查看: 13173|回复: 0

信息安全漏洞月报(2022年10月)

[复制链接]
匿名
匿名  发表于 2022-11-3 15:46:24 |阅读模式
漏洞态势

  根据国家信息安全漏洞库(CNNVD)统计,2022年10月份采集安全漏洞共2001个。

  本月接报漏洞51286个,其中信息技术产品漏洞(通用型漏洞)705个,网络信息系统漏洞(事件型漏洞)50581个,其中漏洞平台推送漏洞48742个。

重大漏洞通报

  Fortinet FortiOS 安全漏洞(CNNVD-202210-347、CVE-2022-40684):成功利用漏洞的攻击者,可在未经身份验证的情况下获得对管理界面的访问权限,从而最终控制目标系统。Fortinet FortiOS多个版本均受此漏洞影响。目前,Fortinet官方已发布升级补丁修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

  微软官方发布公告更新了Microsoft Azure Kubernetes 安全漏洞(CNNVD-202210-553、CVE-2022-37968)、MicrosoftExchange Server 安全漏洞(CNNVD-202208-2493、CVE-2022-21980)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

漏洞态势
一、公开漏洞情况
  根据国家信息安全漏洞库(CNNVD)统计,2022年10月份新增安全漏洞共2001个,从厂商分布来看,WordPress基金会公司产品的漏洞数量最多,共发布86个;从漏洞类型来看,缓冲区错误类的漏洞占比最大,达到13.24%。本月新增漏洞中,超危漏洞319个、高危漏洞769个、中危漏洞871个、低危漏洞42个,相应修复率分别为61.44%、75.81%、76.00%以及95.24%。合计1481个漏洞已有修复补丁发布,本月整体修复率74.01%。

  截至2022年10月31日,CNNVD采集漏洞总量已达195428个。
1.1 漏洞增长概况
  2022年10月新增安全漏洞2001个,与上月(2133个)相比减少了6.19%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到2115个。

qw1.jpg

图1 2022年5月至2022年10月漏洞新增数量统计图
1.2 漏洞分布情况1.2.1 漏洞厂商分布
    2022年10月厂商漏洞数量分布情况如表1所示,WordPress基金会公司漏洞达到86个,占本月漏洞总量的4.30%。

表1  2022年10月排名前十厂商新增安全漏洞统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

WordPress基金会

86

4.30%

2

Microsoft

85

4.25%

3

Apple

82

4.10%

4

Oracle

80

4.00%

5

Google

76

3.80%

6

Linux基金会

57

2.85%

7

SAP

55

2.75%

8

Juniper Networks

37

1.85%

9

Autodesk

36

1.80%

10

Adobe

33

1.65%
1.2.2 漏洞产品分布
    2022年10月主流操作系统的漏洞统计情况如表2所示。本月Windows系列操作系统漏洞数量共68个,WindowsServer 2022漏洞数量最多,共66个,占主流操作系统漏洞总量的9.13%,排名第一。

表2  2022年10月主流操作系统漏洞数量统计

序号

操作系统名称

漏洞数量

1

Windows Server 2022

66

2

Windows 11

66

3

Windows 10

64

4

Windows Server 2019

61

5

Linux Kernel

55

6

Windows Server 2016

54

7

Windows Server 2012

50

8

Windows Server 2012 R2

50

9

Windows 8.1

49

10

Windows Rt 8.1

49

11

Windows Server 2008

44

12

Windows Server 2008 R2

44

13

Windows 7

43

14

Apple iOS

25

15

Android

3
1.2.3 漏洞类型分布
    2022年10月份发布的漏洞类型分布如表3所示,其中缓冲区错误类漏洞所占比例最大,约为13.24%。

表3  2022年10月漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

缓冲区错误

265

13.24%

2

跨站脚本

168

8.40%

3

代码问题

145

7.25%

4

SQL注入

101

5.05%

5

资源管理错误

67

3.35%

6

输入验证错误

60

3.00%

7

路径遍历

39

1.95%

8

命令注入

31

1.55%

9

跨站请求伪造

30

1.50%

10

操作系统命令注入

29

1.45%

11

授权问题

27

1.35%

12

信息泄露

19

0.95%

13

访问控制错误

19

0.95%

14

竞争条件问题

17

0.85%

15

信任管理问题

14

0.70%

16

格式化字符串错误

14

0.70%

17

数据伪造问题

10

0.50%

18

代码注入

8

0.40%

19

注入

7

0.35%

20

加密问题

6

0.30%

21

日志信息泄露

4

0.20%

22

后置链接

3

0.15%

23

安全特征问题

3

0.15%

24

参数注入

2

0.10%

25

数字错误

1

0.05%

26

环境问题

1

0.05%

27

其他

911

45.53%
1.2.4 漏洞危害等级分布
  根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。2022年10月漏洞危害等级分布如图2所示,其中超危漏洞319条,占本月漏洞总数的15.94%。

qw2.jpg

图2  2022年10月漏洞危害等级分布
1.3漏洞修复情1.3.1 整体修复情况
    2022年10月漏洞修复情况按危害等级进行统计见图3。其中低危漏洞修复率最高,达到95.24%,超危漏洞修复率最低,比例为61.44%。

  总体来看,本月整体修复率由上月的72.57%上升至本月的74.01%。

qw3.jpg

图3  2022年10月漏洞修复数量统计
1.3.2 厂商修复情况
    2022年10月漏洞修复情况按漏洞数量前十厂商进行统计,其中WordPress基金会、Microsoft、Apple等十个厂商共627条漏洞,占本月漏洞总数的31.33%,漏洞修复率为84.21%,详细情况见表4。多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Microsoft、Apple、Oracle、SAP、Autodesk、Adobe等公司本月漏洞修复率均为100%,共528条漏洞已全部修复。

表4  2022年10月厂商修复情况统计表

序号

厂商名称

漏洞数量(个)

修复数量

修复率

1

WordPress基金会

86

79

91.86%

2

Microsoft

85

85

100.00%

3

Apple

82

82

100.00%

4

Oracle

80

80

100.00%

5

Google

76

22

28.95%

6

Linux基金会

57

54

94.74%

7

SAP

55

55

100.00%

8

Juniper Networks

37

2

5.41%

9

Autodesk

36

36

100.00%

10

Adobe

33

33

100.00%
1.4 重要漏洞实例1.4.1 超危漏洞实例
    2022年10月超危漏洞共319个,其中重要漏洞实例如表5所示。

表5  2022年10月超危漏洞实例

漏洞类型

厂商

CNNVD编号

漏洞实例

SQL注入

B.C.  Institute of Technology

CNNVD-202210-254

Veritas  NetBackup
  SQL注入漏洞
  (CNNVD-202210-059)

CNNVD-202210-255

CNNVD-202210-256

CNNVD-202210-257

CNNVD-202210-258

CNNVD-202210-259

CNNVD-202210-261

CNNVD-202210-262

CNNVD-202210-263

CNNVD-202210-264

CNNVD-202210-266

CNNVD-202210-272

Changing  Information Technology

CNNVD-202210-1181

Feathers

CNNVD-202210-2159

CNNVD-202210-2162

OpenCart

CNNVD-202210-731

SEMCMS

CNNVD-202210-2450

CNNVD-202210-2452

CNNVD-202210-2453

CNNVD-202210-2455

Socket.IO

CNNVD-202210-2161

Veritas

CNNVD-202210-059

CNNVD-202210-060

CNNVD-202210-100

seccome

CNNVD-202210-2436

个人开发者

CNNVD-202210-252

CNNVD-202210-260

CNNVD-202210-633

CNNVD-202210-865

CNNVD-202210-866

CNNVD-202210-867

CNNVD-202210-923

CNNVD-202210-934

CNNVD-202210-1091

CNNVD-202210-1212

CNNVD-202210-1500

CNNVD-202210-2408

CNNVD-202210-2449

CNNVD-202210-2465

CNNVD-202210-2466

CNNVD-202210-2479

CNNVD-202210-2483

CNNVD-202210-2485

中国北京九思协同软件

CNNVD-202210-718

台达电子

CNNVD-202210-2203

台达电子

CNNVD-202210-2204

代码问题

Apache基金会

CNNVD-202210-1211

Apache  Dubbo
  代码问题漏洞
  (CNNVD-202210-1211)

ClipperCMS团队

CNNVD-202210-846

CNNVD-202210-848

DataEase

CNNVD-202210-1737

Democritus

CNNVD-202210-611

CNNVD-202210-612

CNNVD-202210-613

CNNVD-202210-614

CNNVD-202210-617

CNNVD-202210-618

CNNVD-202210-620

CNNVD-202210-621

CNNVD-202210-623

CNNVD-202210-624

CNNVD-202210-626

CNNVD-202210-628

CNNVD-202210-630

CNNVD-202210-631

CNNVD-202210-632

CNNVD-202210-634

CNNVD-202210-640

Juniper  Networks

CNNVD-202210-652

Media  Links

CNNVD-202210-768

Melis  Platform

CNNVD-202210-767

Mitel

CNNVD-202210-2103

PHPOK

CNNVD-202210-1176

Redis  Labs

CNNVD-202210-2429

VMware

CNNVD-202210-334

CNNVD-202210-2438

Veritas

CNNVD-202210-057

WordPress基金会

CNNVD-202210-2487

Zigor  Corporación

CNNVD-202210-1168

dotPDN

CNNVD-202210-737

CNNVD-202210-738

个人开发者

CNNVD-202210-066

CNNVD-202210-847

CNNVD-202210-956

CNNVD-202210-1144

CNNVD-202210-1426

CNNVD-202210-1685

CNNVD-202210-1688

CNNVD-202210-1738

CNNVD-202210-2112

CNNVD-202210-2407

凯京科技

CNNVD-202210-1158

迅易科技

CNNVD-202210-1100

授权问题

Apache基金会

CNNVD-202210-706

Apache  Shiro
  授权问题漏洞
  (CNNVD-202210-706)

Dell

CNNVD-202210-1605

Discourse

CNNVD-202210-2211

Media  Links

CNNVD-202210-712

OXHOO

CNNVD-202210-1005

Secuever

CNNVD-202210-1134

个人开发者

CNNVD-202210-244

CNNVD-202210-1733

立端

CNNVD-202210-1691

腾达

CNNVD-202210-1506

操作系统命令注入

Abode

CNNVD-202210-1467

FortiTester
  操作系统命令注入漏洞
  (CNNVD-202210-1200)

CNNVD-202210-1468

CNNVD-202210-1507

CNNVD-202210-1509

CNNVD-202210-1516

CNNVD-202210-2087

CNNVD-202210-2088

CNNVD-202210-2089

CNNVD-202210-2090

CNNVD-202210-2091

CNNVD-202210-2092

CNNVD-202210-2093

CNNVD-202210-2094

FortiTester

CNNVD-202210-1200

CNNVD-202210-1201

CNNVD-202210-1202

Robustel

CNNVD-202210-1030

个人开发者

CNNVD-202210-1735

缓冲区错误

Accusoft

CNNVD-202210-2397

Omron  CX-Programmer
  缓冲区错误漏洞
  (CNNVD-202210-127)

Adobe

CNNVD-202210-695

CNNVD-202210-696

CNNVD-202210-700

CNNVD-202210-703

Facebook

CNNVD-202210-497

GNU基金会

CNNVD-202210-1689

MikroTik

CNNVD-202210-1034

Omron

CNNVD-202210-127

CNNVD-202210-128

CNNVD-202210-129

Qualcomm

CNNVD-202210-1340

Yokogawa

CNNVD-202210-1325

个人开发者

CNNVD-202210-003

CNNVD-202210-1594

CNNVD-202210-2356

CNNVD-202210-2416

华为

CNNVD-202210-148

CNNVD-202210-168

CNNVD-202210-169

CNNVD-202210-170

CNNVD-202210-175

友讯

CNNVD-202210-2174

CNNVD-202210-2176

CNNVD-202210-2177

CNNVD-202210-2178

CNNVD-202210-2185

吉翁电子

CNNVD-202210-187

CNNVD-202210-192

宏碁

CNNVD-202210-1346

研华

CNNVD-202210-2398

CNNVD-202210-2399

立端

CNNVD-202210-1690

CNNVD-202210-1692

CNNVD-202210-1694

CNNVD-202210-1695

CNNVD-202210-1698

群晖科技

CNNVD-202210-1474

CNNVD-202210-1475

腾达

CNNVD-202210-1065

CNNVD-202210-1066

CNNVD-202210-1068

CNNVD-202210-1090

CNNVD-202210-1092

CNNVD-202210-1093

CNNVD-202210-1095

CNNVD-202210-1096

CNNVD-202210-1099

CNNVD-202210-1193

CNNVD-202210-1412

CNNVD-202210-1413

CNNVD-202210-1414

CNNVD-202210-1415

CNNVD-202210-1416

CNNVD-202210-1418

CNNVD-202210-2395

访问控制错误

Abode

CNNVD-202210-1520

Abode  Iota
  访问控制错误漏洞
  (CNNVD-202210-1520)

DAIKIN

CNNVD-202210-603

Fortinet

CNNVD-202210-347

Haas  Automation

CNNVD-202210-2119

个人开发者

CNNVD-202210-843

CNNVD-202210-1455

CNNVD-202210-1479

CNNVD-202210-2166

台达电子

CNNVD-202210-2098

CNNVD-202210-2100

群晖科技

CNNVD-202210-2097

资源管理错误

Exim

CNNVD-202210-1525

Linux  kernel
  资源管理错误漏洞
  (CNNVD-202210-1609)

Linux基金会

CNNVD-202210-1609

Nginx

CNNVD-202210-2498

curl

CNNVD-202210-2217

华为

CNNVD-202210-171

输入验证错误

Facebook

CNNVD-202210-495

WordPress
  输入验证错误漏洞
  (CNNVD-202210-1136)

Google

CNNVD-202210-014

CNNVD-202210-016

WordPress基金会

CNNVD-202210-1136

XKCP

CNNVD-202210-1541

1. VeritasNetBackup SQL注入漏洞(CNNVD-202210-059)

    Veritas NetBackup是美国Veritas公司的一个应用于为企业环境的提供备份、恢复功能的存储服务。该软件支持对勒索软件的检测和对元数据、虚拟环境等环境数据的备份保护。

    Veritas NetBackup10.0 版本及之前版本存在SQL注入漏洞。目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.veritas.com/content/support/en_US/security/VTS22-011#H1

2. ApacheDubbo 代码问题漏洞(CNNVD-202210-1211)

    Apache Dubbo是美国阿帕奇(Apache)基金会的一款基于Java的轻量级RPC(远程过程调用)框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。

    Apache dubbohessian-lite 3.2.12版本及之前版本存在代码问题漏洞。攻击者利用该漏洞执行任意代码。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk

3. ApacheShiro 授权问题漏洞(CNNVD-202210-706)

    Apache Shiro是美国阿帕奇(Apache)基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。

    Apache Shiro 1.10.0之前版本存在授权问题漏洞,该漏洞源于攻击者通过RequestDispatcher转发或包含时可以绕过其身份认证。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/loc2ktxng32xpy7lfwxto13k4lvnhjwg

4. FortiTester操作系统命令注入漏洞(CNNVD-202210-1200)

    FortiTester是FortiTester公司的一款基于 Fortinet 专业的网络流量测试工具。

    FortiTester 2.3.0 到 3.9.1、4.0.0 到 4.2.0、7.0.0 到 7.1.0版本存在安全漏洞,该漏洞源于SSH 登录组件中使用的特殊元素的不适当中和,攻击者利用该漏洞可以在底层 shell 中执行任意命令。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
    https://fortiguard.com/psirt/FG-IR-22-237

5. OmronCX-Programmer 缓冲区错误漏洞(CNNVD-202210-127)

    Omron CX-Programmer是日本欧姆龙(Omron)公司的一款PLC(可编程逻辑控制器)编程软件。

    Omron CX-Programmer9.78及以前版本存在缓冲区错误漏洞,该漏洞源于攻击者可以通过越界写实现任意代码执行。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ia.omron.com/product/tool/26/cxone/e4_doc.html?_ga=2.122882383.558156545.1661312515-1562293325.1567412774#cx_programmer

6. Abode Iota访问控制错误漏洞(CNNVD-202210-1520)

    Abode Iota是Abode公司的一个可靠的 Diy 家庭安全系统。

    Abode Iota 6.9X 和 6.9Z 版本存在访问控制错误漏洞,该漏洞源于GHOME 控制功能中存在身份验证绕过,攻击者利用该漏洞可以发送恶意 XML 有效负载执行任意命令。

  目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
    https://goabode.com/product/iota-security-kit

7. Linuxkernel 资源管理错误漏洞(CNNVD-202210-1609)

    Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。

    Linux kernel 存在资源管理错误漏洞,该漏洞源于内存释放后重用。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://git.kernel.org/pub/scm/linux/kernel/git/bpf/bpf-next.git/commit/?id=d325dc6eb763c10f591c239550b8c7e5466a5d09

8. WordPress 输入验证错误漏洞(CNNVD-202210-1136)

    WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。

    WordPress 5.1版本存在输入验证错误漏洞,该漏洞源于“X-Forwarded-For”是一个HTTP头,用来携带客户端的原始IP地址,由于这些标头很可能由客户端添加到请求中,因此如果系统/设备使用在X-Forwarded-For 标头处减速的 IP 地址而不是原始 IP,则可能会遇到各种问题,如果源自这些字段的数据受到应用程序开发人员的信任并得到处理,则任何源自 IP 地址记录的授权检查都可能被操纵。

  目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
    https://wordpress.org/
1.4.2 高危漏洞实例
    2022年10月高危漏洞共769个,其中重要漏洞实例如表6所示。

表6  2022年10月高危漏洞实例

漏洞类型

厂商

CNNVD编号

漏洞实例

SQL注入

Mayuri  K.

CNNVD-202210-878

Rockwell  Automation Factory Talk VantagePoint
  SQL注入漏洞
  (CNNVD-202210-249)

ResIOT

CNNVD-202210-855

Rockwell  Automation

CNNVD-202210-249

WordPress基金会

CNNVD-202210-1084

CNNVD-202210-1108

CNNVD-202210-1129

CNNVD-202210-1716

CNNVD-202210-1717

CNNVD-202210-1718

CNNVD-202210-1721

CNNVD-202210-2477

CNNVD-202210-2553

ZKTeco

CNNVD-202210-004

个人开发者

CNNVD-202210-191

CNNVD-202210-193

CNNVD-202210-201

CNNVD-202210-214

CNNVD-202210-215

CNNVD-202210-237

CNNVD-202210-306

CNNVD-202210-308

CNNVD-202210-310

CNNVD-202210-311

CNNVD-202210-314

CNNVD-202210-315

CNNVD-202210-318

CNNVD-202210-574

CNNVD-202210-606

CNNVD-202210-608

CNNVD-202210-610

CNNVD-202210-793

CNNVD-202210-880

CNNVD-202210-883

CNNVD-202210-937

CNNVD-202210-1007

CNNVD-202210-1101

CNNVD-202210-1152

CNNVD-202210-1324

CNNVD-202210-2206

CNNVD-202210-2445

CNNVD-202210-2451

CNNVD-202210-2478

CNNVD-202210-2480

CNNVD-202210-2481

CNNVD-202210-2482

CNNVD-202210-2486

台达电子

CNNVD-202210-2146

CNNVD-202210-2160

CNNVD-202210-2391

代码问题

Adobe

CNNVD-202210-705

GitHub  Enterprise Server
  代码问题漏洞
  (CNNVD-202210-1366)

CNNVD-202210-733

Apache基金会

CNNVD-202210-253

CNNVD-202210-1707

CNNVD-202210-1712

CNNVD-202210-2173

Bigcommerec

CNNVD-202210-638

CERT  Coordination Center

CNNVD-202210-2172

Chamilo协会

CNNVD-202210-1145

Dell

CNNVD-202210-750

CNNVD-202210-751

EVE-NG

CNNVD-202210-1495

Emlog

CNNVD-202210-1556

F5

CNNVD-202210-1452

FasterXML

CNNVD-202210-006

CNNVD-202210-007

Github

CNNVD-202210-1366

ISC

CNNVD-202210-133

Jenkins

CNNVD-202210-1373

CNNVD-202210-1387

Juniper  Networks

CNNVD-202210-658

CNNVD-202210-661

CNNVD-202210-663

CNNVD-202210-670

Linux基金会

CNNVD-202210-1526

Litespeed  Technologie

CNNVD-202210-2406

Mitel

CNNVD-202210-2111

OpenSSL团队

CNNVD-202210-400

Openjs基金会

CNNVD-202210-374

Panini

CNNVD-202210-348

SolarWinds

CNNVD-202210-1514

CNNVD-202210-1519

CNNVD-202210-1521

Sony

CNNVD-202210-615

Veritas

CNNVD-202210-070

WordPress基金会

CNNVD-202210-097

CNNVD-202210-1714

个人开发者

CNNVD-202210-309

CNNVD-202210-313

CNNVD-202210-316

CNNVD-202210-353

CNNVD-202210-571

CNNVD-202210-575

CNNVD-202210-625

CNNVD-202210-849

CNNVD-202210-851

CNNVD-202210-886

CNNVD-202210-889

CNNVD-202210-1008

CNNVD-202210-1072

CNNVD-202210-1155

CNNVD-202210-1198

CNNVD-202210-1203

CNNVD-202210-1486

CNNVD-202210-1493

CNNVD-202210-2409

CNNVD-202210-2410

CNNVD-202210-2437

CNNVD-202210-2484

卓卓网络

CNNVD-202210-055

CNNVD-202210-605

字节跳动

CNNVD-202210-1184

联发科

CNNVD-202210-011

CNNVD-202210-012

授权问题

Boodskap

CNNVD-202210-857

Rockwell  Automation FactoryTalk Alarm and Events Server
  授权问题漏洞
  (CNNVD-202210-2369)

HEIDENHAIN

CNNVD-202210-2121

Perth

CNNVD-202210-739

Rockwell  Automation

CNNVD-202210-2369

Siemens

CNNVD-202210-501

Wire

CNNVD-202210-1185

个人开发者

CNNVD-202210-1345

开放原子开源基金会

CNNVD-202210-916

操作系统命令注入

Abode

CNNVD-202210-1501

Fortinet  FortiOS
  操作系统命令注入漏洞
  (CNNVD-202210-361)

CNNVD-202210-1523

Dell

CNNVD-202210-529

FortiTester

CNNVD-202210-1206

Fortinet

CNNVD-202210-361

GL.iNet

CNNVD-202210-2386

Robustel

CNNVD-202210-1027

Siemens

CNNVD-202210-509

Webmin

CNNVD-202210-2084

个人开发者

CNNVD-202210-1147

缓冲区错误

Adobe

CNNVD-202210-677

Linux  kernel
  缓冲区错误漏洞
  (CNNVD-202210-845)

CNNVD-202210-679

CNNVD-202210-691

CNNVD-202210-692

CNNVD-202210-1321

Altair

CNNVD-202210-629

Autodesk

CNNVD-202210-064

CNNVD-202210-067

CNNVD-202210-069

CNNVD-202210-073

CNNVD-202210-074

CNNVD-202210-075

CNNVD-202210-086

CNNVD-202210-322

CNNVD-202210-323

CNNVD-202210-325

CNNVD-202210-326

CNNVD-202210-939

CNNVD-202210-940

CNNVD-202210-941

CNNVD-202210-942

CNNVD-202210-943

CNNVD-202210-948

CNNVD-202210-1564

CNNVD-202210-1567

CNNVD-202210-1568

CNNVD-202210-1571

CNNVD-202210-1572

CNNVD-202210-1573

CNNVD-202210-1574

CNNVD-202210-1575

CNNVD-202210-1576

CNNVD-202210-1577

CNNVD-202210-1578

CNNVD-202210-1580

CNNVD-202210-1582

CNNVD-202210-1596

Bentley  Systems

CNNVD-202210-781

CNNVD-202210-782

CNNVD-202210-783

Dell

CNNVD-202210-753

F5

CNNVD-202210-1409

CNNVD-202210-1419

CNNVD-202210-1451

Fortinet

CNNVD-202210-376

FreeRDP团队

CNNVD-202210-766

GPAC

CNNVD-202210-1352

CNNVD-202210-1354

Git

CNNVD-202210-1260

Google

CNNVD-202210-010

CNNVD-202210-015

CNNVD-202210-022

CNNVD-202210-041

CNNVD-202210-043

CNNVD-202210-045

CNNVD-202210-101

CNNVD-202210-106

Horner  Automation

CNNVD-202210-119

CNNVD-202210-120

CNNVD-202210-121

Juniper  Networks

CNNVD-202210-672

Linux基金会

CNNVD-202210-845

CNNVD-202210-1508

CNNVD-202210-2151

Nginx

CNNVD-202210-2496

Qualcomm

CNNVD-202210-1339

SAMSUNG

CNNVD-202210-295

SAP

CNNVD-202210-409

CNNVD-202210-412

CNNVD-202210-413

CNNVD-202210-418

CNNVD-202210-420

CNNVD-202210-421

CNNVD-202210-424

CNNVD-202210-430

CNNVD-202210-433

CNNVD-202210-434

CNNVD-202210-436

CNNVD-202210-438

CNNVD-202210-439

CNNVD-202210-448

CNNVD-202210-452

CNNVD-202210-457

CNNVD-202210-460

CNNVD-202210-462

CNNVD-202210-464

CNNVD-202210-468

CNNVD-202210-471

CNNVD-202210-472

CNNVD-202210-503

CNNVD-202210-579

CNNVD-202210-580

CNNVD-202210-582

CNNVD-202210-583

CNNVD-202210-584

CNNVD-202210-585

CNNVD-202210-587

CNNVD-202210-588

CNNVD-202210-593

Siemens

CNNVD-202210-499

CNNVD-202210-516

Softing

CNNVD-202210-1515

Softmotions

CNNVD-202210-1611

Trend  Micro

CNNVD-202210-365

个人开发者

CNNVD-202210-077

CNNVD-202210-078

CNNVD-202210-087

CNNVD-202210-1436

CNNVD-202210-2180

CNNVD-202210-2184

CNNVD-202210-2190

CNNVD-202210-2191

CNNVD-202210-2358

CNNVD-202210-2360

华为

CNNVD-202210-147

CNNVD-202210-149

CNNVD-202210-172

CNNVD-202210-176

CNNVD-202210-179

CNNVD-202210-181

CNNVD-202210-184

CNNVD-202210-185

华硕

CNNVD-202210-245

吉翁电子

CNNVD-202210-186

CNNVD-202210-188

CNNVD-202210-190

CNNVD-202210-194

CNNVD-202210-195

CNNVD-202210-197

CNNVD-202210-199

CNNVD-202210-205

群晖科技

CNNVD-202210-1470

腾达

CNNVD-202210-723

CNNVD-202210-725

CNNVD-202210-727

CNNVD-202210-1194

CNNVD-202210-2385

CNNVD-202210-2387

访问控制错误

InHand  Networks

CNNVD-202210-2400

Trend  Micro Apex One
  访问控制错误漏洞
  (CNNVD-202210-362)

Trend  Micro

CNNVD-202210-362

free5GC

CNNVD-202210-1736

华硕

CNNVD-202210-1342

资源管理错误

ARM

CNNVD-202210-2102

ARM  Mali GPU Kernel Driver
  资源管理错误漏洞
  (CNNVD-202210-2102)

Adobe

CNNVD-202210-680

CNNVD-202210-686

CNNVD-202210-687

CNNVD-202210-688

CNNVD-202210-689

CNNVD-202210-690

Autodesk

CNNVD-202210-320

CNNVD-202210-946

Containous

CNNVD-202210-522

F5

CNNVD-202210-1390

CNNVD-202210-1453

GitLab

CNNVD-202210-1121

CNNVD-202210-1585

Google

CNNVD-202210-013

CNNVD-202210-024

CNNVD-202210-026

CNNVD-202210-047

CNNVD-202210-107

Linux基金会

CNNVD-202210-794

CNNVD-202210-803

CNNVD-202210-1052

CNNVD-202210-1106

CNNVD-202210-1107

CNNVD-202210-1139

CNNVD-202210-1140

CNNVD-202210-1538

CNNVD-202210-1548

CNNVD-202210-1549

CNNVD-202210-1563

Microsoft

CNNVD-202210-551

CNNVD-202210-566

Qualcomm

CNNVD-202210-1337

SAMSUNG

CNNVD-202210-294

Siemens

CNNVD-202210-513

Softing

CNNVD-202210-1512

Vim

CNNVD-202210-2209

pyup.io

CNNVD-202210-212

webpack

CNNVD-202210-558

个人开发者

CNNVD-202210-864

CNNVD-202210-1148

CNNVD-202210-1676

CNNVD-202210-2188

CNNVD-202210-2200

输入验证错误

Abode

CNNVD-202210-1485

F5  BIG-IP
  输入验证错误漏洞
  (CNNVD-202210-1393)

Adobe

CNNVD-202210-732

CNNVD-202210-1322

CNNVD-202210-1504

Altair

CNNVD-202210-607

Cisco

CNNVD-202210-1457

Dell

CNNVD-202210-533

CNNVD-202210-535

CNNVD-202210-754

CNNVD-202210-760

CNNVD-202210-761

CNNVD-202210-764

F5

CNNVD-202210-1393

Google

CNNVD-202210-056

CNNVD-202210-103

Juniper  Networks

CNNVD-202210-648

CNNVD-202210-664

CNNVD-202210-668

CNNVD-202210-674

CNNVD-202210-678

Lanner

CNNVD-202210-1702

LiteSpeed  Technologies

CNNVD-202210-2404

SAP

CNNVD-202210-415

Siemens

CNNVD-202210-395

CNNVD-202210-446

CNNVD-202210-514

个人开发者

CNNVD-202210-1680

华为

CNNVD-202210-146

联发科

CNNVD-202210-339

1. RockwellAutomation Factory Talk VantagePoint SQL注入漏洞(CNNVD-202210-249)

    Rockwell AutomationFactory Talk VantagePoint是美国罗克韦尔(Rockwell Automation)公司的一个高级工业应用生态系统。通过提供开箱即用的支持 Web 的内容浏览和显示创建来实现生产力。

    Rockwell AutomationFactory Talk VantagePoint 存在SQL注入漏洞,该漏洞源于未正确验证用户向后端数据库检索信息时输入的SQL语句导致具有基本用户权限的用户可以在服务器上执行远程代码执行。

  目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1137043

2. GitHubEnterprise Server 代码问题漏洞(CNNVD-202210-1366)

    GitHub EnterpriseServer是美国Github开源的一个应用软件。提供一个将自己的GitHub实例设置为虚拟设备,从而提供可扩展,易于管理的平台。

    GitHub EnterpriseServer 3.6之前版本存在安全漏洞。攻击者利用该漏洞通过服务器端请求伪造(SSRF)获得访问权限,从而能够控制反序列化的数据。

  目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
    https://docs.github.com/en

3. RockwellAutomation FactoryTalk Alarm and Events Server 授权问题漏洞(CNNVD-202210-2369)

    Rockwell AutomationFactoryTalk Alarm and Events Server是美国罗克韦尔(RockwellAutomation)公司的提供了一种连接到 Rockwell 的FactoryTalk 服务的方法,以便从已配置的 A&E 服务器中过滤警报。

    Rockwell AutomationFactoryTalk Alarm and Events Server 存在安全漏洞。攻击者利用该漏洞可以访问敏感信息。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1136876

4. FortinetFortiOS 操作系统命令注入漏洞(CNNVD-202210-361)

   Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。

    Fortinet FortiOS存在安全漏洞,该漏洞源于使用的特殊元素的中和不当。攻击者利用该漏洞在链接的FortiSwitch上执行特权命令。以下产品及版本受到影响:FortinetFortiOS 6.0.0版本至6.0.14版本、6.2.0版本至6.2.10版本、6.4.0版本至6.4.8版本、7.0.0版本至7.0.3版本。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
    https://www.fortiguard.com/psirt/FG-IR-21-242

5. Linuxkernel 缓冲区错误漏洞(CNNVD-202210-845)

    Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。

    Linux kernel 5.19.11及之前版本存在安全漏洞,该漏洞源于能够注入WLAN帧的攻击者可以在net/mac80211/scan.c的ieee80211_bss_info_update函数中造成缓冲区溢出。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://git.kernel.org/pub/scm/linux/kernel/git/wireless/wireless.git/commit/?id=aebe9f4639b13a1f4e9a6b42cdd2e38c617b442d

6. TrendMicro Apex One 访问控制错误漏洞(CNNVD-202210-362)

    Trend Micro Apex One是美国趋势科技(TrendMicro)公司的一款终端防护软件。

    Trend Micro Apex One2019 (on-prem)、SaaS版本存在安全漏洞,该漏洞源于 Apex One 源验证错误,攻击者利用该漏洞可以提升权限。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
     https://success.trendmicro.com/solution/000291645

7. ARM MaliGPU Kernel Driver 资源管理错误漏洞(CNNVD-202210-2102)

    ARM Mali GPU KernelDriver是英国ARM公司的一个图形处理器单元的驱动程序。

    ARM Mali GPU KernelDriver 存在资源管理错误漏洞,该漏洞源于允许非特权用户进行不当的GPU处理操作,以获得对已释放内存的访问。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities

8. F5 BIG-IP 输入验证错误漏洞(CNNVD-202210-1393)

    F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。

    F5 BIG-IP 存在输入验证错误漏洞,该漏洞源于当在虚拟服务器上配置了启用“AttackSignature False Positive Mode”的安全策略时,未披露的请求可能导致bd进程终止。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
      https://support.f5.com/csp/article/K47204506
二、漏洞平台推送情况
    2022年10月漏洞平台推送漏洞48742个。

表7 2022年10月漏洞平台推送情况表

序号

漏洞平台

漏洞总量

1

漏洞盒子

4373

2

补天平台

40661

3

360漏洞云

3708

推送总计

48742
三、接报漏洞情况
    2022年10月接报漏洞2544个,其中信息技术产品漏洞(通用型漏洞)705个,网络信息系统漏洞(事件型漏洞)1839个。

表8  2022年10月接报漏洞情况表

序号

报送单位

漏洞数量

1            

内蒙古奥创科技有限公司

638

2            

北京山石网科信息技术有限公司

325

3            

西安四叶草信息技术有限公司

316

4            

远江盛邦(北京)网络安全科技股份有限公司

132

5            

北京启明星辰信息安全技术有限公司

131

6            

内蒙古中叶信息技术有限责任公司

116

7            

杭州安恒信息技术股份有限公司

97

8            

北京华云安信息技术有限公司

84

9            

杭州海康威视数字技术股份有限公司

63

10        

深圳开源互联网安全技术有限公司

47

11        

山东新潮信息技术有限公司

43

12        

北京国舜科技股份有限公司

34

13        

河南听潮盛世信息技术有限公司

30

14        

中国电信股份有限公司网络安全产品运营中心

27

15        

中电信数智科技有限公司

26

16        

个人

23

17        

杭州迪普科技股份有限公司

22

18        

山东泽鹿安全技术有限公司

21

19        

上海上讯信息技术股份有限公司

20

20        

北京安天网络安全技术有限公司

20

21        

广州锦行网络科技有限公司

20

22        

星云博创科技有限公司

20

23        

北京长亭科技有限公司

18

24        

中兴通讯股份有限公司

18

25        

长扬科技(北京)股份有限公司

17

26        

苏州棱镜七彩信息科技有限公司

15

27        

天津市兴先道科技有限公司

12

28        

北京安帝科技有限公司

12

29        

山东华软金盾软件股份有限公司

11

30        

北京墨云科技有限公司

10

31        

浪潮电子信息产业股份有限公司

10

32        

北京华顺信安信息技术有限公司

10

33        

北京智游网安科技有限公司

10

34        

深信服科技股份有限公司

8

35        

北京微步在线科技有限公司

7

36        

西安交大捷普网络科技有限公司

6

37        

北京数字观星科技有限公司

6

38        

奇安信网神信息技术(北京)股份有限公司

6

39        

上海斗象信息科技有限公司

6

40        

北京雪诺科技有限公司

6

41        

北京优炫软件股份有限公司

6

42        

上海安识网络科技有限公司

6

43        

上海银基信息安全技术股份有限公司

5

44        

北京六方云信息技术有限公司

5

45        

北京安普诺信息技术有限公司

5

46        

内蒙古信元网络安全技术股份有限公司

5

47        

博智安全科技股份有限公司

5

48        

南京禾盾信息科技有限公司

4

49        

广州竞远安全技术股份有限公司

4

50        

北京天融信网络安全技术有限公司

4

51        

南京众智维信息科技有限公司

4

52        

北京江南天安科技有限公司

4

53        

北京时代新威信息技术有限公司

3

54        

北方实验室(沈阳)股份有限公司

3

55        

新华三技术有限公司

3

56        

长春嘉诚信息技术股份有限公司

3

57        

深圳融安网络科技有限公司

2

58        

北京安盟信息技术股份有限公司

2

59        

杭州默安科技有限公司

2

60        

北京京东尚科信息技术有限公司

2

61        

武汉明嘉信技术有限公司

2

62        

贵州泰若数字科技有限公司

2

63        

北京永信至诚科技股份有限公司

2

64        

北京奇虎科技有限公司

2

65        

中资网络信息安全科技有限公司

2

66        

天翼数智科技(北京)有限公司

1

67        

连连数字科技股份有限公司

1

68        

思而听(山东)网络科技有限公司

1

69        

杭州美创科技有限公司

1

70        

成方金融科技有限公司上海分公司

1

71        

国网湖南省电力有限公司湘西供电分公司、国网新疆电力有限公司

1

72        

华为技术有限公司

1

73        

三六零数字安全科技集团有限公司

1

74        

江苏派恩杰网络安全有限责任公司

1

75        

浙江大华技术股份有限公司

1

76        

中孚安全技术有限公司

1

77        

杭州美创科技

1

78        

墨菲未来科技(北京)有限公司

1

79        

北京机沃科技有限公司

1

报送合计

2544
四、重大漏洞通报4.1Fortinet FortiOS安全漏洞的通报
  近日,国家信息安全漏洞库(CNNVD)收到关于FortinetFortiOS 安全漏洞(CNNVD-202210-347、CVE-2022-40684)情况的报送。成功利用漏洞的攻击者,可在未经身份验证的情况下获得对管理界面的访问权限,从而最终控制目标系统。FortinetFortiOS 7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy7.0.0版至7.0.6版、7.2.0版本等多个版本均受此漏洞影响。目前,Fortinet官方已发布升级补丁修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

. 漏洞介绍

    Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortinetFortiOS存在安全漏洞,该漏洞允许未经身份验证的攻击者获得对管理界面的访问权限,并通过特制的HTTP或HTTPS请求执行任意操作,从而最终控制目标系统。

. 危害影响

  成功利用漏洞的攻击者,可在未经身份验证的情况下获得对管理界面的访问权限,从而最终控制目标系统。FortinetFortiOS 7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy7.0.0版至7.0.6版、7.2.0版本等多个版本均受此漏洞影响。

. 修复建议

  目前,Fortinet官方已发布升级补丁修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方补丁链接如下:

    https://docs.fortinet.com/product/fortigate/7.2
4.2 微软多个安全漏洞的通报
  近日,微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞89个。包括Microsoft Azure Kubernetes 安全漏洞(CNNVD-202210-553、CVE-2022-37968)、Microsoft Exchange Server 安全漏洞(CNNVD-202208-2493、CVE-2022-21980)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

. 漏洞介绍

    2022年10月11日,微软发布了2022年10月份安全更新,共89个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了MicrosoftWindows 和 Windows 组件、MicrosoftWindows DHCP Client、Microsoft Windows Kernel、MicrosoftWindows Print Spooler Components、Microsoft Word、MicrosoftWindows Perception Simulation Service等。CNNVD对其危害等级进行了评价,其中超危漏洞1个,高危漏洞66个,中危漏洞20个,低危漏洞2个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问
https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。

. 漏洞详情

  此次更新共包括84个新增漏洞的补丁程序,其中超危漏洞1个,高危漏洞63个,中危漏洞18个,低危漏洞2个。

序号

漏洞名称

CNNVD编号

CVE
  编号

危害等级

官方链接

1

Microsoft Azure Kubernetes安全漏洞

CNNVD-202210-553

CVE-2022-37968

超危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37968

2

Microsoft Windows  Point-to-Point Tunneling Protocol 安全漏洞

CNNVD-202210-567

CVE-2022-22035

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-22035

3

Microsoft Windows  Point-to-Point Tunneling Protocol 安全漏洞

CNNVD-202210-564

CVE-2022-24504

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24504

4

Microsoft Windows  Point-to-Point Tunneling Protocol 安全漏洞

CNNVD-202210-563

CVE-2022-30198

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-30198

5

Microsoft Windows  Point-to-Point Tunneling Protocol 安全漏洞

CNNVD-202210-562

CVE-2022-33634

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-33634

6

Microsoft Graphics Component 安全漏洞

CNNVD-202210-561

CVE-2022-33635

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-33635

7

Microsoft Windows TCP/IP  component 安全漏洞

CNNVD-202210-566

CVE-2022-33645

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-33645

8

Microsoft Windows CryptoAPI 安全漏洞

CNNVD-202210-565

CVE-2022-34689

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34689

9

Microsoft Windows DWM Core  Library 安全漏洞

CNNVD-202210-556

CVE-2022-37970

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37970

10

Microsoft Windows Defender 安全漏洞

CNNVD-202210-552

CVE-2022-37971

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37971

11

Microsoft Windows Local  Session Manager (LSM) 安全漏洞

CNNVD-202210-551

CVE-2022-37973

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37973

12

Microsoft Windows 安全漏洞

CNNVD-202210-550

CVE-2022-37975

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37975

13

Microsoft Windows Active  Directory Certificate Services 安全漏洞

CNNVD-202210-549

CVE-2022-37976

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37976

14

Microsoft Windows Active  Directory Certificate Services 安全漏洞

CNNVD-202210-546

CVE-2022-37978

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37978

15

Microsoft Windows Hyper-V 安全漏洞

CNNVD-202210-544

CVE-2022-37979

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37979

16

Microsoft Windows DHCP Client  安全漏洞

CNNVD-202210-543

CVE-2022-37980

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37980

17

Microsoft DWM Core Library 安全漏洞

CNNVD-202210-530

CVE-2022-37983

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37983

18

Microsoft Windows WLAN  Service 安全漏洞

CNNVD-202210-520

CVE-2022-37984

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37984

19

Microsoft Graphics Component 安全漏洞

CNNVD-202210-508

CVE-2022-37986

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37986

20

Microsoft Client Server  Run-time Subsystem (CSRSS) 安全漏洞

CNNVD-202210-496

CVE-2022-37987

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37987

21

Microsoft Windows Kernel 安全漏洞

CNNVD-202210-493

CVE-2022-37988

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37988

22

Microsoft Client Server  Run-time Subsystem (CSRSS) 安全漏洞

CNNVD-202210-492

CVE-2022-37989

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37989

23

Microsoft Windows Kernel 安全漏洞

CNNVD-202210-491

CVE-2022-37990

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37990

24

Microsoft Windows Kernel 安全漏洞

CNNVD-202210-490

CVE-2022-37991

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37991

25

Microsoft Windows Group  Policy Preference Client 安全漏洞

CNNVD-202210-489

CVE-2022-37993

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37993

26

Microsoft Windows Group  Policy Preference Client 安全漏洞

CNNVD-202210-486

CVE-2022-37994

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37994

27

Microsoft Windows Kernel 安全漏洞

CNNVD-202210-487

CVE-2022-37995

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37995

28

Microsoft Graphics Component 安全漏洞

CNNVD-202210-482

CVE-2022-37997

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37997

29

Microsoft Windows Local  Session Manager (LSM) 安全漏洞

CNNVD-202210-481

CVE-2022-37998

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37998

30

Microsoft Windows Group  Policy Preference Client 安全漏洞

CNNVD-202210-478

CVE-2022-37999

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37999

31

Microsoft Windows  Point-to-Point Tunneling Protocol 安全漏洞

CNNVD-202210-477

CVE-2022-38000

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38000

32

Microsoft Windows Resilient  File System (ReFS) 安全漏洞

CNNVD-202210-475

CVE-2022-38003

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38003

33

Microsoft Windows Local  Security Authority (LSA) 安全漏洞

CNNVD-202210-476

CVE-2022-38016

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38016

34

Microsoft Windows Connected  User Experiences and Telemetry 安全漏洞

CNNVD-202210-470

CVE-2022-38021

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38021

35

Microsoft Windows Storage 安全漏洞

CNNVD-202210-463

CVE-2022-38027

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38027

36

Microsoft Windows Print  Spooler Components 安全漏洞

CNNVD-202210-456

CVE-2022-38028

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38028

37

Microsoft Windows ALPC 安全漏洞

CNNVD-202210-453

CVE-2022-38029

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38029

38

Microsoft OLE DB Provider for  SQL Server 安全漏洞

CNNVD-202210-455

CVE-2022-38031

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38031

39

Microsoft Windows Internet  Key Exchange (IKE) Protocol 安全漏洞

CNNVD-202210-443

CVE-2022-38036

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38036

40

Microsoft Windows Kernel 安全漏洞

CNNVD-202210-442

CVE-2022-38037

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38037

41

Microsoft Windows Kernel 安全漏洞

CNNVD-202210-445

CVE-2022-38038

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38038

42

Microsoft Windows Kernel 安全漏洞

CNNVD-202210-435

CVE-2022-38039

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38039

43

Microsoft ODBC Driver 安全漏洞

CNNVD-202210-600

CVE-2022-38040

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38040

44

Microsoft Windows Secure  Channel 安全漏洞

CNNVD-202210-599

CVE-2022-38041

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38041

45

Microsoft Windows Active  Directory 安全漏洞

CNNVD-202210-594

CVE-2022-38042

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38042

46

Microsoft Windows CD-ROM  Driver 安全漏洞

CNNVD-202210-432

CVE-2022-38044

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38044

47

Microsoft Windows 安全漏洞

CNNVD-202210-426

CVE-2022-38045

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38045

48

Microsoft Windows  Point-to-Point Tunneling Protocol 安全漏洞

CNNVD-202210-428

CVE-2022-38047

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38047

49

Microsoft Office 安全漏洞

CNNVD-202210-406

CVE-2022-38048

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38048

50

Microsoft Office 安全漏洞

CNNVD-202210-405

CVE-2022-38049

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38049

51

Microsoft Windows Win32K 安全漏洞

CNNVD-202210-423

CVE-2022-38050

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38050

52

Microsoft Graphics Component 安全漏洞

CNNVD-202210-429

CVE-2022-38051

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38051

53

Microsoft SharePoint 安全漏洞

CNNVD-202210-417

CVE-2022-38053

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38053

54

Microsoft Word 安全漏洞

CNNVD-202210-404

CVE-2022-41031

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41031

55

Microsoft Visual Studio 安全漏洞

CNNVD-202210-541

CVE-2022-41032

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41032

56

Microsoft Windows 安全漏洞

CNNVD-202210-419

CVE-2022-41033

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41033

57

Microsoft Visual Studio Code 安全漏洞

CNNVD-202210-538

CVE-2022-41034

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41034

58

Microsoft SharePoint 安全漏洞

CNNVD-202210-431

CVE-2022-41036

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41036

59

Microsoft SharePoint 安全漏洞

CNNVD-202210-416

CVE-2022-41037

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41037

60

Microsoft SharePoint 安全漏洞

CNNVD-202210-411

CVE-2022-41038

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41038

61

Microsoft Visual Studio Code 安全漏洞

CNNVD-202210-540

CVE-2022-41042

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41042

62

Microsoft Windows  Point-to-Point Tunneling Protocol 安全漏洞

CNNVD-202210-410

CVE-2022-41081

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41081

63

Microsoft Visual Studio Code 安全漏洞

CNNVD-202210-539

CVE-2022-41083

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41083

64

Microsoft Windows NTLM 安全漏洞

CNNVD-202210-560

CVE-2022-35770

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35770

65

Microsoft Service Fabric 安全漏洞

CNNVD-202210-557

CVE-2022-35829

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35829

66

Microsoft Windows  Point-to-Point Tunneling Protocol 安全漏洞

CNNVD-202210-554

CVE-2022-37965

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37965

67

Microsoft Windows Perception  Simulation Service 安全漏洞

CNNVD-202210-555

CVE-2022-37974

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37974

68

Microsoft Windows Local  Security Authority Subsystem Service (LSASS) 安全漏洞

CNNVD-202210-547

CVE-2022-37977

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37977

69

Microsoft Windows Event  Logging Service 安全漏洞

CNNVD-202210-542

CVE-2022-37981

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37981

70

Microsoft Graphics Component 安全漏洞

CNNVD-202210-521

CVE-2022-37985

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37985

71

Microsoft Windows NTFS 安全漏洞

CNNVD-202210-488

CVE-2022-37996

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37996

72

Microsoft Office 安全漏洞

CNNVD-202210-408

CVE-2022-38001

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38001

73

Microsoft Azure 安全漏洞

CNNVD-202210-548

CVE-2022-38017

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38017

74

Microsoft Windows Distributed  File System (DFS) 安全漏洞

CNNVD-202210-466

CVE-2022-38025

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38025

75

Microsoft Windows DHCP Client  安全漏洞

CNNVD-202210-465

CVE-2022-38026

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38026

76

Microsoft Windows USB Serial  Driver 安全漏洞

CNNVD-202210-454

CVE-2022-38030

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38030

77

Microsoft Windows Portable  Device Enumerator Service 安全漏洞

CNNVD-202210-458

CVE-2022-38032

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38032

78

Microsoft Windows Server  Remotely Accessible Registry Keys 安全漏洞

CNNVD-202210-444

CVE-2022-38033

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38033

79

Microsoft Windows Workstation  Service 安全漏洞

CNNVD-202210-447

CVE-2022-38034

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38034

80

Microsoft Windows Security  Support Provider Interface 安全漏洞

CNNVD-202210-595

CVE-2022-38043

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38043

81

Microsoft Windows 安全漏洞

CNNVD-202210-427

CVE-2022-38046

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38046

82

Microsoft Windows Kernel 安全漏洞

CNNVD-202210-469

CVE-2022-38022

低危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38022

83

Microsoft Office 安全漏洞

CNNVD-202210-403

CVE-2022-41043

低危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41043

84

Microsoft OLE DB Provider for  SQL Server 安全漏洞

CNNVD-202210-537

CVE-2022-37982

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37982

  此次更新共包括5个更新漏洞的补丁程序,其中高危漏洞3个,中危漏洞2个。

序号

漏洞名称

CNNVD
  编号

CVE
  编号

危害等级

官方链接

1

Microsoft Exchange Server 安全漏洞

CNNVD-202208-2489

CVE-2022-30134

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-30134

2

Microsoft Exchange Server 安全漏洞

CNNVD-202208-2490

CVE-2022-24477

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24477

3

Microsoft Exchange Server 安全漏洞

CNNVD-202208-2491

CVE-2022-24516

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24516

4

Microsoft Exchange Server 安全漏洞

CNNVD-202208-2493

CVE-2022-21980

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-21980

5

Microsoft Exchange Server 安全漏洞

CNNVD-202208-2494

CVE-2022-21979

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-21979

. 修复建议

  目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:

     https://msrc.microsoft.com/update-guide/en-us


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-12-18 18:55 , Processed in 0.052757 second(s), 14 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部