请选择 进入手机版 | 继续访问电脑版
查看: 1182|回复: 0

信息安全漏洞周报(2022年第37期)

[复制链接]
匿名
匿名  发表于 2022-9-14 17:06:32 |阅读模式
  根据国家信息安全漏洞库(CNNVD)统计,本周(2022年9月5日至2022年9月11日)安全漏洞情况如下:

公开漏洞情况

  本周CNNVD采集安全漏洞505个。

接报漏洞情况

  本周CNNVD接报漏洞5704个,其中信息技术产品漏洞(通用型漏洞)214个,网络信息系统漏洞(事件型漏洞)197个,漏洞平台推送漏洞5293个。

重大漏洞通报

  Linuxkernel 数字错误漏洞(CNNVD-202208-3763、CVE-2022-2639):成功利用漏洞的攻击者可提升本地用户权限。linuxkernel 3.13-5.18版本受漏洞影响。目前,Linux官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

一、公开漏洞情况

  根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞505个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有69个;从漏洞类型来看,缓冲区错误类的安全漏洞占比最大,达到9.90%。新增漏洞中,超危漏洞60个,高危漏洞147个,中危漏洞281个,低危漏洞17个。相应修复率分别为55.00%、82.99%、72.60%和70.59%。根据补丁信息统计,合计371个漏洞已有修复补丁发布,整体修复率为73.47%。
(一) 安全漏洞增长数量情况
   本周CNNVD采集安全漏洞505个。

qw1.jpg

图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
  从厂商分布来看,WordPress基金会新增漏洞最多,有69个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

WordPress基金会

69

13.66%

2

三星

45

8.91%

3

谷歌

42

8.32%

4

华为

26

5.15%

5

联发科技

23

4.55%

  本周国内厂商漏洞87个,华为公司漏洞数量最多,有26个。国内厂商漏洞整体修复率为69.32%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

  从漏洞类型来看, 缓冲区错误类的安全漏洞占比最大,达到9.90%。漏洞类型统计如表3所示。

表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

缓冲区错误

50

9.90%

2

跨站脚本

49

9.70%

3

代码问题

27

5.35%

4

跨站请求伪造

13

2.57%

5

输入验证错误

12

2.38%

6

SQL注入

11

2.18%

7

资源管理错误

11

2.18%

8

授权问题

11

2.18%

9

路径遍历

6

1.19%

10

命令注入

5

0.99%

11

信息泄露

5

0.99%

12

权限许可和访问控制问题

5

0.99%

13

访问控制错误

3

0.59%

14

格式化字符串错误

3

0.59%

15

信任管理问题

2

0.40%

16

加密问题

2

0.40%

17

操作系统命令注入

2

0.40%

18

代码注入

1

0.20%

19

后置链接

1

0.20%

20

竞争条件问题

1

0.20%

21

其他

285

56.44%
(三) 安全漏洞危害等级与修复情况
  本周共发布超危漏洞60个,高危漏洞147个,中危漏洞281个,低危漏洞17个。相应修复率分别为55.00%、82.99%、72.60%和70.59%。根据补丁信息统计,合计371个漏洞已有修复补丁发布,整体修复率为73.47%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

60

33

55.00%

2

高危

147

122

82.99%

3

中危

281

204

72.60%

4

低危

17

12

70.59%

合计

505

371

73.47%
(四) 本周重要漏洞实例
  本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞

漏洞编号

厂商

漏洞实例

是否修复

危害等级

类型

1

其他

CNNVD-202209-494

Apache基金会

Apache James 安全漏洞



超危

2

其他

CNNVD-202209-304

WordPress基金会

WordPress plugin uContext for Amazon 安全漏洞



高危

3

其他

CNNVD-202209-374

戴尔

Dell BIOS 安全漏洞



高危

1.Apache James 安全漏洞(CNNVD-202209-494)

  Apache James是美国阿帕奇(Apache)基金会的一个完全用 Java 编写的开源 Smtp 和 Pop3 邮件传输代理的 Nntp 新闻服务器。

  Apache James 3.6.3和 3.7.1 之前版本存在安全漏洞。攻击者利用该漏洞可执行命令注入攻击。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://james.apache.org/james/update/2022/08/26/james-3.7.1.html

2.WordPress plugin uContext for Amazon 安全漏洞(CNNVD-202209-304)

  WordPress和WordPressplugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

  WordPress plugin uContext for Amazon 3.9.1版本及之前版本存在安全漏洞,该漏洞源于在~/app/sites/ajax/actions/keyword_save.php文件的doAjax()函数缺少随机数验证。攻击者利用该漏洞可注入恶意 Web 脚本。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.wordfence.com/vulnerability-advisories/#CVE-2022-2541

3.Dell BIOS 安全漏洞(CNNVD-202209-374)

  Dell BIOS是美国戴尔(Dell)公司的一个计算机主板上小型内存芯片上的嵌入式软件。

  Dell BIOS存在安全漏洞。攻击者利用该漏洞通过发送恶意输入来绕过安全检查,从而执行任意代码。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

  https://www.dell.com/support/kbdoc/000202194

二、漏洞平台推送情况

    本周漏洞平台推送漏洞5293个。

序号

漏洞平台

漏洞总量

1

漏洞盒子

4157

2

360漏洞云

1047

3

补天平台

89

推送总计

5293

三、接报漏洞情况

  本周CNNVD接报漏洞411个,其中信息技术产品漏洞(通用型漏洞)214个,网络信息系统漏洞(事件型漏洞)197个。


序号

报送单位

漏洞总量

1

河南听潮盛世信息技术有限公司

100

2

广东默究科技有限公司

88

3

西安四叶草信息技术有限公司

53

4

杭州安恒信息技术股份有限公司

34

5

山东新潮信息技术有限公司

26

6

内蒙古洞明科技有限公司

15

7

奇安信网神信息技术(北京)股份有限公司

13

8

北京安普诺信息技术有限公司

11

9

北京长亭科技有限公司

10

10

杭州迪普科技股份有限公司

6

11

上海安识网络科技有限公司

6

12

北京安天网络安全技术有限公司

5

13

北京华顺信安信息技术有限公司

5

14

河南悦海数安科技有限公司

4

15

上海上讯信息技术股份有限公司

4

16

腾讯公司

4

17

天津市兴先道科技有限公司

4

18

中国电信股份有限公司

4

19

个人

3

20

内蒙古思沃科技有限公司

3

21

南京赛宁信息技术有限公司

2

22

山西轩辕信息安全技术有限公司

2

23

三六零数字安全科技集团有限公司

1

24

北京锐服信科技有限公司

1

25

北京天融信网络安全技术有限公司

1

26

北京微步在线科技有限公司

1

27

博智安全科技股份有限公司

1

28

上海谋乐网络科技有限公司

1

29

西安电子科技大学

1

30

悬镜安全

1

31

中兴通讯

1

报送总计

411

四、接报漏洞通报情况

  本周CNNVD接报漏洞通报79份。

序号

报送单位

通报总量

1

深信服科技股份有限公司

18

2

杭州迪普科技股份有限公司

14

3

浙江大华技术股份有限公司

9

4

北京启明星辰信息安全技术有限公司

6

5

北京永信至诚科技股份有限公司

3

6

北京知道创宇信息技术股份有限公司

3

7

河南悦海数安科技有限公司

3

8

内蒙古思沃科技有限公司

3

9

上海斗象信息科技有限公司

3

10

北京华云安信息技术有限公司

2

11

杭州安恒信息技术股份有限公司

2

12

福建银数信息技术有限公司

1

13

北京时代新威信息技术有限公司

1

14

北京数字观星科技有限公司

1

15

北京天融信网络安全技术有限公司

1

16

道普信息技术有限公司

1

17

恒安嘉新(北京)科技股份公司

1

18

奇安信网神信息技术(北京)股份有限公司

1

19

上海安识网络科技有公司

1

20

深圳融安网络科技有限公司

1

21

天翼数智科技(北京)有限公司

1

22

新华三技术有限公司

1

23

长亭科技股份有限公司

1

24

中国电信股份有限公司

1

报送总计

79

五、重大漏洞通报

CNNVD 关于Linux kernel 数字错误漏洞

情况的通报

  近日,国家信息安全漏洞库(CNNVD)收到关于Linux kernel 数字错误漏洞(CNNVD-202208-3763、CVE-2022-2639)情况的报送。成功利用漏洞的攻击者可提升本地用户权限。linux kernel 3.13-5.18版本受漏洞影响。目前,Linux官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

.漏洞介绍

  Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux Kernel openvswitch 模块在处理大量actions的情况下可能会触发越界写入问题。本地经过身份认证的攻击者可利用此漏洞将低权限用户提升至ROOT权限。

.危害影响

  成功利用漏洞的攻击者可提升本地用户权限。linux kernel 3.13-5.18版本受漏洞影响。

.修复建议

  目前,Linux官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方链接如下:

  https://www.kernel.org/

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表