发布日期:2024-10-01 22:53 点击次数:106
本周瑕玷态势研判情况蕾丝系列
本周信息安全瑕玷挟制合座评价级别为中。
在线三级片国度信息安全瑕玷分享平台(以下简称CNVD)本周共采集、整理信息安全瑕玷677个,其中高危瑕玷161个、中危瑕玷446个、低危瑕玷70个。瑕玷对等分值为5.51。本周收录的瑕玷中,触及0day瑕玷600个(占89%),其中互联网上出现“MetInfo SQL注入瑕玷(CNVD-2021-74293)、Deskpro跨站剧本瑕玷”等零日代码袭击瑕玷。本周CNVD接到的触及党政机关和企劳动单元的事件型瑕玷总额9212个,与上周(4843个)环比加多90%。
图1 CNVD收录瑕玷近10周对等分值散布图
本周瑕玷事件处置情况
本周,CNVD向银行、保障、动力等伏击行业单元通报瑕玷事件27起,向基础电信企业通报瑕玷事件41起,互助CNCERT各分中心考据和处置触及场地伏击部门瑕玷事件461起,互助训诲行业救急组织考据和处置高校科研院所系统瑕玷事件50起,向国度上司信息安全互助机构上报触及部请托系、子站或直属单元信息系统瑕玷事件64起。
此外,CNVD通过已建立的关连机制或涉事单元公开关连渠谈向以下单元通报了其信息系统或软硬件产物存在的瑕玷,具体处置单元情况如下所示:
淄博闪灵采集科技有限公司、珠海金山办公软件有限公司、中铁合肥建筑市政工程联想研究院有限公司、中国大唐集团有限公司、浙江王人治科技股份有限公司、友讯电子开拓(上海)有限公司、兄弟(中国)买卖有限公司、西安兄弟信息科技有限公司、西安交大胜普采集科技有限公司、万商云集(成都)科技股份有限公司、太原迅易科技有限公司、松下电器(中国)有限公司、想科系统(中国)采集工夫有限公司、想爱普(中国)有限公司、世邦通讯股份有限公司、神州数码控股有限公司、深圳市乙辰科技股份有限公司、深圳市迅雷采集工夫有限公司、深圳市尼高企业形象联想有限公司、深圳市锟铻科技有限公司、深圳市警安智能开拓有限公司、深圳市捷视飞通科技股份有限公司、深圳市祯祥鼎盛科技有限公司、上海肯特神态股份有限公司、上海凯京信达科技集团有限公司、上海建文软件科技有限公司、上海华测导航工夫股份有限公司、上海复翼软件开发有限公司、熵基科技股份有限公司、汕头市东博采集科技有限公司、山东金钟科技集团股份有限公司、厦门市灵鹿谷科技有限公司、三星(中国)投资有限公司、全讯集聚采集科技(北京)有限公司、南京怀宇科技有限公司、南京鸿名物联科技有限公司、南昌蓝智科技有限公司、六安校无忧信息科技有限公司、联奕科技股份有限公司、朗坤智谋科技股份有限公司、廊坊市极致采集科技有限公司、金蝶软件(中国)有限公司、佳能(中国)有限公司、湖南三通慧联科技有限公司、湖南建研信息工夫股份有限公司、杭州帷拓科技有限公司、杭州海康威视数字工夫股份有限公司、广州网易野神思系统有限公司、广州王人博采集科技有限公司、广州南边卫星导航仪器有限公司、广州科密股份有限公司、福建银达汇智信息科技股份有限公司、福建福昕软件开发股份有限公司、佛山市顺德区出格软件联想有限公司、飞天诚信科技股份有限公司、东北师大空想软件股份有限公司、成都星锐蓝海采集科技有限公司、北京亚控科技发展有限公司、北京星网锐捷采集工夫有限公司、北京新网数码信息工夫有限公司、北京网康科技有限公司、北京万户采集工夫有限公司、北京青云科技股份有限公司、北京普艾斯科技有限公司、北京派网软件有限公司、北京南琼电子有限包袱公司、北京国炬信息工夫有限公司、北京棣南新宇科技有限公司、北京得特翻新科技有限公司、北京博习园训诲科技有限公司、北京佰才邦工夫股份有限公司、朔方互动科技(北京)有限公司、北大合法集团有限公司、中央电视台、腾讯安全救急反应中心、苹果CMS、若依、ZZCMS、XnSoft、unicms、The Apache Software Foundation、taoCMS、Rancher、PhpaaCMS、Lexmark、JreCms、Irfan Skiljan、gxcms、Eclipse和ACTi。
本周瑕玷报送情况统计
本周报送情况如表1所示。其中,北京天融信采集安全工夫有限公司、新华三工夫有限公司、北京神州绿盟科技有限公司、哈尔滨安天科技集团股份有限公司、北京奇虎科技有限公司等单元报送公开采集的瑕玷数目较多。山东云天安全工夫有限公司、北京山石网科信息工夫有限公司、河南灵创电子科技有限公司、空想集团、南京众智维信息科技有限公司、新疆海狼科技有限公司、亚信科技(成都)有限公司、河南信安世纪科技有限公司、广东蓝爵采集安全工夫股份有限公司、京东云安全、安徽长泰科技有限公司、江苏快页信息工夫有限公司、上海纽盾科技股份有限公司、北京信联科汇科技有限公司、浙江木链物联网科技有限公司、北京安帝科技有限公司、北京网御星云信息工夫有限公司、江西省掌控者信息安全工夫有限公司、北京大学、北京惠而特科技有限公司、星云博创科技有限公司、北京云科安信科技有限公司(Seraph安全实验室)、泰山信息科技有限公司、山东新潮信息工夫有限公司、北京世界和兴科技有限公司、北京远禾科技有限公司、山东泽鹿安全工夫有限公司、内蒙古洞明科技有限公司、中移(杭州)信息工夫有限公司、北京云弈科技有限公司、长春嘉诚信息工夫股份有限公司、内蒙古云科数据劳动股份有限公司、福建省海峡信息工夫有限公司、云南南天电子信息产业股份有限公司、广州安亿信软件科技有限公司、中通服接头联想研究院有限公司、想而听采集科技有限公司、杭州海康威视数字工夫股份有限公司、重庆都会信息科技有限公司、南京树安信息工夫有限公司、北京水木羽林科技有限公司、银保信科技(北京)有限公司、南京领行科技股份有限公司、腾讯公司、深圳市魔方安全科技有限公司、安谧星河实验室偏抓他个东谈主白帽子向CNVD提交了9212个以事件型瑕玷为主的原创瑕玷,其中包括斗象科技(瑕玷盒子)、上海交大和奇安信网神(补天平台)向CNVD分享的白帽子报送的6021条原创瑕玷信息。
表1 瑕玷报送情况统计表
报送单元或个东谈主
瑕玷报送数目
原创瑕玷数
斗象科技(瑕玷盒子)
4413
4413
北京天融信采集安全工夫有限公司
996
10
上海交大
918
918
奇安信网神(补天平台)
690
690
新华三工夫有限公司
302
0
北京神州绿盟科技有限公司
288
19
哈尔滨安天科技集团股份有限公司
276
0
北京奇虎科技有限公司
228
0
确信服科技股份有限公司
197
0
北京启明星辰信息安全工夫有限公司
153
96
恒安嘉新(北京)科技股份公司
153
0
北京数字不雅星科技有限公司
139
0
天津市国瑞数码安全系统股份有限公司
115
0
华为工夫有限公司
95
0
远江盛邦(北京)采集安全科技股份有限公司
47
47
南京联成科技发展股份有限公司
23
23
浙江大华工夫股份有限公司
16
16
西安四叶草信息工夫有限公司
6
6
北京知谈创宇信息工夫有限公司
3
0
北京安信天行科技有限公司
2
2
北京智游网安科技有限公司
1
1
山东云天安全工夫有限公司
371
371
北京山石网科信息工夫有限公司
196
196
河南灵创电子科技有限公司
166
166
空想集团
151
0
南京众智维信息科技有限公司
69
69
新疆海狼科技有限公司
65
65
亚信科技(成都)有限公司
61
14
河南信安世纪科技有限公司
60
60
广东蓝爵采集安全工夫股份有限公司
59
59
京东云安全
57
57
安徽长泰科技有限公司
57
57
江苏快页信息工夫有限公司
47
47
上海纽盾科技股份有限公司
29
29
北京信联科汇科技有限公司
28
28
浙江木链物联网科技有限公司
27
27
北京华顺信安科技有限公司
25
0
北京安帝科技有限公司
24
24
北京网御星云信息工夫有限公司
20
20
江西省掌控者信息安全工夫有限公司
19
19
北京大学
17
17
北京惠而特科技有限公司
16
16
杭州迪普科技股份有限公司
13
0
星云博创科技有限公司
12
12
北京云科安信科技有限公司(Seraph安全实验室)
7
7
泰山信息科技有限公司
7
7
山东新潮信息工夫有限公司
6
6
北京世界和兴科技有限公司
6
6
北京远禾科技有限公司
5
5
山东泽鹿安全工夫有限公司
4
4
内蒙古洞明科技有限公司
4
4
中移(杭州)信息工夫有限公司
3
3
北京云弈科技有限公司
3
3
长春嘉诚信息工夫股份有限公司
3
3
内蒙古云科数据劳动股份有限公司
3
3
福建省海峡信息工夫有限公司
3
3
云南南天电子信息产业股份有限公司
3
3
广州安亿信软件科技有限公司
3
3
中通服接头联想研究院有限公司
2
2
想而听采集科技有限公司
2
2
杭州海康威视数字工夫股份有限公司
2
2
重庆都会信息科技有限公司
2
2
南京树安信息工夫有限公司
2
2
北京水木羽林科技有限公司
1
1
银保信科技(北京)有限公司
1
1
南京领行科技股份有限公司
1
1
腾讯公司
1
1
深圳市魔方安全科技有限公司
1
1
安谧星河实验室
1
1
CNCERT青海分中心
6
6
CNCERT山西分中心
4
4
CNCERT吉林分中心
2
2
CNCERT云南分中心
1
1
个东谈主
1532
1529
报送认为
12271
9212
本周瑕玷按类型和厂商统计
本周,CNVD收录了677个瑕玷。WEB应用279个,应用关节162个,采集开拓(交换机、路由器等采集端开拓)142个,智能开拓(物联网末端开拓)59个,数据库15个,操作系统11个,安全产物9个。
表2 瑕玷按影响类型统计表
瑕玷影响对象类型
瑕玷数目
WEB应用
279
应用关节
162
采集开拓(交换机、路由器等采集端开拓)
142
智能开拓(物联网末端开拓)
59
数据库
15
操作系统
11
安全产物
9
图2 本周瑕玷按影响类型散布
CNVD整理和发布的瑕玷触及D-Link、Lexmark International Inc、Adobe等多家厂商的产物,部分瑕玷数目按厂商统计如表3所示。
表3 瑕玷产物触及厂商散布统计表
序号
厂商(产物)
瑕玷数目
所占比例
1
D-Link
74
11%
2
Lexmark International Inc
29
4%
3
Adobe
17
3%
4
JEESNS
17
2%
5
Microsoft
13
2%
6
EmpireCMS
12
2%
7
lmxcms
11
1%
8
DELL
10
1%
9
VMWare
10
1%
10
其他
484
73%
本周行业瑕玷收录情况
本周,CNVD收录了114个电信行业瑕玷,21个出动互联网行业瑕玷,11个工控行业瑕玷(如下图所示)。
电信行业瑕玷流畅:
出动互联网行业瑕玷流畅:
工控系统行业瑕玷流畅:
图3 电信行业瑕玷统计
图4 出动互联网行业瑕玷统计
图5 工控系统行业瑕玷统计
本周伏击瑕玷安全告警
本周,CNVD整理和发布以下伏击安全瑕玷信息。
1、Microsoft产物安全瑕玷
Microsoft Windows和Microsoft Windows Server都是好意思国微软(Microsoft)公司的产物。Microsoft Windows是一套个东谈主开拓使用的操作系统。Microsoft Windows Server是一套劳动器操作系统。Microsoft Windows DNS是一个域名默契劳动。Microsoft Windows Kernel是Windows操作系统的内核。本周,上述产物被裸露存在多个瑕玷,袭击者可应用该瑕玷完毕良友代码推行。
CNVD收录的关联瑕玷包括:Microsoft Windows和Windows Server良友代码推行瑕玷(CNVD-2021-74287、CNVD-2021-74286、CNVD-2021-74285、CNVD-2021-74290、CNVD-2021-74289、CNVD-2021-74288)、Microsoft Windows Server良友代码推行瑕玷(CNVD-2021-74292、CNVD-2021-74291)。其中,“Microsoft Windows Server良友代码推行瑕玷(CNVD-2021-74291)”瑕玷的玄虚评级为“高危”。现在,厂商仍是发布了上述瑕玷的修补关节。CNVD教唆用户实时下载补丁更新,幸免激发瑕玷关联的采集安全事件。
参考流畅:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74287
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74286
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74285
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74290
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74289
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74288
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74292
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74291
2、Adobe产物安全瑕玷
Adobe Bridge是好意思国奥多比(Adobe)公司的一款文献查抄器。Adobe Genuine Software Service是一款正版软件劳动。Adobe Illustrator 2021是一款矢量绘制软件。Adobe Media Encoder是一款视频和音频编码应用关节。本周,上述产物被裸露存在多个瑕玷,袭击者可应用瑕玷在现时用户的凹凸文中推行淘气代码,完毕权限晋升。
CNVD收录的关联瑕玷包括:Adobe Bridge内存轻松瑕玷(CNVD-2021-74107、CNVD-2021-74106)、Adobe Genuine Software Service探听收尾失误瑕玷、Adobe Illustrator 2021内存轻松瑕玷(CNVD-2021-74110)、Adobe Illustrator 2021操作系统号令注入瑕玷、Adobe Media Encoder内存越界探听瑕玷(CNVD-2021-74111)、Adobe Bridge越界写入瑕玷(CNVD-2021-74117、CNVD-2021-74116)。其中,除 “Adobe Genuine Software Service探听收尾失误瑕玷”外,其余瑕玷的玄虚评级为“高危”。现在,厂商仍是发布了上述瑕玷的修补关节。CNVD教唆用户实时下载补丁更新,幸免激发瑕玷关联的采集安全事件。
参考流畅:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74107
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74106
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74105
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74110
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74108
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74111
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74117
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74116
3、VMWare产物安全瑕玷
Vmware VMware vCenter Server是好意思国威睿(Vmware)公司的一套劳动器和虚构化料理软件。该软件提供了一个用于料理VMware vSphere环境的连合式平台,26.uuu第四色可自动实施和托付虚构基础架构。本周,上述产物被裸露存在多个瑕玷,袭击者可应用该瑕玷在推行淘气代码,赢得对系统的未经授权探听,并推行未经身份考据的虚构机采集树立操作,导致隔断劳动等。
CNVD收录的关联瑕玷包括:VMware vCenter Server跨站剧本瑕玷(CNVD-2021-74276)、VMware vCenter Server代码推行瑕玷、VMware vCenter Server授权问题瑕玷(CNVD-2021-74278、CNVD-2021-74284)、VMware vCenter Server旅途遍历瑕玷、VMware vCenter Server劳动器端肯求伪造瑕玷、VMware vCenter Server隔断劳动瑕玷(CNVD-2021-74281、CNVD-2021-74280)。其中,“VMware vCenter Server代码推行瑕玷”瑕玷的玄虚评级为“高危”。现在,厂商仍是发布了上述瑕玷的修补关节。CNVD教唆用户实时下载补丁更新,幸免激发瑕玷关联的采集安全事件。
参考流畅:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74276
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74275
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74278
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74277
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74282
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74281
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74280
https://www.cnvd.org.cn/flaw/show/CNVD-2021-74284
4、DELL产物安全瑕玷
Dell EMC PowerScale OneFS是一款由API初始的文献系统。本周,上述产物被裸露存在多个瑕玷,袭击者可应用该瑕玷越权获取信息,晋升权限等。
CNVD收录的关联瑕玷包括:Dell EMC PowerScale OneFS信息泄漏瑕玷(CNVD-2021-73938、CNVD-2021-73939、CNVD-2021-73942)、Dell EMC PowerScale OneFS日记纪录不及瑕玷、Dell EMC PowerScale OneFS OS权限晋升瑕玷、Dell EMC PowerScale OneFS OS号令注入瑕玷、Dell EMC PowerScale OneFS权限晋升瑕玷、Dell EMC PowerScale OneFS权限分拨不正确瑕玷。其中,“Dell EMC PowerScale OneFS权限晋升瑕玷”瑕玷的玄虚评级为“高危”。现在,厂商仍是发布了上述瑕玷的修补关节。CNVD教唆用户实时下载补丁更新,幸免激发瑕玷关联的采集安全事件。
参考流畅:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-73938
https://www.cnvd.org.cn/flaw/show/CNVD-2021-73937
https://www.cnvd.org.cn/flaw/show/CNVD-2021-73940
https://www.cnvd.org.cn/flaw/show/CNVD-2021-73939
https://www.cnvd.org.cn/flaw/show/CNVD-2021-73941
https://www.cnvd.org.cn/flaw/show/CNVD-2021-73943
https://www.cnvd.org.cn/flaw/show/CNVD-2021-73942
https://www.cnvd.org.cn/flaw/show/CNVD-2021-73945
5、PDFTools空指针解援用瑕玷
PDFTools是一款将PDF文献赈济为ePUB体式的器具。本周,PDFTools被裸露存在空指针解援用瑕玷。袭击者可应用该瑕玷导致隔断劳动。现在,厂商尚未发布上述瑕玷的修补关节。CNVD教唆宏大用户随时关爱厂商主页,以获取最新版块。参考流畅:https://www.cnvd.org.cn/flaw/show/CNVD-2021-73927
更多高危瑕玷如表4所示,闪耀信息可左证CNVD编号,在CNVD官网进行查询。参考流畅:
表4 部分伏击高危瑕玷列表
CNVD编号
瑕玷称号
玄虚评级
树立神气
CNVD-2021-73943
Dell EMC PowerScale OneFS权限晋升瑕玷
高
厂商已发布了瑕玷树立关节,请实时关爱更新:
https://www.dell.com/support/kbdoc/zh-cn/000190408/dsa-2021-142-dell-powerscale-onefs-security-update-for-multiple-vulnerabilities
CNVD-2021-74107
Adobe Bridge内存轻松瑕玷(CNVD-2021-74107)
高
厂商已发布了瑕玷树立关节,请实时关爱更新:
https://helpx.adobe.com/security/products/bridge/apsb21-69.html
CNVD-2021-74106
Adobe Bridge内存轻松瑕玷(CNVD-2021-74106)
高
现在厂商已发布升级补丁以树立瑕玷,补丁获取流畅:
https://helpx.adobe.com/security/products/bridge/apsb21-69.html
CNVD-2021-74110
Adobe Illustrator 2021内存轻松瑕玷(CNVD-2021-74110)
高
现在厂商已发布升级补丁以树立瑕玷,补丁获取流畅:
https://helpx.adobe.com/security/products/illustrator/apsb21-42.html
CNVD-2021-74108
Adobe Illustrator 2021操作系统号令注入瑕玷
高
现在厂商已发布升级补丁以树立瑕玷,补丁获取流畅:
https://helpx.adobe.com/security/products/illustrator/apsb21-42.html
CNVD-2021-74111
Adobe Media Encoder内存越界探听瑕玷(CNVD-2021-74111)
高
厂商已发布了瑕玷树立关节,请实时关爱更新:
https://helpx.adobe.com/security/products/media-encoder/apsb21-70.html
CNVD-2021-74117
Adobe Bridge越界写入瑕玷(CNVD-2021-74117)
高
厂商已发布了瑕玷树立关节,请实时关爱更新:
https://helpx.adobe.com/security/products/bridge/apsb21-53.html
CNVD-2021-74116
Adobe Bridge越界写入瑕玷(CNVD-2021-74116)
高
厂商已发布了瑕玷树立关节,请实时关爱更新:
https://helpx.adobe.com/security/products/bridge/apsb21-53.html
CNVD-2021-74275
VMware vCenter Server代码推行瑕玷
高
厂商已发布了瑕玷树立关节,请实时关爱更新:
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
CNVD-2021-74291
Microsoft Windows Server良友代码推行瑕玷(CNVD-2021-74291)
高
厂商已发布了瑕玷树立关节,请实时关爱更新:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-34458
小结:本周,Microsoft产物被裸露存在多个瑕玷,袭击者可应用瑕玷完毕良友代码推行。此外,Adobe、VMWare、DELL等多款产物被裸露存在多个瑕玷,袭击者可应用瑕玷越权获取信息,在现时用户的凹凸文中推行淘气代码,完毕权限晋升等。另外,PDFTools被裸露存在空指针解援用瑕玷。袭击者可应用该瑕玷导致隔断劳动。提出关联用户随时关爱上述厂商主页,实时获取树立补丁或责罚决策。
(裁剪:CNVD)