信息安全漏洞周报(2022年第37期)
根据国家信息安全漏洞库(CNNVD)统计,本周(2022年9月5日至2022年9月11日)安全漏洞情况如下:公开漏洞情况
本周CNNVD采集安全漏洞505个。
接报漏洞情况
本周CNNVD接报漏洞5704个,其中信息技术产品漏洞(通用型漏洞)214个,网络信息系统漏洞(事件型漏洞)197个,漏洞平台推送漏洞5293个。
重大漏洞通报
Linuxkernel 数字错误漏洞(CNNVD-202208-3763、CVE-2022-2639):成功利用漏洞的攻击者可提升本地用户权限。linuxkernel 3.13-5.18版本受漏洞影响。目前,Linux官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞505个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有69个;从漏洞类型来看,缓冲区错误类的安全漏洞占比最大,达到9.90%。新增漏洞中,超危漏洞60个,高危漏洞147个,中危漏洞281个,低危漏洞17个。相应修复率分别为55.00%、82.99%、72.60%和70.59%。根据补丁信息统计,合计371个漏洞已有修复补丁发布,整体修复率为73.47%。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞505个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有69个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress基金会
69
13.66%
2
三星
45
8.91%
3
谷歌
42
8.32%
4
华为
26
5.15%
5
联发科技
23
4.55%
本周国内厂商漏洞87个,华为公司漏洞数量最多,有26个。国内厂商漏洞整体修复率为69.32%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 缓冲区错误类的安全漏洞占比最大,达到9.90%。漏洞类型统计如表3所示。
表2 漏洞类型统计表
序号
漏洞类型
漏洞数量(个)
所占比例
1
缓冲区错误
50
9.90%
2
跨站脚本
49
9.70%
3
代码问题
27
5.35%
4
跨站请求伪造
13
2.57%
5
输入验证错误
12
2.38%
6
SQL注入
11
2.18%
7
资源管理错误
11
2.18%
8
授权问题
11
2.18%
9
路径遍历
6
1.19%
10
命令注入
5
0.99%
11
信息泄露
5
0.99%
12
权限许可和访问控制问题
5
0.99%
13
访问控制错误
3
0.59%
14
格式化字符串错误
3
0.59%
15
信任管理问题
2
0.40%
16
加密问题
2
0.40%
17
操作系统命令注入
2
0.40%
18
代码注入
1
0.20%
19
后置链接
1
0.20%
20
竞争条件问题
1
0.20%
21
其他
285
56.44%
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞60个,高危漏洞147个,中危漏洞281个,低危漏洞17个。相应修复率分别为55.00%、82.99%、72.60%和70.59%。根据补丁信息统计,合计371个漏洞已有修复补丁发布,整体修复率为73.47%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
60
33
55.00%
2
高危
147
122
82.99%
3
中危
281
204
72.60%
4
低危
17
12
70.59%
合计
505
371
73.47%
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
序号
漏洞
漏洞编号
厂商
漏洞实例
是否修复
危害等级
类型
1
其他
CNNVD-202209-494
Apache基金会
Apache James 安全漏洞
是
超危
2
其他
CNNVD-202209-304
WordPress基金会
WordPress plugin uContext for Amazon 安全漏洞
是
高危
3
其他
CNNVD-202209-374
戴尔
Dell BIOS 安全漏洞
是
高危
1.Apache James 安全漏洞(CNNVD-202209-494)
Apache James是美国阿帕奇(Apache)基金会的一个完全用 Java 编写的开源 Smtp 和 Pop3 邮件传输代理的 Nntp 新闻服务器。
Apache James 3.6.3和 3.7.1 之前版本存在安全漏洞。攻击者利用该漏洞可执行命令注入攻击。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://james.apache.org/james/update/2022/08/26/james-3.7.1.html
2.WordPress plugin uContext for Amazon 安全漏洞(CNNVD-202209-304)
WordPress和WordPressplugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin uContext for Amazon 3.9.1版本及之前版本存在安全漏洞,该漏洞源于在~/app/sites/ajax/actions/keyword_save.php文件的doAjax()函数缺少随机数验证。攻击者利用该漏洞可注入恶意 Web 脚本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.wordfence.com/vulnerability-advisories/#CVE-2022-2541
3.Dell BIOS 安全漏洞(CNNVD-202209-374)
Dell BIOS是美国戴尔(Dell)公司的一个计算机主板上小型内存芯片上的嵌入式软件。
Dell BIOS存在安全漏洞。攻击者利用该漏洞通过发送恶意输入来绕过安全检查,从而执行任意代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.dell.com/support/kbdoc/000202194
二、漏洞平台推送情况
本周漏洞平台推送漏洞5293个。
序号
漏洞平台
漏洞总量
1
漏洞盒子
4157
2
360漏洞云
1047
3
补天平台
89
推送总计
5293
三、接报漏洞情况
本周CNNVD接报漏洞411个,其中信息技术产品漏洞(通用型漏洞)214个,网络信息系统漏洞(事件型漏洞)197个。
序号
报送单位
漏洞总量
1
河南听潮盛世信息技术有限公司
100
2
广东默究科技有限公司
88
3
西安四叶草信息技术有限公司
53
4
杭州安恒信息技术股份有限公司
34
5
山东新潮信息技术有限公司
26
6
内蒙古洞明科技有限公司
15
7
奇安信网神信息技术(北京)股份有限公司
13
8
北京安普诺信息技术有限公司
11
9
北京长亭科技有限公司
10
10
杭州迪普科技股份有限公司
6
11
上海安识网络科技有限公司
6
12
北京安天网络安全技术有限公司
5
13
北京华顺信安信息技术有限公司
5
14
河南悦海数安科技有限公司
4
15
上海上讯信息技术股份有限公司
4
16
腾讯公司
4
17
天津市兴先道科技有限公司
4
18
中国电信股份有限公司
4
19
个人
3
20
内蒙古思沃科技有限公司
3
21
南京赛宁信息技术有限公司
2
22
山西轩辕信息安全技术有限公司
2
23
三六零数字安全科技集团有限公司
1
24
北京锐服信科技有限公司
1
25
北京天融信网络安全技术有限公司
1
26
北京微步在线科技有限公司
1
27
博智安全科技股份有限公司
1
28
上海谋乐网络科技有限公司
1
29
西安电子科技大学
1
30
悬镜安全
1
31
中兴通讯
1
报送总计
411
四、接报漏洞通报情况
本周CNNVD接报漏洞通报79份。
序号
报送单位
通报总量
1
深信服科技股份有限公司
18
2
杭州迪普科技股份有限公司
14
3
浙江大华技术股份有限公司
9
4
北京启明星辰信息安全技术有限公司
6
5
北京永信至诚科技股份有限公司
3
6
北京知道创宇信息技术股份有限公司
3
7
河南悦海数安科技有限公司
3
8
内蒙古思沃科技有限公司
3
9
上海斗象信息科技有限公司
3
10
北京华云安信息技术有限公司
2
11
杭州安恒信息技术股份有限公司
2
12
福建银数信息技术有限公司
1
13
北京时代新威信息技术有限公司
1
14
北京数字观星科技有限公司
1
15
北京天融信网络安全技术有限公司
1
16
道普信息技术有限公司
1
17
恒安嘉新(北京)科技股份公司
1
18
奇安信网神信息技术(北京)股份有限公司
1
19
上海安识网络科技有公司
1
20
深圳融安网络科技有限公司
1
21
天翼数智科技(北京)有限公司
1
22
新华三技术有限公司
1
23
长亭科技股份有限公司
1
24
中国电信股份有限公司
1
报送总计
79
五、重大漏洞通报
CNNVD 关于Linux kernel 数字错误漏洞
情况的通报
近日,国家信息安全漏洞库(CNNVD)收到关于Linux kernel 数字错误漏洞(CNNVD-202208-3763、CVE-2022-2639)情况的报送。成功利用漏洞的攻击者可提升本地用户权限。linux kernel 3.13-5.18版本受漏洞影响。目前,Linux官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
.漏洞介绍
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux Kernel openvswitch 模块在处理大量actions的情况下可能会触发越界写入问题。本地经过身份认证的攻击者可利用此漏洞将低权限用户提升至ROOT权限。
.危害影响
成功利用漏洞的攻击者可提升本地用户权限。linux kernel 3.13-5.18版本受漏洞影响。
.修复建议
目前,Linux官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方链接如下:
https://www.kernel.org/
页:
[1]