2021年9月06日-2021年9月12日袁记短视频热门业务教程网 本周漏洞态势研判情况 本周信息安全漏洞恐吓整体评价级别为中。块钱 国家信息安全漏洞共享平台(以下简称CNVD)本周共搜集、赞抖赞宝整理信息安全漏洞562个,音赞晨曦秒赞其中高危漏洞144个、下载中危漏洞377个、块钱低危漏洞41个。赞抖赞宝漏洞平均分值为5.72。音赞本周收录的下载漏洞中,涉及0day漏洞397个(占71%),块钱其中互联网上出现“WordPressSPProjectAndDocument远程代码执行漏洞、赞抖赞宝MIK.starlight输入验证错误漏洞”等零日代码功击漏洞。音赞本周CNVD接到的下载涉及党政机关和企事业单位的原创漏洞总量6218个,与上周(12712个)同比降低51%。块钱 图1CNVD收录漏洞近10周平均分值分布图 图2CNVD0day漏洞总量按周统计 本周漏洞风波处置情况 本周CNVD向建行、赞抖赞宝保险、音赞能源等重要行业单位通报漏洞风波20起,向基础联通企业通报漏洞风波40起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞风波429起,协调教育行业应急组织验证和处置院校科研院所系统漏洞风波49起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞风波40起。 图3CNVD各行业漏洞处置情况按周统计 图4CNCERT各分中心处置情况按周统计 图5CNVD教育行业应急组织处置情况按周统计 据悉,CNVD通过已完善的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示: 紫光软件系统有限公司、淄博闪灵网路科技有限公司、株洲汉诺网路科技有限公司、珠海新华通软件股份有限公司、珠海玖岁月科技有限公司、珠海高凌信息科技股份有限公司、重庆远秋科技有限公司、众阳健康科技集团有限公司、中煤(南京)地下空间科技发展有限公司、中国联通股份有限公司广州分公司、郑州方果电子科技有限公司、镇江市云优网路科技有限公司、浙江环鑫信息技术有限公司、长沙德尚网路科技有限公司、友讯电子设备(北京)有限公司、徐州亿优网架钢结构工程有限公司、新天科技股份有限公司、小米科技有限责任公司、夏普工贸(中国)有限公司、希捷科技有限公司、西安众邦网路科技有限公司、晨曦秒赞西安工大捷普网路科技有限公司、西安嘉客信息科技有限责任公司、武汉微问网路科技有限公司、无锡医库软件科技有限公司、统信软件技术有限公司、索尼(中国)有限公司、苏州科达科技股份有限公司、四平市九州易通科技有限公司、四川傲盾网路科技股份有限公司、世邦通讯股份有限公司、神州数码控股有限公司、深圳市唯德科创信息有限公司、深圳市万网博通科技有限公司、深圳市腾讯计算机系统有限公司、深圳市模拟科技有限公司、深圳市米亚印乐科技有限公司、深圳市美科星通讯技术有限公司、深圳市磊科实业有限公司、深圳齐心好视通云估算有限公司、上海卓卓网路科技有限公司、上海易教科技股份有限公司、上海新网程信息技术股份有限公司、上海明牛云科技有限公司、上海巨擘信息科技有限公司、上海井星信息科技有限公司、上海汉得信息技术股份有限公司、上海泛微网路科技股份有限公司、上海顶想信息科技有限公司、山东科德电子有限公司、山东金钟科技集团股份有限公司、厦门四信通讯科技有限公司、任子行网路技术股份有限公司、普生(中国)有限公司、邳州天目网路科技有限公司、宁波微星网路服务有限公司、南宁比优网路科技有限公司、南京同享网路科技有限公司、南京龙媒网路科技有限公司、茉柏枘(北京)软件科技有限公司、迈普通讯技术股份有限公司、猎豹联通公司、联奕科技股份有限公司、乐元素科技(深圳)股份有限公司、朗坤智慧科技股份有限公司、酷艺文化科技发展有限公司、江苏卓易信息科技股份有限公司、江苏汇文软件有限公司、济南步天网路技术有限公司、济南爱程网路科技有限公司、霍尼韦尔(中国)有限公司、惠普贸易(北京)有限公司、华平信息技术股份有限公司、华大半导体有限公司、湖南壹拾捌号网路技术有限公司、湖南青果软件有限公司、湖北索拓星蓝科技有限公司、湖北点点点科技有限公司、黑龙江立高科技股份有限公司、杭州圣乔科技有限公司、杭州宏服软件有限公司、杭州海康威视数字技术股份有限公司、杭州冠航科技有限公司、杭州飞畅科技有限公司、汉王科技股份有限公司、海南赞赞网路科技有限公司、广州视睿电子科技有限公司、广州市小弹壳网路科技有限公司、广州市国万电子科技有限公司、广州市成格信息技术有限公司、广州市奥威亚电子科技有限公司、广州齐博网路科技有限公司、广州本盈计算机科技有限公司、广州安网通讯技术有限公司、广联达科技股份有限公司、广东力拓网路科技有限公司、高通企业管理(北京)有限公司、福州网钛软件科技有限公司、福建福昕软件开发股份有限公司、帆软软件有限公司、大汉软件股份有限公司、程景(上海)科技有限公司、成都亿友科技有限公司、成都虎门港利科技有限公司、成都佳发安泰教育科技股份有限公司、畅捷通讯息技术股份有限公司、北京致远互联软件股份有限公司、北京兆易创新科技股份有限公司、北京映翰通网路技术股份有限公司、北京医百科技有限公司、北京星网锐捷网路技术有限公司、北京网御星云信息技术有限公司、北京通达信科科技有限公司、北京时空智友科技有限公司、北京神州数码云科信息技术有限公司、北京平凯星辰科技发展有限公司、北京派网软件有限公司、北京广阔智通讯息技术有限公司、北京抖音科技有限公司、北京九思协同软件有限公司、北京瑞星新科技术有限公司、北京水生木科技有限公司、北京灯果网路科技有限公司、北京爱奇艺科技有限公司、台达集团、上海布雷德网路科技、桂林崇胜网路科技、上海程江科技中心、优效软件工作室、帝国软件、捷微、信呼、无忧网路、百家CMS微商城、鱼跃CMS、狂雨小说cms、WMCMS团队、MIP建站系统、ZZCMS、xycms、ucms、SEMCMS、RTCMS、phpaaCMS、Oracle、NitroSoftware、NetSarang、Monstra、Lexmark、ExtractNow、Classcms、catfishcms、BelkinInternational,Inc、Apache和AKCMS。 本周,CNVD发布了《关于MicrosoftMSHTML存在远程代码执行漏洞的安全公告》。详情参见CNVD网站公告内容。 本周漏洞报送情况统计 本周报送情况如表1所示。其中,阿里云估算有限公司、哈尔滨安天科技集团股份有限公司、厦门服云信息科技有限公司、新华三技术有限公司、北京神州绿盟科技有限公司等单位报送公开搜集的漏洞数目较多。广东云天安全技术有限公司、北京华云安信息技术有限公司、南京众智维信息科技有限公司、河南灵创电子科技有限公司、内蒙古洞明科技有限公司、亚信科技(上海)有限公司、北京信联科汇科技有限公司、北京安帝科技有限公司、内蒙古云科数据服务股份有限公司、安徽永春科技有限公司、广东蓝爵网路安全技术股份有限公司、河南信安世纪科技有限公司、北京远禾科技有限公司、平安银河实验室、浙江木链物联网科技有限公司、上海纽盾科技股份有限公司、山东泽鹿安全技术有限公司、北京云科安信科技有限公司(Seraph安全实验室)、北京天地和兴科技有限公司、星云博创科技有限公司、泰山信息科技有限公司、杭州美创科技有限公司、阿里巴巴网路技术有限公司、广州安亿信软件科技有限公司、北京惠而特科技有限公司、河南天祺信息安全技术有限公司、重庆就会信息科技有限公司、博智安全科技股份有限公司、浙江国利网安科技有限公司、深圳市魔方安全科技有限公司、北京山石网科信息技术有限公司、武汉红色网路信息服务有限责任公司、南京树安信息技术有限公司、杭州海康威视数字技术股份有限公司、汇安信息科技有限公司、北京顶象技术有限公司、杭州安信测量技术有限公司、贵州多彩宝互联网服务有限公司、山石网科通讯技术股份有限公司、赛尔网路有限公司湖南分公司其他个人白围巾向CNVD递交了6218个以风波型漏洞为主的原创漏洞,其中包括斗象科技(漏洞袋子)、奇安信网神(补天平台)和北京师大向CNVD共享的白围巾报送的3755条原创漏洞信息。 表1漏洞报送情况统计表 本周漏洞按类型和厂商统计 本周,CNVD收录了562个漏洞。WEB应用241个,应用程序201个,网路设备(交换机、路由器等网路端设备)69个,操作系统26个,安全产品14个,智能设备(物联网终端设备)漏洞10个,数据库1个。 表2漏洞按影响类型统计表 图6本周漏洞按影响类型分布 CNVD整理和发布的漏洞涉及SWFTools、Microsoft、libredwg等多家厂商的产品,部份漏洞数目按厂商统计如表3所示。 表3漏洞产品涉及厂商分布统计表 本周行业漏洞收录情况 本周,CNVD收录了52个联通行业漏洞,24个联通互联网行业漏洞,10个工控行业漏洞(如右图所示)。其中,“DeltaElectronicsDOPSoft越界读取漏洞、YpsomedmylifeApp信任管理问题漏洞、CiscoIOSXRSoftware命令注入漏洞”等漏洞的相关厂商早已发布了漏洞的修复程序,请参照CNVD相关行业漏舱室链接。 联通行业漏洞链接: 联通互联网行业漏洞链接: 工控系统行业漏洞链接: 图7联通行业漏洞统计 图8联通互联网行业漏洞统计 图9工控系统行业漏洞统计 本周重要漏洞安全告警 本周,CNVD整理和发布以下重要安全漏洞信息。 1、Microsoft产品安全漏洞 MicrosoftWindows是一套个人设备使用的操作系统。MicrosoftWindowsServer是一套服务器操作系统。MSHTML(又称为Trident)是谷歌旗下的InternetExplorer浏览器引擎,尽管MHTML主要用于已被弃用的InternetExplorer浏览器,但该组件也用于Office应用程序,以在Word、Excel或PowerPoint文档中呈现Web托管的内容。本周,上述产品被披露存在权限提高和远程执行代码漏洞,功击者可借助漏洞实现权限提高,执行任意代码。 CNVD收录的相关漏洞包括:MicrosoftWindows/WindowsServer权限提高漏洞(CNVD-2021-68742、CNVD-2021-68741、CNVD-2021-68743、CNVD-2021-68748、CNVD-2021-68749)、MicrosoftMSHTML远程代码执行漏洞、MicrosoftHEVCVideoExtensions远程代码执行漏洞(CNVD-2021-70142、CNVD-2021-70141)。上述漏洞的综合评级为“高危”。目前,厂商早已发布了上述漏洞的修复程序。CNVD提醒用户及时下载补丁更新,防止引起漏洞相关的网路安全风波。 参考链接: 2、Cisco产品安全漏洞 CiscoNX-OSSoftware是日本思科(Cisco)公司的一套交换机使用的数据中心级操作系统软件。CiscoApplicationPolicyInfrastructureController(APIC)是法国思科(Cisco)公司的一款手动化的基础构架布署和整治解决方案。CiscoEvolvedProgrammableNetworkManager是日本思科(Cisco)公司的一套网路管理解决方案。CiscoSD-WANSolution是Cisco的一套网路扩充解决方案,vManage是其中的控制台。本周,上述产品被披露存在多个漏洞,功击者可借助该漏洞获取敏感信息,提高权限,在受影响的设备上读取或写入任意文件,造成拒绝服务功击等。 CNVD收录的相关漏洞包括:CiscoNX-OSSoftware拒绝服务漏洞(CNVD-2021-68723、CNVD-2021-68721、CNVD-2021-68727)、CiscoApplicationPolicyInfrastructureController任意文件读写漏洞、CiscoApplicationPolicyInfrastructureController权限提高漏洞(CNVD-2021-68725、CNVD-2021-68724)、CiscoEvolvedProgrammableNetworkManager信息泄漏漏洞、CiscoSD-WANvManageSoftware信息泄漏漏洞(CNVD-2021-68733)。其中,“CiscoApplicationPolicyInfrastructureController权限提高漏洞(CNVD-2021-68725、CNVD-2021-68724)”的综合评级为“高危”。目前,厂商早已发布了上述漏洞的修复程序。CNVD提醒用户及时下载补丁更新,防止引起漏洞相关的网路安全风波。 参考链接: 3、Apache产品安全漏洞 ApachejUDDI是一个服务于WebServices的UDDI的java实现开源包。ApacheCXF是日本阿帕奇(Apache)基金会的一个开源的Web服务框架。该框架支持多种Web服务标准、多种后端编程API等。ApacheServiceCombService-Center是Apache基金会的一个基于Restful的服务注册中心,提供微服务发觉和微服务管理。ApachePulsar是日本阿帕奇(Apache)基金会的一个用于云环境种,集消息、存储、轻量化函数式估算为一体的分布式消息流平台。ApacheHTTPServer是日本阿帕奇(Apache)基金会的一款开源网页服务器。ApacheZeppelin是日本阿帕奇(Apache)基金会的一款基于Web的开源电脑应用程序,该程序支持交互式数据剖析和协作文档。本周,上述产品被披露存在多个漏洞,功击者可借助该漏洞绕开身分验证过程,注入恶意脚本,致使拒绝服务功击。 CNVD收录的相关漏洞包括:ApachejUDDI代码问题漏洞、ApacheCXF资源管理错误漏洞(CNVD-2021-70100)、ApacheServiceCombService-Center路径遍历漏洞、ApachePulsar数据伪造问题漏洞、ApacheHTTPServer拒绝服务漏洞(CNVD-2021-70103)、ApacheZeppelin跨站脚本漏洞、ApacheZeppelin命令注入漏洞、ApacheZeppelin身分验证绕开漏洞。其中,“ApachePulsar数据伪造问题漏洞、ApacheHTTPServer拒绝服务漏洞(CNVD-2021-70103)、ApacheZeppelin命令注入漏洞”的综合评级为“高危”。目前,厂商早已发布了上述漏洞的修复程序。CNVD提醒用户及时下载补丁更新,防止引起漏洞相关的网路安全风波。 参考链接: 4、Adobe产品安全漏洞 AdobeAcrobat是由Adobe公司开发的一款PDF编辑软件。AdobeReader(也被称为AcrobatReader)是由Adobe公司开发的一款PDF文件阅读软件。本周,上述产品被披露存在多个漏洞,功击者可借助漏洞获取敏感信息,执行任意代码等。 CNVD收录的相关漏洞包括:AdobeAcrobat/Reader越界写入漏洞(CNVD-2021-70144)、AdobeAcrobat/Reader类型混淆漏洞(CNVD-2021-70147)、AdobeAcrobat/Reader释放后重用漏洞(CNVD-2021-70146、CNVD-2021-70145、CNVD-2021-70148)、AdobeAcrobat/Reader越界读取漏洞(CNVD-2021-70151、CNVD-2021-70152、CNVD-2021-70149)。其中,“AdobeAcrobat/Reader释放后重用漏洞(CNVD-2021-70145)、AdobeAcrobat/Reader路径遍历漏洞(CNVD-2021-70149)”的综合评级为“高危”。目前快手赞赞宝下载,厂商早已发布了上述漏洞的修复程序。CNVD提醒用户及时下载补丁更新,防止引起漏洞相关的网路安全风波。 参考链接: 5、DIAEnergie跨站恳求伪造漏洞 DIAEnergie是DeltaElectronics推出的一款工业能源管理系统。本周,DIAEnergie被披露存在跨站恳求伪造漏洞。功击者可借助该漏洞执行未授权操作。目前,厂商仍未发布上述漏洞的修复程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。 参考链接: 小结:本周,Microsoft产品被披露存在权限提高和远程执行代码漏洞,功击者可借助漏洞实现权限提高,执行任意代码。据悉,Cisco、Apache、Adobe等多款产品被披露存在多个漏洞,功击者可借助该漏洞绕开身分验证过程,获取敏感信息,注入恶意脚本,提高权限,在受影响的设备上读取或写入任意文件,执行任意代码,致使拒绝服务功击等。另外,DIAEnergie被披露存在跨站恳求伪造漏洞。功击者可借助该漏洞执行未授权操作。建议相关用户随时关注上述厂商主页抖音赞赞宝下载,及时获取修补补丁或解决方案。 本周重要漏洞功击验证情况 本周,CNVD建议注意防范以下已公开漏洞功击验证情况。 1、WordPressSPProjectAndDocument远程代码执行漏洞 验证描述 WordPress是基于PHP语言开发的博客平台,可以用于在支持PHP和MySQL数据库的服务器上架设网站,也可当作一个内容管理系统(CMS)。 WordPressSPProjectAndDocument存在远程代码执行漏洞,功击者可借助该漏洞执行任意代码。 验证信息 POC链接: 参考链接: 信息提供者 深信服科技股份有限公司 注:以上验证信息(方式)可能带有功击性,仅供安全研究之用。请广大用户强化对漏洞的防范工作,尽早下载相关补丁。 关于CNVD 国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国外重要信息系统单位、基础联通营运商、网络安全厂商、软件厂商和互联网企业构建的信息安全漏洞信息共享知识库,旨在于构建国家统一的信息安全漏洞搜集、发布、验证、分析等应急处理体系。 关于CNCERT 国家计算机网路应急技术处理协调中心(简称“国家互联网应急中心”,英语简称是CNCERT或CNCERT/CC),创立于2002年9月,为非政府非赢利的网路安全技术中心,是我国网路安全应急体系的核心协调机构。 作为国家级应急中心,CNCERT的主要职责是:根据“积极防治、及时发觉、快速响应、力保恢复”的方针,举办互联网网路安全风波的防治、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网路和重要信息系统的安全运行。 邮箱:vreport@cert.org.cn 电话:010-82991537 袁记短视频热门业务教程网 |