请选择 进入手机版 | 继续访问电脑版
查看: 5728|回复: 0

信息安全漏洞周报(2022年第41期)

[复制链接]
匿名
匿名  发表于 2022-10-12 20:46:56 |阅读模式
  根据国家信息安全漏洞库(CNNVD)统计,本周(2022年10月3日至2022年10月9日)安全漏洞情况如下:

公开漏洞情况

  本周CNNVD采集安全漏洞347个。

接报漏洞情况

  本周CNNVD接报漏洞7978个,漏洞平台推送漏洞7978个。

重大漏洞通报

  微软多个安全漏洞:包括Microsoft Exchange Server多个安全漏洞(CNNVD-202210-001/CVE-2022-41040、CNNVD-202210-002/CVE-2022-41082),经身份验证的攻击者利用服务端请求伪造漏洞可远程访问PowerShell,进而导致在目标系统远程代码执行。Exchange Server多版本受漏洞影响。目前,微软官方已公告上述漏洞并提供临时修复措施,请用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、公开漏洞情况

  根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞347个,漏洞新增数量有所上升。从厂商分布来看谷歌公司新增漏洞最多,有54个;从漏洞类型来看,SQL注入类的安全漏洞占比最大,达到8.93%。新增漏洞中,超危漏洞37个,高危漏洞74个,中危漏洞227个,低危漏洞9个。相应修复率分别为45.95%、74.32%、71.37%和88.89%。根据补丁信息统计,合计242个漏洞已有修复补丁发布,整体修复率为69.74%。
(一) 安全漏洞增长数量情况
  本周CNNVD采集安全漏洞347个。

qw1.jpg

图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
  从厂商分布来看,谷歌公司新增漏洞最多,有54个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

谷歌

54

15.56%

2

三星

33

9.51%

3

华为

33

9.51%

4

思科

15

4.32%

5

Autodesk

15

4.32%

  本周国内厂商漏洞58个,华为公司漏洞数量最多,有33个。国内厂商漏洞整体修复率为79.66%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

  从漏洞类型来看, SQL注入类的安全漏洞占比最大,达到8.93%。漏洞类型统计如表3所示。

表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

SQL注入

31

8.93%

2

缓冲区错误

24

6.92%

3

跨站脚本

14

4.03%

4

代码问题

12

3.46%

5

路径遍历

5

1.44%

6

输入验证错误

4

1.15%

7

访问控制错误

3

0.86%

8

授权问题

2

0.58%

9

命令注入

2

0.58%

10

信息泄露

2

0.58%

11

加密问题

2

0.58%

12

资源管理错误

1

0.29%

13

信任管理问题

1

0.29%

14

跨站请求伪造

1

0.29%

15

数据伪造问题

1

0.29%

16

其他

242

69.74%
(三) 安全漏洞危害等级与修复情况
  本周共发布超危漏洞37个,高危漏洞74个,中危漏洞227个,低危漏洞9个。相应修复率分别为45.95%、74.32%、71.37%和88.89%。根据补丁信息统计,合计242个漏洞已有修复补丁发布,整体修复率为69.74%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

37

17

45.95%

2

高危

74

55

74.32%

3

中危

227

162

71.37%

4

低危

9

8

88.89%

合计

347

242

69.74%
(四) 本周重要漏洞实例
  本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞

漏洞编号

厂商

漏洞实例

是否修复

危害等级

类型

1

其他

CNNVD-202210-203

Apache基金会

Apache Commons JXPath 安全漏洞



超危

2

代码问题

CNNVD-202210-097

WordPress基金会

WordPress plugin Frontend File Manager 代码问题漏洞



高危

3

其他

CNNVD-202210-124

谷歌

Google Golang 安全漏洞



高危

1.Apache CommonsJXPath 安全漏洞(CNNVD-202210-203)

  Apache CommonsJXPath是美国阿帕奇(Apache)基金会基于Java 实现的 XPath 。

  Apache CommonsJXPath 存在安全漏洞。攻击者利用该漏洞通过XPath表达式加载任意Java类,从而执行代码。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47133

2.WordPress plugin Frontend File Manager 代码问题漏洞(CNNVD-202210-097)

  WordPress和WordPressplugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

  WordPress plugin Frontend File Manager 21.3之前版本存在代码问题漏洞。攻击者利用该漏洞可以将文件重命名为任意扩展名,从而在服务器中上传任意文件并执行远程代码。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://wpscan.com/vulnerability/d3d9dc9a-226b-4f76-995e-e2af1dd6b17e

3.Google Golang 安全漏洞(CNNVD-202210-124)

  Google Golang是美国谷歌(Google)公司的一种静态强类型、编译型语言。

  Google Golang 存在安全漏洞。该漏洞源于在转发请求时,ReverseProxy函数包含了无法解析的查询参数。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/golang/go/issues/54663

二、漏洞平台推送情况

    本周漏洞平台推送漏洞7978个。

序号

漏洞平台

漏洞总量

1

补天平台

2667

2

360漏洞云

3708

3

漏洞盒子

1603

推送总计

7978

三、接报漏洞通报情况

   本周CNNVD接报漏洞通报35份。

序号

报送单位

通报总量

1

北京威努特技术有限公司

10

2

三六零数字安全科技集团有限公司

5

3

北京安普诺信息技术有限公司

4

4

北京六方云信息技术有限公司

3

5

奇安信网神信息技术(北京)股份有限公司

3

6

北京数字观星科技有限公司

2

7

杭州安恒信息技术股份有限公司

2

8

安信与诚科技开发有限公司

1

9

北京华顺信安信息技术有限公司

1

10

北京启明星辰信息安全技术有限公司

1

11

北京雪诺科技有限公司

1

12

深信服科技股份有限公司

1

13

新华三技术有限公司

1

报送总计

35

四、重大漏洞通报

CNNVD关于Microsoft Exchange Server

多个安全漏洞的通报

  近日,国家信息安全漏洞库(CNNVD)收到关于Microsoft Exchange Server多个安全漏洞(CNNVD-202210-001/CVE-2022-41040、CNNVD-202210-002/CVE-2022-41082)情况的报送。经身份验证的攻击者利用服务端请求伪造漏洞可远程访问PowerShell,进而导致在目标系统远程代码执行。Exchange Server多版本受漏洞影响。目前,微软官方已公告上述漏洞并提供临时修复措施,请用户及时确认是否受到漏洞影响,尽快采取修补措施。

.漏洞介绍

  Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序。它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。

1、Microsoft Exchange Server安全漏洞(CNNVD-202210-001、CVE-2022-41040):

  经身份验证的攻击者利用该漏洞构造恶意请求,可获取内网访问权限及服务信息。

2、Microsoft Exchange Server安全漏洞(CNNVD-202210-002、CVE-2022-41082):

  联合利用上一漏洞的攻击者可远程访问PowerShell,进而在目标系统远程执行代码。

.危害影响

  经身份验证的攻击者利用服务端请求伪造漏洞可远程访问PowerShell,进而导致在目标系统被远程代码执行。MicrosoftExchange Server 2013、Exchange Server 2016和Exchange Server 2019等版本均受上述漏洞影响。

.修复建议

  目前,微软官方已公告上述漏洞并提供临时修复措施,请用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-4-14 09:53 , Processed in 0.038389 second(s), 13 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部