络安安全漏洞周报(2019/05/13-2019/05/19)

作者:  /  来源:  /  时间:2019/5/24 11:04:03  /  阅读:153次

6.png

络安安全漏洞周报(2019/05/13-2019/05/19)

本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为

本周漏洞按类型和厂商统计

本周,CNVD收录了363个漏洞。应用程序171个,WEB应用94个,操作系统49个,网络设备(交换机、路由器等网络端设备)25个,安全产品12个,数据库5个,智能设备(物联网终端设备)漏洞7个。

表1 漏洞按影响类型统计表

漏洞影响对象类型

漏洞数量

应用程序

171

WEB应用

94

操作系统

49

网络设备(交换机、路由器等网络端设备

25

安全产品

12

数据库

5

智能设备(物联网终端设备)漏洞

7

1558666843(1).jpg

图1 本周漏洞按影响类型分布

漏洞涉及Microsoft、Cisco、Foxit等多家厂商的产品,部分漏洞数量按厂商统计如表2所示。

表2 漏洞产品涉及厂商分布统计表

序号

厂商(产品)

漏洞数量

所占比例

1

Microsoft

42

12%

2

Cisco

33

9%

3

Foxit

22

6%

4

doorGets

17

5%

5

IBM

12

3%

6

ZyXEL 

10

3%

7

Joomla!

9

2%

8

Orpak

6

2%

9

Cacti

5

1%

10

其他

207

57%

本周行业漏洞收录情况

本周,CNVD收录了40个电信行业漏洞,6个移动互联网行业漏洞,10个工控行业漏洞(如下图所示)。其中,“Cisco NX-OS Software和CiscoFXOS Software拒绝服务漏洞、多款Cisco产品输入验证错误漏洞、Cisco IOS和IOSXE ISDN接口拒绝服务漏洞”的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接:http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接:http://mi.cnvd.org.cn/

工控系统行业漏洞链接:http://ics.cnvd.org.cn/

1.jpg

图2 电信行业漏洞统计

2.jpg

图3 移动互联网行业漏洞统计

3.jpg

图4 工控系统行业漏洞统计

本周重要漏洞安全告警

  1. Microsoft产品安全漏洞

Microsoft Jet Database Engine是一个底层数据库引擎。本周,上述产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。

相关漏洞包括:Microsoft Jet DatabaseEngine远程代码执行漏洞(CNVD-2019-14454、CNVD-2019-14455、CNVD-2019-14457、CNVD-2019-14456、CNVD-2019-14459、CNVD-2019-14458、CNVD-2019-14460、CNVD-2019-14462)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。络安提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14454

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14455

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14457

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14456

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14459

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14458

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14460

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14462

2、Cisco产品安全漏洞

Cisco IOS是一套为其网络设备开发的操作系统。Cisco NX-OS是适用于思科Nexus系列以太网交换机和MDS系列光纤通道存储区域网络交换机的网络操作系统。本周,上述产品被披露存在拒绝服务和命令注入漏洞,攻击者可利用漏洞执行任意命令,发起拒绝服务攻击。

相关漏洞包括:Cisco IOS NAT64拒绝服务漏洞、Cisco NX-OS命令注入漏洞(CNVD-2019-14614、CNVD-2019-14613、CNVD-2019-14615、CNVD-2019-14619、CNVD-2019-14620、CNVD-2019-14621、CNVD-2019-14623)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。络安提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14103

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14614

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14613

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14615

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14619

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14620

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14621

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14623

3、Foxit产品安全漏洞

Foxit Reader和Foxit PhantomPDF都是一款PDF文档阅读器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意命令等。

相关漏洞包括:Foxit Reader和Foxit PhantomPDF for Windows缓冲区溢出漏洞(CNVD-2019-13808)、Foxit Reade和Foxit PhantomPDF for Windows路径遍历漏洞、Foxit Reader和Foxit PhantomPDF forWindows资源管理错误漏洞(CNVD-2019-13810)、Foxit Reader和Foxit PhantomPDF forWindows越界写入漏洞(CNVD-2019-13812、CNVD-2019-13813、CNVD-2019-13817)、Foxit Reader和Foxit PhantomPDF forWindows信息泄露漏洞(CNVD-2019-13811)、Foxit Reader和Foxit PhantomPDF forWindows越界读取漏洞(CNVD-2019-13818)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。络安提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13808

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13807

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13810

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13812

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13811

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13813

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13817

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13818

  1. doorGets产品安全漏洞

doorGets是一款免费开源内容管理系统。本周,该产品被披露存在SQL注入和敏感信息泄露漏洞,攻击者可利用漏洞获取数据库敏感信息。

相关漏洞包括:doorGets敏感信息泄露漏洞(CNVD-2019-13789、CNVD-2019-13788、CNVD-2019-13791、CNVD-2019-13790、CNVD-2019-13793、CNVD-2019-13792)、doorGets SQL注入漏洞(CNVD-2019-13795、CNVD-2019-13796)。目前,厂商已经发布了上述漏洞的修补程序。络安提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13789

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13788

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13791

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13790

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13793

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13792

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13795

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13796

  1. ZyXEL NSA325 V2跨站请求伪造漏洞

ZyXEL NSA325 V2是一款网络存储设备。ZyXEL NSA325 V2被披露存在跨站请求伪造漏洞。攻击者可借助特制的HTTP表单利用该漏洞执行状态更改操作。络安提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-13784

更多高危漏洞如表3所示,参考链接:

http://www.cnvd.org.cn/flaw/list.htm

漏洞名称

综合评级

修复方式

Magento SQL注入漏洞

厂商已发布了漏洞修复程序,请及时关注更新:

https://magento.com/


  lighttpd
输入验证错误漏洞

厂商已发布了漏洞修复程序,请及时关注更新:

https://redmine.lighttpd.net/issues/2945

MikroTik RouterOS目录遍历漏洞

厂商已发布漏洞修复程序,请及时关注更新:

https://mikrotik.com/download

TYPO3 PharStreamWrapper远程代码执行的漏洞

用户可联系供应商获得补丁信息:

https://www.drupal.org/sa-core-2019-007

IBM DB2栈缓冲区溢出漏洞

厂商已发布漏洞修复程序,请及时关注更新:

https://www-01.ibm.com/support/docview.wss?uid=ibm10741481

Orpak SitOmat代码注入漏洞

厂商已发布了漏洞修复程序,请及时关注更新:

https://support.zoho.com/portal/orpak


  Linux Kernel rds_tcp_kill_sock
竞争条件漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.0.8

Domoticz SQL注入漏洞

厂商已发布漏洞修复程序,请及时关注更新:

https://github.com/domoticz/domoticz/commit/ee70db46f81afa582c96b887b73bcd2a86feda00

Bash输入验证错误漏洞

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://git.savannah.gnu.org/cgit/bash.git/tree/CHANGES?h=bash-4.4-testing#n65

dsm任意命令执行漏洞

厂商已发布漏洞修复程序,请及时关注更新:

https://gerrit.ovirt.org/#/c/97659

表3部分重要高危漏洞列表

小结:本周,Microsoft被披露存在堆溢出和越界读取漏洞,攻击者可利用漏洞执行任意代码。此外,Cisco、Foxit、doorGets等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意命令,发起拒绝服务攻击等。ZyXEL NSA325 V2被披露存在跨站请求伪造漏洞。攻击者可借助特制的HTTP表单利用该漏洞执行状态更改操作。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

本文章参考数据来源:http://www.cnvd.org.cn/webinfo/show/5023

 

8.png

上海ca88会员登录入口电脑版 技术有限ca88会员登录入口电脑版  Copyright © 2016 Shanghai LuoAn Information & Technology Co.,Ltd. All rights Reserved.

沪公网安备 31011502001353号

 沪ICP备05035588号-9
上海ca88会员登录入口电脑版 技术有限ca88会员登录入口电脑版