络安安全漏洞周报(2019/05/20-2019/05/26)

作者:  /  来源:  /  时间:2019/5/31 13:24:41  /  阅读:115次

6.png

络安安全漏洞周报(2019/05/20-2019/05/26)

本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为

本周漏洞按类型和厂商统计

本周,CNVD收录了271个漏洞。应用程序193个,WEB应用49个,网络设备(交换机、路由器等网络端设备)12个,操作系统11个,安全产品4个,数据库1个,智能设备(物联网终端设备)漏洞1个。

表1 漏洞按影响类型统计表


漏洞影响对象类型

漏洞数量

应用程序

193

WEB应用

49

网络设备(交换机、路由器等网络端设备)

12

操作系统

11

安全产品

4

数据库

1

智能设备(物联网终端设备)漏洞

1

图1 本周漏洞按影响类型分布

1559280065(1).jpg

漏洞涉及CloudBees、Oracle、Google等多家厂商的产品,部分漏洞数量按厂商统计如表2所示。

表2 漏洞产品涉及厂商分布统计表

序号

厂商(产品)

漏洞数量

所占比例

1

CloudBees

13

5%

2

Oracle

11

4%

3

Google

10

4%

4

GitLab

8

3%

5

Schneider   Electric

8

3%

6

Apache

7

3%

7

UltraVNC

7

3%

8

F5

6

2%

9

Atlassian

5

1%

10

其他

196

72%

本周行业漏洞收录情况

本周,CNVD收录了6个电信行业漏洞,17个移动互联网行业漏洞,26个工控行业漏洞(如下图所示)。其中,“Samsung Galaxy S9代码执行漏洞(CNVD-2019-15095)、Google Android System权限提升漏洞(CNVD-2019-15175)、Siemens SIMATIC PCS 7和SIMATIC WinCC输入验证错误漏洞、Google Android Mediaframework权限提升漏洞(CNVD-2019-15201)”等漏洞的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接:http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接:http://mi.cnvd.org.cn/

工控系统行业漏洞链接:http://ics.cnvd.org.cn/

图2 电信行业漏洞统计

1.jpg

图3 移动互联网行业漏洞统计

2.jpg

图4 工控系统行业漏洞统计

3.jpg

本周重要漏洞安全告警

  1. CloudBees产品安全漏洞

CloudBees Jenkins(Hudson Labs)是一套基于Java开发的持续集成工具。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,绕过沙盒保护,执行任意代码等。

相关漏洞包括:CloudBees JenkinsAppDynamics Dashboard Plugin信任管理问题漏洞、CloudBees Jenkins Azure VMAgents插件信息泄露漏洞(CNVD-2019-15065)、CloudBees Jenkins Azure VM Agents插件信息泄露漏洞、CloudBees Jenkins Azure VM Agents插件权限许可和访问控制漏洞、CloudBees Jenkins Matrix Project Plugin安全特征问题漏洞、CloudBees Jenkins Job DSL Plugin安全特征问题漏洞、CloudBees Jenkins Credentials Plugin信息泄露漏洞、CloudBees Jenkins PAM Authentication Plugin信息泄露漏洞。目前,厂商已经发布了上述漏洞的修补程序。络安提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15063

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15065

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15074

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15073

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15076

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15075

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15112

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15111

2、Oracle产品安全漏洞

Oracle PeopleSoft Products是一套企业人力资本管理解决方案。Oracle Supply Chain Products Suite是一套供应链解决方案。Oracle Java SE是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Commerce是一套电子商务解决方案。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞影响数据的保密性和完整性。

相关漏洞包括:Oracle PeopleSoft ProductsPeopleSoft Enterprise ELM访问控制错误漏洞、Oracle Supply ChainProducts Suite Configurator访问控制错误漏洞、Oracle PeopleSoft ProductsPeopleSoft Enterprise HCM Talent Acquisition Manager访问控制错误漏洞、Oracle PeopleSoft Products PeopleSoft Enterprise PTPeopleTools信息泄露漏洞、Oracle PeopleSoft ProductsPeopleSoft Enterprise PT PeopleTools访问控制错误漏洞、Oracle PeopleSoft Products PeopleSoft Enterprise HRMS访问控制错误漏洞、Oracle Java SE访问控制错误漏洞、Oracle Commerce Merchandising组件访问控制错误漏洞。目前,厂商已经发布了上述漏洞的修补程序。络安提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14888

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14887

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14933

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14932

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14935

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14934

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14955

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14956

3、Google产品安全漏洞

Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码等。

相关漏洞包括:Google Android Binder驱动程序权限许可和访问控制漏洞、Google Android System权限提升漏洞(CNVD-2019-15175、CNVD-2019-15188、CNVD-2019-15189、CNVD-2019-15194、CNVD-2019-15195、CNVD-2019-15196)、Google Android Media framework权限提升漏洞(CNVD-2019-15201)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。络安提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15173

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15175

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15188

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15189

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15194

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15195

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15196

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15201

  1. GitLab产品安全漏洞

GitLab是一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信,打开重定向,导致资源消耗等。

相关漏洞包括:GitLab资源管理错误漏洞、GitLab输入验证错误漏洞、GitLab访问控制错误漏洞(CNVD-2019-14882、CNVD-2019-14949、CNVD-2019-14951、CNVD-2019-14950)、GitLab信息泄露漏洞(CNVD-2019-14812、CNVD-2019-14952)。目前,厂商已经发布了上述漏洞的修补程序。络安提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14811

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14813

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14812

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14882

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14949

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14951

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14950

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14952

  1. ALE Alcatel OmniAccess Wireless Access Point命令注入漏洞

ALE Alcatel OmniAccess Wireless Access Point是一款无线接入点设备。

ALE Alcatel OmniAccess Wireless Access Point被披露存在命令注入漏洞。攻击者可利用该漏洞执行非法命令。络安提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-15207

更多高危漏洞如表3所示,参考链接:

http://www.cnvd.org.cn/flaw/list.htm

漏洞名称

综合评级

修复方式

OpenEMR SQL注入漏洞(CNVD-2019-14808)

厂商已发布漏洞修复程序,请及时关注更新:

https://www.open-emr.org/wiki/index.php/OpenEMR_Patches#5.0.1_Patch_.289.2F9.2F18.29

Siemens SIMATIC PCS 7和SIMATIC   WinCC访问控制错误漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://cert-portal.siemens.com/productcert/pdf/ssa-705517.pdf

Sysdig安全绕过漏洞

厂商已发布了漏洞修复程序,请及时关注更新:

https://github.com/falcosecurity/falco/pull/561

PaperStream IP DLL劫持漏洞

厂商已发布了漏洞修复程序,请及时关注更新:

https://www.fujitsu.com/

SimplyBook.me远程代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://news.simplybook.me/notification/

UltraVNC缓冲区溢出漏洞(CNVD-2019-15088)

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://ics-cert.kaspersky.com/advisories/klcert-advisories/2019/03/01/klcert-19-007-ultravnc-out-of-bound-read/

Samsung Galaxy S9代码执行漏洞(CNVD-2019-15095)

目前厂商已发布新版本,以修复此安全问题,详情请关注厂商主页:

https://www.samsung.com/

Atlassian Sourcetree参数注入漏洞

厂商已发布了漏洞修复程序,请及时关注更新:

https://jira.atlassian.com/browse/SRCTREE-6391

UltraVNC越界访问漏洞

厂商已发布漏洞修复程序,请及时关注更新:

https://www.uvnc.com/

Koji SQL注入漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://docs.pagure.org/koji/CVE-2018-1002161/

表3部分重要高危漏洞列表

小结:本周,CloudBees被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,绕过沙盒保护,执行任意代码等。此外,Oracle、Google、GitLab等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信,打开重定向,提升权限,执行任意代码,导致资源消耗等。ALE Alcatel OmniAccess Wireless Access Point被披露存在命令注入漏洞。攻击者可利用该漏洞执行非法命令。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

本文章参考数据来源:http://www.cnvd.org.cn/webinfo/show/5049

 

 

 

8.png

上海ca88会员登录入口电脑版 技术有限ca88会员登录入口电脑版  Copyright © 2016 Shanghai LuoAn Information & Technology Co.,Ltd. All rights Reserved.

沪公网安备 31011502001353号

 沪ICP备05035588号-9
上海ca88会员登录入口电脑版 技术有限ca88会员登录入口电脑版