国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报.pdf
10页
本周漏洞 态势研判 情况 本周信息安全漏洞威胁整体评价级别 为 中 国家信息安全漏洞共享平台(以下简称 CNVD)本周共收集、整理信息安全漏洞 206 个,其中高危漏洞 72 个、中危漏洞 121 个、低危漏洞 13 个 漏洞平均分值为 6.10分 本周收录的漏洞中, 涉及 0day 漏洞 22 个(占 11%) 其中互联网上出现 “ ChitaSoft SQL 注入漏洞 、 Patron Info System SQL 注入漏洞 ” 等 零日代码攻击漏洞,请使用相关产品的用户注意加强防范 此外, 本周 CNVD 接到的涉及党政机关和企事业单位的事件型漏 洞总数 1210 个,与上周( 1064 个)环比 上升 14% 图 1 CNVD 收录 漏洞 近 10 周平均分 值 分布图 本 周漏洞报送情况 统计 本周,共 10 家成员单位、合作伙伴及个人报送了本周收录的全部 206 个漏洞报送情况如表 1 所示其中,天融信、安天实验室、启明星辰、恒安嘉新等单位报送数量较多补天平台、乌云、漏洞盒子、 西安四叶草信息技术有限公司 、 深圳市深信服电子国家信息安全漏洞共享平台 (CNVD) 信息安全漏洞周报 2016 年 05 月 23 日 -2016 年 05 月 29 日 2016年第 22期 科技有限公司、福建六壬网安股份有限公司及白帽子向 CNVD 提交了 1211 个以事件型漏洞为主的原创漏洞。
报送单位或个人 漏洞报送数量 原创漏洞数量 奇虎 (补天平台 ) 702 702 乌云 420 420 天融信 168 0 安天实验室 144 0 启明星辰 102 0 恒安嘉新 100 10 中国电信集团系统集成有限责任公司 49 1 东软 31 0 绿盟科技 43 0 杭州安恒信息技术有限公司 19 0 H3C 8 0 漏洞盒子 39 39 西安四叶草信息技术有限公司 8 8 福建六壬网安股份有限公司 5 5 深圳市深信服电子科技有限公司 1 1 江西分中心 1 1 个人 24 24 报送总计 1864 1211 录入总计 206(去重) 1211 表 1 成员单位上报漏洞统计表 本周漏洞按 类型 和厂商 统计 本周, CNVD 收录了 206 个漏洞其中应用程序漏洞 98 个 , 操作系统漏洞 68 个 ,Web 应用漏洞 24 个 , 网络设备漏洞 15 个 ,安全产品漏洞 1 个 漏洞影响对象类型 漏洞数量 应用程序漏洞 98 操作系统漏洞 68 web 应用漏洞 24 网络设备漏洞 15 安全产品漏洞 1 表 2 漏洞按影响类型统计表 图 2 本周漏洞按影响类型分布 CNVD 整理和发布的漏洞涉及 Apple、 libdwarf、 IBM 等多家厂商的产品,部分漏洞数量按厂商统计如表 3 所示。
序号 厂商(产品) 漏洞数量 所占比例 1 Apple 68 33% 2 libdwarf 17 8% 3 IBM 10 5% 4 Huawei 6 3% 5 PHP 6 3% 6 Moxa 5 2% 7 WordPress 5 2% 应用程序漏洞 48% 操作系统漏洞 33% web应用漏洞 11% 网络设备漏洞 7% 安全产品漏洞 1% 本周 CNVD漏洞数量按影响类型分布 8 Cisco 4 2% 9 Red Hat 3 1% 10 其他 82 41% 表 3 漏洞产品涉及厂商分布统计表 本周行业漏洞 收录情况 本周, CNVD 收录了 7 个电信行业漏洞 , 37 个移动互联网行业漏洞 (如下图所示)其中,“ Moxa EDR-G903 未授权操作漏洞、 Moxa EDR-G903 拒绝服务漏洞、 Moxa EDR-G903 内存泄露漏洞、 Moxa EDR-G903 信息泄露漏洞、 Moxa EDR-G903 信息泄露漏洞( CNVD-2016-03388) 、 Apple iOS/OS X El Capitan kernel 任意代码执行漏洞、 Apple iOS/watchOS/tvOS 和 OS X El Capitan kernel 任意代码执行漏洞、 Apple iOS/watchOS/tvOS 和 OS X El Capitan kernel 任意代码执行漏洞( CNVD-2016-03532、 CNVD-2016-03533、 CNVD-2016-03534)、 Apple iOS/watchOS/tvOS 和 OS X El Capitan IOHIDFamily 任意代码执行漏洞、 Apple iOS/watchOS/tvOS 和 OS X El Capitan IOHIDFamily 任意代码执行漏洞( CNVD-2016-03520)、 Apple iOS/watchOS/tvOS 和 OS X El Capitan IOAcceleratorFamily 任意代码执行漏洞、 Apple iOS/watchOS/tvOS 和 OS X El Capitan IOAcceleratorFamily 任意代码执行漏洞( CNVD-2016-03449、 CNVD-2016-03451、CNVD-2016-03452)、 Apple iOS/watchOS/tvOS 和 OS X El Capitan Disk Images 任意代码执行漏洞、 Apple iOS/watchOS/tvOS 和 OS X El Capitan CoreCapture 任意代码执行漏洞 ”的综合评级为“高危”。
相关厂商 已经发布了上述漏洞的修补程序,请参照 CNVD 相关行业漏洞库链接 电信行业漏洞链接 : 移动互联网行业漏洞链接 : 工控系统行业漏洞链接: 图 3 电信 行业漏洞统计 02468高危 中危 低危 有补丁 5 2 0 7 电信行业漏洞 评级按周统计 高危 中危 低危 有补丁 图 4 移动互联网 行业漏洞统计 本周 本周 重要 漏洞 安全告警 本周, CNVD 整理和发布以下重要安全漏洞信息 1、 Apple 产品安全 漏洞 Apple iOS、 watchOS、 OS X El Capitan 和 tvOS 都是美国苹果( Apple)公司的产品 Apple iOS 是为移动设备所开发的一套操作系统; watchOS 是一套智能手表操作系统; OS X El Capitan 是为 Mac 计算机所开发的一套专用操作系统; tvOS 是一套智能电视操作系统 kernel 是其中的一个内核组件 本周,上述产 品被披露存在 任意代码执行 漏洞, 攻击者可利用该漏洞执行任意代码 CNVD 收录的相关漏洞包括: Apple iOS/watchOS/tvOS 和 OS X El Capitan IOAcceleratorFamily 任意代码执行漏洞 、 Apple iOS/watchOS/tvOS 和 OS X El Capitan IOAcceleratorFamily 任意代码执行漏洞( CNVD-2016-03449、 CNVD-2016-03451、 CNVD-2016-03452) 、 Apple iOS/watchOS/tvOS 和 OS X El Capitan kernel 任意代码执行漏洞 、 Apple iOS/watchOS/tvOS 和 OS X El Capitan kernel 任意代码执行漏洞( CNVD-2016-03532、 CNVD-2016-03533、 CNVD-2016-03534) 等 。
上述漏洞 的综合评级为“高危” 目前,厂商已经发布了 上述漏洞的 修补程序 CNVD 提醒用户及时下载补丁 更新,避免引发漏洞相关的网络安全事件 参考链接: /CNVD-2016-03448 2、 libdwarf 产品安全 漏洞 libdwarf 是一套用于 读取和写入 DWARF2 调试信息的工具 本周, 上述产品被披露存在 拒绝服务 漏洞,攻击者 可 利用漏洞 发起 拒绝服务攻击 CNVD 收录的相关漏洞包括: libdwarf dwarf_line_table_reader.c 文件拒绝服务漏洞、libdwarf ‘ dwarf_get_macro_startend_file()’函数拒绝服务漏洞、 libdwarf dwarf_elf_access.c 文件拒绝服务漏洞、 libdwarf ‘ print_exprloc_content’函数拒绝服务漏洞、 libdwarf ‘ dwarf_get_xu_hash_entry()’函数拒绝服务漏洞、 libdwarf ‘ print_frame_inst_bytes()’函数拒绝服务漏洞、 libdwarf 拒绝服务漏洞、 libdwarf ‘ get_attr_value()’函数拒绝服务漏洞 等 。
目前,厂商已经发布了 上述漏洞的 修补程序 CNVD 提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件 参考链接: 3、 IBM 产品安全漏洞 IBM RLKS( Rational License Key Server)是美国 IBM 公司的一款许可证密钥服务器 Administration and Reporting Tool 是其中的一个许可证密钥管理和报告工具 IBM Rational Team Concert( RTC)是一套基于 Jazz 平台且支持分散团队进行实时相关协作的软件生命周期管理解决方案 IBM Rational Engineering Lifecycle Manager 是美国 IBM 公司的一套工程生命周期管理软件 IBM InfoSphere。
