您的位置:首页 > 新闻资讯 > 安全预警 >
信息安全漏洞周报
时间:2019-09-02

信息安全漏洞周报

(2019 年第 33 期 总第 487 期)

 
 
信息安全测评中心 2019 年 8 月 25 日
根据国家信息安全漏洞库(CNNVD)统计,本周(2019 年 8 月 19日至 2019 年 8 月 25 日)安全漏洞情况如下: 
公开漏洞情况 本周CNNVD 采集安全漏洞 710 个,与上周(538 个)相比增加了31.97%。 
接报漏洞情况 :本周接报漏洞 634 个,其中信息技术产品漏洞(通用型漏洞)32 个,网络信息系统漏洞(事件型漏洞)602 个。 
重大漏洞预警 :Webmin 命令注入漏洞:攻击者利用该漏洞可以进行远程代码执行攻击。Webmin 1.920 及其以下版本均受漏洞影响。目前,Webmin 官方已发布了 Webmin 1.930 版本修复该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。 
 
一、公开漏洞情况
 
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞 710 个,漏洞新增数量有所上升。从厂商分布来看,Google 公司新增漏洞最多,共有 265 个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到 19.72%。本周新增漏洞中,超危漏洞 28 个,高危漏洞 90个,中危漏洞 578 个,低危漏洞 14 个。相应修复率分别为 85.71%、84.44%、81.83%和 85.71%。根据补丁信息统计,合计 585 个漏洞已有修复补丁发布,整体修复率为 82.39%。 
 
(一) 安全漏洞增长数量情况
 
本周CNNVD 采集安全漏洞 710 个,与上周(538 个)相比增加了31.97%。 
                                          图 1 近五周漏洞新增数量统计图 
 
(二) 安全漏洞分布情况
 
从厂商分布来看,本周 Google 公司新增漏洞最多,共有 265 个。各厂商漏洞数量分布如表 1 所示。
 
   
                  表1新增安全漏洞排名前五厂商统计表 
 
本周国内厂商漏洞 13 个,友讯公司漏洞数量最多,共 5 个。本周国内厂商漏洞整体修复率为 53.85%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。 
从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到 19.72%。漏洞类型统计如表 2 所示。 
 
                                                   表 2 漏洞类型统计表

      序号     

             漏洞类型         

      漏洞数量(个)     

         所占比例         

跨站脚本

140

19.72%

信息泄露

126

17.75%

跨站请求伪造

26

3.66%

缓冲区错误

22

3.10%

代码问题

21

2.96%

SQL 注入

21

2.96%

资源管理错误

19

2.68%

路径遍历

18

2.54%

输入验证错误

11

1.55%

10 

授权问题

11

1.55%

11 

命令注入

8

1.13%

12 

权限许可和访问控制问题  

7

0.99%

13 

操作系统命令注入

7

0.99%

14 

访问控制错误

4

0.56%

15 

安全特征问题

3

0.42%

16 

信任管理问题

3

0.42%

17 

加密问题

3

0.42%

18 

代码注入

3

0.42%

19 

数字错误

2

0.28%

20 

数据伪造问题

2

0.28%

 
(三) 安全漏洞危害等级与修复情况
 
 本周共发布超危漏洞 28 个,高危漏洞 90 个,中危漏洞 578 个, 低危漏洞14 个。相应修复率分别为85.71%、84.44%、81.83%和85.71%。根据补丁信息统计,合计 585 个漏洞已有修复补丁发布,整体修复率为 82.39%。详细情况如表 3 所示。 
 
                                                      表 3 漏洞危害等级与修复情况 

        序号       

    危害等级       

       漏洞数量(个) 

      修复数量(个) 

      修复率      

1

超危

28

24

85.71%

2

高危

90

76

84.44%

3

中危

578

473

81.83%

4

低危

14

12

85.71%

合计 

710

585

82.39%

 
(四) 本周重要漏洞实例
 
本周重要漏洞实例如表 4 所示。 
   
                                                                                      表 4 本周重要漏洞实例
序号
漏洞类型
漏洞编号
    厂商  
漏洞实例
   是否修复  
   危害等级 

       1     

资源管理错

CNNVD-201908-1297

Linux

Linux kernel  资源管

理错误漏洞

超危

2

授权问题

CNNVD-201908-1726

 Cisco

Cisco Integrated Management
Controller Supervisor、Cisco UCS Director 
和Cisco UCS Director Express for Big Data

授权问题漏洞

 是

 超危

 3

 操作系统命令注入  

 CNNVD-201908-1683

 Cisco

Cisco Integrated Management Controller 
操作系统命令注入漏洞

 是

 高危

 
 
1.Linux kernel 资源管理错误漏洞(CNNVD-201908-1297) 
 
Linux kernel 是美国 Linux 基金会发布的开源操作系统Linux 所使用的内核。 
Linux kernel(longterms) 4.9.190 之前的 4.9.x 版本和4.14.139 之前的 4.14.x 版本中存在资源管理错误漏洞。攻击者可利用该漏洞造成内核崩溃或可能提升权限。 
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: 
https://git.kernel.org/pub/scm/linux/kernel/git/torvald s/linux.git/commit/?id=7f582b248d0a86bae5788c548d7bb5bca6f7 691a 
 
2.Cisco Integrated Management Controller Supervisor、Cisco UCS Director 和Cisco UCS Director Express for Big Data 授权问题漏洞(CNNVD-201908-1726) 
 
Cisco Integrated Management Controller(IMC)Supervisor 等都是美国思科(Cisco)公司的产品。Cisco Integrated Management Controller(IMC)Supervisor 是一套用于对 UCS(统一计算系统) 进行管理的工具。Cisco UCS Director(前称Cisco Cloupia)是一套融合基础设施管理解决方案。该方案支持用户从单一管理控制台管理计算能力、网络服务、存储和虚拟机。Cisco UCS Director Express for Big Data 是一套适用于大数据的版本。 
Cisco IMC Supervisor、Cisco UCS Director 和Cisco UCS Director Express for Big Data 中的Web 管理界面存在授权问题漏洞,该漏洞源于在进行身份验证过程中,程序没有充分地验证请求头。远程攻击者可通过发送一系列恶意请求利用该漏洞获取受影响设备 的全部管理访问权限。以下产品及版本受到影响: 
-Cisco IMC Supervisor 2.1 版本 
 
-Cisco IMC Supervisor 2.2.0.0 版本至 2.2.0.6 版本 
 
-Cisco UCS Director 5.5.0.0 版本至 5.5.0.2 版本 
 
-Cisco UCS Director 6.0.0.0 版本至 6.0.1.3 版本 
 
-Cisco UCS Director 6.5.0.0 版本至 6.5.0.3 版本 
 
-Cisco UCS Director 6.6.0.0 版本,6.6.1.0 版本 
 
-Cisco UCS Director 6.7.0.0 版本至 6.7.2.0 版本 
 
-Cisco UCS Director Express for Big Data 2.1.0.0 版本至2.1.0.2 版本 
 
-Cisco UCS Director Express for Big Data 3.0.0.0 版本至3.0.1.3 版本 
 
-Cisco UCS Director Express for Big Data 3.5.0.0 版本至3.5.0.3 版本 
 
-Cisco UCS Director Express for Big Data 3.6.0.0 版本3.6.1.0 版本 
 
-Cisco UCS Director Express for Big Data 3.7.0.0 版本至3.7.2.0 版本 
 
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: 
 
https://tools.cisco.com/security/center/content/CiscoSe curityAdvisory/cisco-sa-20190821-imcs-ucs-authbypass 
 
3.Cisco Integrated Management Controller 操作系统命令注入漏洞(CNNVD-201908-1683) 
 
   Cisco Integrated Management Controller(IMC)是美国思科(Cisco)公司的一套用于对UCS(统一计算系统)进行管理的软件。该软件支持HTTP、SSH 访问等,并可对服务器进行开机、关机和重启等操作。 Cisco IMC 中的Web 管理界面存在操作系统命令注入漏洞,该漏洞源于程序没有充分地验证用户提交的输入。远程攻击者可利用该漏洞以root 权限执行注入的任意命令。 目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvn20993 
 
二、接报漏洞情况
 
本周接报漏洞 634 个,其中信息技术产品漏洞(通用型漏洞)32 个,网络信息系统漏洞(事件型漏洞)602 个。 

               

                                          表 5 本周漏洞报送情况

   序号  

报送单位 

  漏洞总量  

  通用型漏洞  

  事件型漏洞  

     1

上海斗象信息科技有限公司

410

0

410

2

网神信息技术(北京)股份有限公司      

120

0

120

 3

北京神州绿盟科技有限公司安全研究部

3

3

0

4

中新网络信息安全股份有限公司

45

0

45

5

北京数字观星科技有限公司

14

0

14

6

西安四叶草信息技术有限公司

13

13

0

7

福建经联网络技术有限公司

8

0

8

8

天津市兴先道科技有限公司

5

5

0

9

北京天融信网络安全技术有限公司

5

5

0

10

山东新潮信息技术有限公司

5

0

5

11

广州万方计算机科技有限公司

3

3

0

12

厦门服云信息科技有限公司

2

2

0

13

北京威努特技术有限公司

1

1

0

报送总计

634

32

612 

 
 
三、公开漏洞情况
 
关于 Webmin 命令注入漏洞的通报近日,国家信息安全漏洞库(CNNVD)收到关于 Webmin 命令注入漏洞(CNNVD-201908-1151、CVE-2019-15107)情况的报送。攻击者利用该漏洞可以进行远程代码执行攻击。Webmin 1.920 及其以下版本均受漏洞影响。目前,Webmin 官方已发布了Webmin 1.930 版本修复该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。 
 
(1)漏洞介绍 
 
Webmin 是一套基于Web 的用于Unix 操作系统中的系统管理工具。Webmin 1.920 及之前版本中的password_change.cgi 文件的‘old’ 参数存在命令注入漏洞,漏洞源于外部输入数据构造可执行命令过程中,工具未正确过滤其中的特殊元素。攻击者可利用该漏洞执行恶意代码。 
 
(2)危害影响 
 
成功利用上述漏洞的攻击者可在无需输入验证的情况下执行恶意代码,最终控制目标主机。Webmin 1.920 及其以下版本均受漏洞影响。 
 
(3)修复建议 
 
目前,Webmin 官方已发布了Webmin 1.930 版本修复该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下: 
 http://www.webmin.com/security.html 

 

推荐阅读
  • 信息安全漏洞周报

    信息安全漏洞周报 ( 2019 年第 33 期 总第 487 期) 信息安全测评中心 2019 年 8 月 25 日 根据国家信息安全漏洞库( CNNVD)统计,本周(2019 年 8 月 19 日至 2019 年 8 月 25 日)安全漏洞情况

联系我们
服务热线
400-6633-672
 
企业邮箱
support@wintsky.com
关于我们
公司介绍
公司文化
荣誉资质
合作厂家
招贤纳士
新闻资讯
安全预警
安全动态
市场活动
公司动态
技术支持
联系方式
产品测试
在线技术支持
现场技术
统计代码


深圳市云鼎天科技有限公司 2014-2020 版权所有


粤ICP备15017856号