD收录了498个漏洞。应用程序268个,数据库13个,WEB应用142个,智能设备12个,网络设备(交换机、路由器等网络端设备)11个,操作系统44个,安全产品8个。

        表1 漏洞按影响类型统计表

        漏洞影响对象类型

        漏洞数量

        应用程序

        268

        WEB应用

        142

        网络设备(交换机、路由器等网络端设备)

        11

        操作系统

        44

        安全产品

        8

        数据库

        13

        智能设备

        12

        图1 本周漏洞按影响类型分布

                                                      1.jpg

        漏洞涉及Oracle、WordPress、cPanel等多家厂商的产品,部分漏洞数量按厂商统计如表2所示

        表2 漏洞产品涉及厂商分布统计表

        序号

        厂商(产品)

        漏洞数量

        所占比例

        1

        Oracle

        65

        13%

        2

        WordPress

        55

        11%

        3

        Microsoft

        46

        9%

        4

        cPanel

        35

        7%

        5

        Adobe

        22

        5%

        6

        Google

        20

        4%

        7

        Jsish

        8

        2%

        8

        IBM

        7

        1%

        9

        Amazon

        7

        1%

        10

        其他

        233

        47%

         

        • 本周行业漏洞收录情况

         

        本周,CNVD收录了4个电信行业漏洞,28个移动互联网行业漏洞,9个工控行业漏洞(如下图所示)。其中,“Cisco NX-OS Software缓冲区溢出漏洞、PostgreSQL SQL注入漏洞、Nextcloud Android app代码注入漏洞、Google Android缓冲区溢出漏洞(CNVD-2019-27589)”等漏洞的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。

        电信行业漏洞链接:http://telecom.cnvd.org.cn/

        移动互联网行业漏洞链接:http://mi.cnvd.org.cn/

        工控系统行业漏洞链接:http://ics.cnvd.org.cn/

        2.jpg

        图2 电信行业漏洞统计

           3.jpg

        图3 移动互联网行业漏洞统计

        4.jpg

        图4 工控系统行业漏洞统计

        • 本周重要漏洞安全告警

         

        1、Google产品安全漏洞

        Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在缓冲区溢出漏洞,攻击者可利用漏洞执行代码。

        相关漏洞包括:Google Android缓冲区溢出漏洞(CNVD-2019-27574、CNVD-2019-27575、CNVD-2019-27576、CNVD-2019-27577、CNVD-2019-27579、CNVD-2019-27580、CNVD-2019-27578、CNVD-2019-27581)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。络安提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

        参考链接:

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27574

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27575

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27576

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27577

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27579

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27580

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27578

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27581

        2、Microsoft产品安全漏洞

        Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Edge是Microsoft公司为Windows 10打造的浏览器,特点是快速、安全。ChakraCore是一个Microsoft开源的、用于Windows IE/Edge内核的高效JS脚本引擎。本周,该产品被披露存在内存破坏和远程代码执行漏洞,攻击者可利用漏洞执行任意代码。

        相关漏洞包括:Microsoft Edge Chakra脚本引擎内存破坏漏洞(CNVD-2019-27084、CNVD-2019-27085、CNVD-2019-27086、CNVD-2019-27087)、Microsoft Windows远程桌面服务远程代码执行漏洞(CNVD-2019-27323、CNVD-2019-27324、CNVD-2019-27325、CNVD-2019-27325)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。络安提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

        参考链接:

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27084

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27085

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27086

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27087

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27323

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27324

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27325

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27326

        3Adobel产品安全漏洞

        IAdobePhotoshop,简称“PS”,是由Adobe公司开发和发行的图像处理软件。Photoshop CC是Photoshop Creative Cloud版。本周,上述产品被披露存在越界写入漏洞,攻击者可利用漏洞执行任意代码。

        相关漏洞包括:Adobe Photoshop CC越界写入漏洞(CNVD-2019-27490、CNVD-2019-27488、CNVD-2019-27489、CNVD-2019-27491、CNVD-2019-27492、CNVD-2019-27493、CNVD-2019-27494、CNVD-2019-27495)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。络安提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

        参考链接:

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27490

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27488

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27489

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27491

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27492

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27493

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27494

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27495

        4Oracle产品安全漏洞

        Oracle Fusion Middleware(Oracle融合中间件)是一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。Oracle Virtualization是一套虚拟化解决方案。本周,上述产品被披露存在信息泄露和访问控制错误漏洞,攻击者可利用漏洞影响数据的保密性、完整性和可用性。

        相关漏洞包括:Oracle WebLogic Server组件信息泄露漏洞(CNVD-2019-27105、CNVD-2019-27106、CNVD-2019-27107、CNVD-2019-27108)、Oracle VM VirtualBox访问控制错误漏洞(CNVD-2019-27293、CNVD-2019-27294、CNVD-2019-27296、CNVD-2019-27297)。目前,厂商已经发布了上述漏洞的修补程序。络安提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

        参考链接:

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27105

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27106

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27107

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27108

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27293

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27294

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27296

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-27297

        5Edimax Wi-Fi Extender跨站请求伪造漏洞

        Edimax Technology Wi-Fi Extender是一款无线信号扩展器。本周,Edimax Technology Wi-Fi Extender被披露存在跨站请求伪造漏洞。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。络安提醒广大用户随时关注厂商主页,以获取最新版本。

        参考链接:

        http://www.cnvd.org.cn/flaw/show/CNVD-2019-26840

        更多高危漏洞如表3所示,参考链接:

        http://www.cnvd.org.cn/flaw/list.htm

        漏洞名称

        综合评级

        修复方式

        FreeBSD bhyve缓冲区溢出漏洞

        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.freebsd.org/security/advisories/FreeBSD-SA-19:16.bhyve.asc

        Linaro   OP-TEE内存破坏漏洞

        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/OP-TEE/optee_os/commit/e3adcf566cb278444830e7badfdcc3983e334fd1

        Slanger Message handler&request validator命令执行漏洞

        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/stevegraham/slanger/pull/238/commits/5267b455caeb2e055cccf0d2b6a22727c111f5c3

        AVTECH Software Room Alert 3E权限提升漏洞

        目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://avtech.com/

        Apache Ranger跨站请求伪造漏洞

        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://cwiki.apache.org/confluence/display/RANGER/Vulnerabilities+found+in+Ranger

        HPE 3PAR Service Processor远程任意文件上传漏洞

        厂商已发布了漏洞修复程序,请及时关注更新:https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbst03942en_us

        OXID eSales OXID eShop SQL注入漏洞

        厂商已发布了漏洞修复程序,请及时关注更新:https://oxidforge.org/en/security-bulletin-2019-001.html

        NVIDIA Windows GPU Display Driver DirectX驱动缓冲区溢出漏洞

        厂商已发布了漏洞修复程序,请及时关注更新:https://www.vmware.com/security/advisories/VMSA-2019-0012.html

        MailEnable路径遍历漏洞

        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:http://www.mailenable.com/Standard-ReleaseNotes.txt

        IBM Security Privileged Identity Manager输入验证错误漏洞

        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www-01.ibm.com/support/docview.wss?uid=ibm10879093

        表3 部分重要高危漏洞列表

        小结:本周,Google被披露存在缓冲区溢出漏洞,攻击者可利用漏洞执行代码。此外,Microsoft、Adobe、Oracle等多款产品被披露存在多个漏洞,攻击者可利用漏洞影响数据的保密性、完整性和可用性。Edimax Wi-Fi Extender被披露存在跨站请求伪造漏洞。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

        本文章参考数据来源:https://www.cnvd.org.cn/webinfo/show/5171




        如您遇到任何网络安全方面问题,请随时与我们联系,络安信息将全力全意为您解决!

         

        2019年络安安全周报第三十一期(3)_页面_10.jpg

        上海络安信息技术有限公司 Copyright ? 2016 Shanghai LuoAn Information & Technology Co.,Ltd. All rights Reserved.

        沪公网安备 31011502001353号

         沪ICP备05035588号-9
        上海络安信息技术有限公司
        网上赚钱的最好途径 212| 275| 191| 590| 239| 413| 608| 284| 125| 464| 851| 968| 539| 374| 38| 248| 800| 977| 122| 437| 17| 287| 71| 467| 698| 278| 707| 485| 749| 395| 344| 11| 605| 548| 38| 212| 596| 455| 254| 527| 755|