请选择 进入手机版 | 继续访问电脑版
查看: 4631|回复: 0

信息安全漏洞周报(2022年第34期)

[复制链接]
匿名
匿名  发表于 2022-8-25 20:43:55 |阅读模式
  根据国家信息安全漏洞库(CNNVD)统计,本周(2022年8月15日至2022年8月21日)安全漏洞情况如下:

公开漏洞情况

  本周CNNVD采集安全漏洞370个。

接报漏洞情况

  本周CNNVD接报漏洞4507个,其中信息技术产品漏洞(通用型漏洞)116个,网络信息系统漏洞(事件型漏洞)61个,漏洞平台推送漏洞4330个。

一、公开漏洞情况

   根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞370个,漏洞新增数量有所下降。从厂商分布来看WWBN(全球广播网)新增漏洞最多,有18个;从漏洞类型来看,缓冲区错误类的安全漏洞占比最大,达到18.65%。新增漏洞中,超危漏洞69个,高危漏洞128个,中危漏洞170个,低危漏洞3个。相应修复率分别为63.77%、83.59%、60.00%和100.00%。根据补丁信息统计,合计256个漏洞已有修复补丁发布,整体修复率为69.19%。
(一) 安全漏洞增长数量情况
  本周CNNVD采集安全漏洞370个。

qw1.jpg

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况
  从厂商分布来看,WWBN(全球广播网)新增漏洞最多,有18个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表


序号

厂商名称

漏洞数量(个)

所占比例

1

WWBN(全球广播网)

18

4.86%

2

Intel

13

3.51%

3

WordPress基金会

13

3.51%

4

谷歌

10

2.70%

5

Esri

10

2.70%


  本周国内厂商漏洞15个,友讯公司漏洞数量最多,有4个。国内厂商漏洞整体修复率为60.00%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

  从漏洞类型来看, 缓冲区错误类的安全漏洞占比最大,达到18.65%。漏洞类型统计如表3所示。

表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

缓冲区错误

69

18.65%

2

跨站脚本

36

9.73%

3

SQL注入

24

6.49%

4

代码问题

22

5.95%

5

授权问题

9

2.43%

6

操作系统命令注入

9

2.43%

7

资源管理错误

8

2.16%

8

路径遍历

8

2.16%

9

输入验证错误

6

1.62%

10

代码注入

6

1.62%

11

跨站请求伪造

6

1.62%

12

访问控制错误

5

1.35%

13

注入

5

1.35%

14

命令注入

3

0.81%

15

信任管理问题

3

0.81%

16

数据伪造问题

3

0.81%

17

竞争条件问题

2

0.54%

18

加密问题

2

0.54%

19

日志信息泄露

1

0.27%

20

安全特征问题

1

0.27%

21

环境问题

1

0.27%

22

参数注入

1

0.27%

23

其他

140

37.84%
(三) 安全漏洞危害等级与修复情况
  本周共发布超危漏洞69个,高危漏洞128个,中危漏洞170个,低危漏洞3个。相应修复率分别为63.77%、83.59%、60.00%和100.00%。根据补丁信息统计,合计256个漏洞已有修复补丁发布,整体修复率为69.19%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

69

44

63.77%

2

高危

128

107

83.59%

3

中危

170

102

60.00%

4

低危

3

3

100.00%

合计

370

256

69.19%
(四) 本周重要漏洞实例
  本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞

漏洞编号

厂商

漏洞实例

是否修复

危害等级

类型

1

代码问题

CNNVD-202208-3066

WordPress基金会

WordPress theme GREYD.SUITE 代码问题漏洞



超危

2

其他

CNNVD-202208-3044

Apache基金会

Apache OpenOffice 安全漏洞



高危

3

其他

CNNVD-202208-3348

苹果

Apple macOS Monterey 安全漏洞



高危

1.WordPress themeGREYD.SUITE 代码问题漏洞(CNNVD-202208-3066)

  WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPresstheme是WordPress的一款主题。

  WordPress themeGREYD.SUITE存在代码问题漏洞,该漏洞源于没有正确验证上传的自定义字体包,也没有执行任何授权或跨站请求伪造检查。攻击者利用该漏洞可上传任意文件,导致远程代码执行。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://wpscan.com/vulnerability/c330f92b-1e21-414f-b316-d5e97cb62bd1

2.Apache OpenOffice 安全漏洞(CNNVD-202208-3044)

  Apache OpenOffice是美国阿帕奇(Apache)基金会的一款开源的办公软件套件。该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。

  Apache OpenOffice 4.1.13之前版本存在安全漏洞,该漏洞源于密码加密强度不足,攻击者利用该漏洞可获取用户敏感信息。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.openoffice.org/security/cves/CVE-2022-37401.html

3.Apple macOS Monterey 安全漏洞(CNNVD-202208-3348)

  Apple macOS Monterey是美国苹果(Apple)公司的用于麦金塔桌面操作系统macOS的第18个主要版本。

  Apple macOS Monterey 12.5.1之前版本存在安全漏洞,该漏洞源于越界写入问题。攻击者可利用该漏洞以管理员权限执行任意代码。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://support.apple.com/en-us/HT213413

二、漏洞平台推送情况

    本周漏洞平台推送漏洞4330个。

序号

漏洞平台

漏洞总量

1

360漏洞云

3538

2

漏洞盒子

737

3

补天平台

55

推送总计

4330

三、接报漏洞情况

  本周CNNVD接报漏洞177个,其中信息技术产品漏洞(通用型漏洞)116个,网络信息系统漏洞(事件型漏洞)61个。


序号

报送单位

漏洞总量

1

杭州安恒信息技术股份有限公司

54

2

河南听潮盛世信息技术有限公司

21

3

北京云测信息技术有限公司

20

4

广东网安科技有限公司

15

5

西安四叶草信息技术有限公司

12

6

北京华顺信安信息技术有限公司

9

7

天津市兴先道科技有限公司

8

8

三六零数字安全科技集团有限公司

7

9

河南悦海数安科技有限公司

4

10

个人

3

11

河南东方云盾信息技术有限公司

3

12

天翼数智科技(北京)有限公司

3

13

奇安信网神信息技术(北京)股份有限公司

3

14

北京天融信网络安全技术有限公司

2

15

北京威努特技术有限公司

2

16

浙江宇视科技有限公司

2

17

北京微步在线科技有限公司

1

18

北京长亭科技有限公司

1

19

福建银数信息技术有限公司

1

20

福州大学

1

21

墨菲未来科技(北京)有限公司

1

22

深圳融安网络科技有限公司

1

23

苏州棱镜七彩信息科技有限公司

1

24

西安电子科技大学

1

25

西南交通大学

1

报送总计

177

四、接报漏洞通报情况

  本周CNNVD接报漏洞通报119份。

序号

报送单位

通报总量

1

天翼安全科技有限公司

15

2

三六零数字安全科技集团有限公司

15

3

杭州迪普科技股份有限公司

14

4

深信服科技股份有限公司

13

5

太极计算机股份有限公司

10

6

北京华云安信息技术有限公司

6

7

北京数字观星科技有限公司

6

8

浙江大华技术股份有限公司

4

9

北京神州绿盟科技有限公司

3

10

杭州用九智汇科技有限公司

3

11

河南悦海数安科技有限公司

3

12

天翼数智科技(北京)有限公司

3

13

北京安华金和科技有限公司

2

14

北京海泰方圆科技股份有限公司

2

15

北京永信至诚科技股份有限公司

2

16

北京知道创宇信息技术股份有限公司

2

17

奇安信网神信息技术(北京)股份有限公司

2

18

长亭科技股份有限公司

2

19

浙江宇视科技有限公司

2

20

北京国舜科技股份有限公司

1

21

北京启明星辰信息安全技术有限公司

1

22

北京天融信网络安全技术有限公司

1

23

杭州安恒信息技术股份有限公司

1

24

华为技术有限公司

1

25

内蒙古思沃科技有限公司

1

26

上海安识网络科技有公司

1

27

上海斗象信息科技有限公司

1

28

亚信科技(成都)有限公司

1

29

长春嘉诚信息技术股份有限公司

1

报送总计

119


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-4-14 03:13 , Processed in 0.043555 second(s), 13 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部