Anonymous 发表于 2022-9-14 17:06:32

信息安全漏洞周报(2022年第37期)

根据国家信息安全漏洞库(CNNVD)统计,本周(2022年9月5日至2022年9月11日)安全漏洞情况如下:

公开漏洞情况

本周CNNVD采集安全漏洞505个。

接报漏洞情况

本周CNNVD接报漏洞5704个,其中信息技术产品漏洞(通用型漏洞)214个,网络信息系统漏洞(事件型漏洞)197个,漏洞平台推送漏洞5293个。

重大漏洞通报

Linuxkernel 数字错误漏洞(CNNVD-202208-3763、CVE-2022-2639):成功利用漏洞的攻击者可提升本地用户权限。linuxkernel 3.13-5.18版本受漏洞影响。目前,Linux官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞505个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有69个;从漏洞类型来看,缓冲区错误类的安全漏洞占比最大,达到9.90%。新增漏洞中,超危漏洞60个,高危漏洞147个,中危漏洞281个,低危漏洞17个。相应修复率分别为55.00%、82.99%、72.60%和70.59%。根据补丁信息统计,合计371个漏洞已有修复补丁发布,整体修复率为73.47%。
(一) 安全漏洞增长数量情况
   本周CNNVD采集安全漏洞505个。



图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有69个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表


序号

厂商名称

漏洞数量(个)

所占比例


1

WordPress基金会

69

13.66%


2

三星

45

8.91%


3

谷歌

42

8.32%


4

华为

26

5.15%


5

联发科技

23

4.55%


本周国内厂商漏洞87个,华为公司漏洞数量最多,有26个。国内厂商漏洞整体修复率为69.32%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看, 缓冲区错误类的安全漏洞占比最大,达到9.90%。漏洞类型统计如表3所示。

表2 漏洞类型统计表


序号

漏洞类型

漏洞数量(个)

所占比例


1

缓冲区错误

50

9.90%


2

跨站脚本

49

9.70%


3

代码问题

27

5.35%


4

跨站请求伪造

13

2.57%


5

输入验证错误

12

2.38%


6

SQL注入

11

2.18%


7

资源管理错误

11

2.18%


8

授权问题

11

2.18%


9

路径遍历

6

1.19%


10

命令注入

5

0.99%


11

信息泄露

5

0.99%


12

权限许可和访问控制问题

5

0.99%


13

访问控制错误

3

0.59%


14

格式化字符串错误

3

0.59%


15

信任管理问题

2

0.40%


16

加密问题

2

0.40%


17

操作系统命令注入

2

0.40%


18

代码注入

1

0.20%


19

后置链接

1

0.20%


20

竞争条件问题

1

0.20%


21

其他

285

56.44%

(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞60个,高危漏洞147个,中危漏洞281个,低危漏洞17个。相应修复率分别为55.00%、82.99%、72.60%和70.59%。根据补丁信息统计,合计371个漏洞已有修复补丁发布,整体修复率为73.47%。详细情况如表3所示。

表3 漏洞危害等级与修复情况


序号

危害等级

漏洞数量(个)

修复数量(个)

修复率


1

超危

60

33

55.00%


2

高危

147

122

82.99%


3

中危

281

204

72.60%


4

低危

17

12

70.59%


合计

505

371

73.47%

(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例


序号

漏洞

漏洞编号

厂商

漏洞实例

是否修复

危害等级


类型


1

其他

CNNVD-202209-494

Apache基金会

Apache James 安全漏洞



超危


2

其他

CNNVD-202209-304

WordPress基金会

WordPress plugin uContext for Amazon 安全漏洞



高危


3

其他

CNNVD-202209-374

戴尔

Dell BIOS 安全漏洞



高危


1.Apache James 安全漏洞(CNNVD-202209-494)

Apache James是美国阿帕奇(Apache)基金会的一个完全用 Java 编写的开源 Smtp 和 Pop3 邮件传输代理的 Nntp 新闻服务器。

Apache James 3.6.3和 3.7.1 之前版本存在安全漏洞。攻击者利用该漏洞可执行命令注入攻击。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://james.apache.org/james/update/2022/08/26/james-3.7.1.html

2.WordPress plugin uContext for Amazon 安全漏洞(CNNVD-202209-304)

WordPress和WordPressplugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin uContext for Amazon 3.9.1版本及之前版本存在安全漏洞,该漏洞源于在~/app/sites/ajax/actions/keyword_save.php文件的doAjax()函数缺少随机数验证。攻击者利用该漏洞可注入恶意 Web 脚本。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.wordfence.com/vulnerability-advisories/#CVE-2022-2541

3.Dell BIOS 安全漏洞(CNNVD-202209-374)

Dell BIOS是美国戴尔(Dell)公司的一个计算机主板上小型内存芯片上的嵌入式软件。

Dell BIOS存在安全漏洞。攻击者利用该漏洞通过发送恶意输入来绕过安全检查,从而执行任意代码。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.dell.com/support/kbdoc/000202194

二、漏洞平台推送情况

    本周漏洞平台推送漏洞5293个。


序号

漏洞平台

漏洞总量


1

漏洞盒子

4157


2

360漏洞云

1047


3

补天平台

89


推送总计

5293


三、接报漏洞情况

本周CNNVD接报漏洞411个,其中信息技术产品漏洞(通用型漏洞)214个,网络信息系统漏洞(事件型漏洞)197个。



序号

报送单位

漏洞总量


1

河南听潮盛世信息技术有限公司

100


2

广东默究科技有限公司

88


3

西安四叶草信息技术有限公司

53


4

杭州安恒信息技术股份有限公司

34


5

山东新潮信息技术有限公司

26


6

内蒙古洞明科技有限公司

15


7

奇安信网神信息技术(北京)股份有限公司

13


8

北京安普诺信息技术有限公司

11


9

北京长亭科技有限公司

10


10

杭州迪普科技股份有限公司

6


11

上海安识网络科技有限公司

6


12

北京安天网络安全技术有限公司

5


13

北京华顺信安信息技术有限公司

5


14

河南悦海数安科技有限公司

4


15

上海上讯信息技术股份有限公司

4


16

腾讯公司

4


17

天津市兴先道科技有限公司

4


18

中国电信股份有限公司

4


19

个人

3


20

内蒙古思沃科技有限公司

3


21

南京赛宁信息技术有限公司

2


22

山西轩辕信息安全技术有限公司

2


23

三六零数字安全科技集团有限公司

1


24

北京锐服信科技有限公司

1


25

北京天融信网络安全技术有限公司

1


26

北京微步在线科技有限公司

1


27

博智安全科技股份有限公司

1


28

上海谋乐网络科技有限公司

1


29

西安电子科技大学

1


30

悬镜安全

1


31

中兴通讯

1


报送总计

411


四、接报漏洞通报情况

本周CNNVD接报漏洞通报79份。


序号

报送单位

通报总量


1

深信服科技股份有限公司

18


2

杭州迪普科技股份有限公司

14


3

浙江大华技术股份有限公司

9


4

北京启明星辰信息安全技术有限公司

6


5

北京永信至诚科技股份有限公司

3


6

北京知道创宇信息技术股份有限公司

3


7

河南悦海数安科技有限公司

3


8

内蒙古思沃科技有限公司

3


9

上海斗象信息科技有限公司

3


10

北京华云安信息技术有限公司

2


11

杭州安恒信息技术股份有限公司

2


12

福建银数信息技术有限公司

1


13

北京时代新威信息技术有限公司

1


14

北京数字观星科技有限公司

1


15

北京天融信网络安全技术有限公司

1


16

道普信息技术有限公司

1


17

恒安嘉新(北京)科技股份公司

1


18

奇安信网神信息技术(北京)股份有限公司

1


19

上海安识网络科技有公司

1


20

深圳融安网络科技有限公司

1


21

天翼数智科技(北京)有限公司

1


22

新华三技术有限公司

1


23

长亭科技股份有限公司

1


24

中国电信股份有限公司

1


报送总计

79


五、重大漏洞通报

CNNVD 关于Linux kernel 数字错误漏洞

情况的通报

近日,国家信息安全漏洞库(CNNVD)收到关于Linux kernel 数字错误漏洞(CNNVD-202208-3763、CVE-2022-2639)情况的报送。成功利用漏洞的攻击者可提升本地用户权限。linux kernel 3.13-5.18版本受漏洞影响。目前,Linux官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

.漏洞介绍

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux Kernel openvswitch 模块在处理大量actions的情况下可能会触发越界写入问题。本地经过身份认证的攻击者可利用此漏洞将低权限用户提升至ROOT权限。

.危害影响

成功利用漏洞的攻击者可提升本地用户权限。linux kernel 3.13-5.18版本受漏洞影响。

.修复建议

目前,Linux官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方链接如下:

https://www.kernel.org/

页: [1]
查看完整版本: 信息安全漏洞周报(2022年第37期)