Anonymous 发表于 2022-10-12 20:46:56

信息安全漏洞周报(2022年第41期)

根据国家信息安全漏洞库(CNNVD)统计,本周(2022年10月3日至2022年10月9日)安全漏洞情况如下:

公开漏洞情况

本周CNNVD采集安全漏洞347个。

接报漏洞情况

本周CNNVD接报漏洞7978个,漏洞平台推送漏洞7978个。

重大漏洞通报

微软多个安全漏洞:包括Microsoft Exchange Server多个安全漏洞(CNNVD-202210-001/CVE-2022-41040、CNNVD-202210-002/CVE-2022-41082),经身份验证的攻击者利用服务端请求伪造漏洞可远程访问PowerShell,进而导致在目标系统远程代码执行。Exchange Server多版本受漏洞影响。目前,微软官方已公告上述漏洞并提供临时修复措施,请用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞347个,漏洞新增数量有所上升。从厂商分布来看谷歌公司新增漏洞最多,有54个;从漏洞类型来看,SQL注入类的安全漏洞占比最大,达到8.93%。新增漏洞中,超危漏洞37个,高危漏洞74个,中危漏洞227个,低危漏洞9个。相应修复率分别为45.95%、74.32%、71.37%和88.89%。根据补丁信息统计,合计242个漏洞已有修复补丁发布,整体修复率为69.74%。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞347个。



图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,谷歌公司新增漏洞最多,有54个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表


序号

厂商名称

漏洞数量(个)

所占比例


1

谷歌

54

15.56%


2

三星

33

9.51%


3

华为

33

9.51%


4

思科

15

4.32%


5

Autodesk

15

4.32%


本周国内厂商漏洞58个,华为公司漏洞数量最多,有33个。国内厂商漏洞整体修复率为79.66%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看, SQL注入类的安全漏洞占比最大,达到8.93%。漏洞类型统计如表3所示。

表2 漏洞类型统计表


序号

漏洞类型

漏洞数量(个)

所占比例


1

SQL注入

31

8.93%


2

缓冲区错误

24

6.92%


3

跨站脚本

14

4.03%


4

代码问题

12

3.46%


5

路径遍历

5

1.44%


6

输入验证错误

4

1.15%


7

访问控制错误

3

0.86%


8

授权问题

2

0.58%


9

命令注入

2

0.58%


10

信息泄露

2

0.58%


11

加密问题

2

0.58%


12

资源管理错误

1

0.29%


13

信任管理问题

1

0.29%


14

跨站请求伪造

1

0.29%


15

数据伪造问题

1

0.29%


16

其他

242

69.74%

(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞37个,高危漏洞74个,中危漏洞227个,低危漏洞9个。相应修复率分别为45.95%、74.32%、71.37%和88.89%。根据补丁信息统计,合计242个漏洞已有修复补丁发布,整体修复率为69.74%。详细情况如表3所示。

表3 漏洞危害等级与修复情况


序号

危害等级

漏洞数量(个)

修复数量(个)

修复率


1

超危

37

17

45.95%


2

高危

74

55

74.32%


3

中危

227

162

71.37%


4

低危

9

8

88.89%


合计

347

242

69.74%

(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例


序号

漏洞

漏洞编号

厂商

漏洞实例

是否修复

危害等级


类型


1

其他

CNNVD-202210-203

Apache基金会

Apache Commons JXPath 安全漏洞



超危


2

代码问题

CNNVD-202210-097

WordPress基金会

WordPress plugin Frontend File Manager 代码问题漏洞



高危


3

其他

CNNVD-202210-124

谷歌

Google Golang 安全漏洞



高危


1.Apache CommonsJXPath 安全漏洞(CNNVD-202210-203)

Apache CommonsJXPath是美国阿帕奇(Apache)基金会基于Java 实现的 XPath 。

Apache CommonsJXPath 存在安全漏洞。攻击者利用该漏洞通过XPath表达式加载任意Java类,从而执行代码。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47133

2.WordPress plugin Frontend File Manager 代码问题漏洞(CNNVD-202210-097)

WordPress和WordPressplugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Frontend File Manager 21.3之前版本存在代码问题漏洞。攻击者利用该漏洞可以将文件重命名为任意扩展名,从而在服务器中上传任意文件并执行远程代码。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://wpscan.com/vulnerability/d3d9dc9a-226b-4f76-995e-e2af1dd6b17e

3.Google Golang 安全漏洞(CNNVD-202210-124)

Google Golang是美国谷歌(Google)公司的一种静态强类型、编译型语言。

Google Golang 存在安全漏洞。该漏洞源于在转发请求时,ReverseProxy函数包含了无法解析的查询参数。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/golang/go/issues/54663

二、漏洞平台推送情况

    本周漏洞平台推送漏洞7978个。


序号

漏洞平台

漏洞总量


1

补天平台

2667


2

360漏洞云

3708


3

漏洞盒子

1603


推送总计

7978


三、接报漏洞通报情况

   本周CNNVD接报漏洞通报35份。


序号

报送单位

通报总量


1

北京威努特技术有限公司

10


2

三六零数字安全科技集团有限公司

5


3

北京安普诺信息技术有限公司

4


4

北京六方云信息技术有限公司

3


5

奇安信网神信息技术(北京)股份有限公司

3


6

北京数字观星科技有限公司

2


7

杭州安恒信息技术股份有限公司

2


8

安信与诚科技开发有限公司

1


9

北京华顺信安信息技术有限公司

1


10

北京启明星辰信息安全技术有限公司

1


11

北京雪诺科技有限公司

1


12

深信服科技股份有限公司

1


13

新华三技术有限公司

1


报送总计

35


四、重大漏洞通报

CNNVD关于Microsoft Exchange Server

多个安全漏洞的通报

近日,国家信息安全漏洞库(CNNVD)收到关于Microsoft Exchange Server多个安全漏洞(CNNVD-202210-001/CVE-2022-41040、CNNVD-202210-002/CVE-2022-41082)情况的报送。经身份验证的攻击者利用服务端请求伪造漏洞可远程访问PowerShell,进而导致在目标系统远程代码执行。Exchange Server多版本受漏洞影响。目前,微软官方已公告上述漏洞并提供临时修复措施,请用户及时确认是否受到漏洞影响,尽快采取修补措施。

.漏洞介绍

Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序。它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。

1、Microsoft Exchange Server安全漏洞(CNNVD-202210-001、CVE-2022-41040):

经身份验证的攻击者利用该漏洞构造恶意请求,可获取内网访问权限及服务信息。

2、Microsoft Exchange Server安全漏洞(CNNVD-202210-002、CVE-2022-41082):

联合利用上一漏洞的攻击者可远程访问PowerShell,进而在目标系统远程执行代码。

.危害影响

经身份验证的攻击者利用服务端请求伪造漏洞可远程访问PowerShell,进而导致在目标系统被远程代码执行。MicrosoftExchange Server 2013、Exchange Server 2016和Exchange Server 2019等版本均受上述漏洞影响。

.修复建议

目前,微软官方已公告上述漏洞并提供临时修复措施,请用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/


页: [1]
查看完整版本: 信息安全漏洞周报(2022年第41期)