Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:9559 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
信息安全漏洞周报(2020年第11期)
本文来自公众号:CNNVD安全动态   2020.03.25 16:23:44



公开漏洞情况

本周CNNVD采集安全漏洞373个,与上周(648个)相比减少了42.44%。

接报漏洞情况

本周CNNVD接报漏洞1390个,其中信息技术产品漏洞(通用型漏洞)23个,网络信息系统漏洞(事件型漏洞)1367个。


一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞373个,漏洞新增数量有所下降。从厂商分布来看Adobe公司新增漏洞最多,有41个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到16.62%。新增漏洞中,超危漏洞65个,高危漏洞84个,中危漏洞179个,低危漏洞45个。相应修复率分别为76.92%、89.29%、73.18%和82.22%。根据补丁信息统计,合计293个漏洞已有修复补丁发布,整体修复率为78.55%。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞373与上周(648个)相比减少了42.44%。图1为近五周漏洞新增数量统计图。


图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,Adobe公司新增漏洞最多,有41个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

Adobe

41

10.99%

2

cPanel

19

5.09%

3

ONAP 项目

18

4.83%

4

NETSAS

12

3.22%

5

Red  Hat

10

2.68%

本周国内厂商漏洞23个,Foxit公司漏洞数量最多,有9个。国内厂商漏洞整体修复率为95.65%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到16.62%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

跨站脚本

62

16.62%

2

缓冲区错误

40

10.72%

3

代码问题

24

6.43%

4

SQL 注入

14

3.75%

5

输入验证错误

14

3.75%

6

代码注入

11

2.95%

7

授权问题

9

2.41%

8

信息泄露

8

2.14%

9

跨站请求伪造

7

1.88%

10

资源管理错误

7

1.88%

11

操作系统命令注入

6

1.61%

12

注入

6

1.61%

13

访问控制错误

6

1.61%

14

命令注入

4

1.07%

15

路径遍历

3

0.80%

16

参数注入

1

0.27%

17

权限许可和访问控制问题

1

0.27%

18

日志信息泄露

1

0.27%

19

其他

149

39.95%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞65个,高危漏洞84个,中危漏洞179个,低危漏洞45个。相应修复率分别为76.92%、89.29%、73.18%和82.22%。根据补丁信息统计,合计293个漏洞已有修复补丁发布,整体修复率为78.55%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

65

50

76.92%

2

高危

84

75

89.29%

3

中危

179

131

73.18%

4

低危

45

37

82.22%

合计

373

293

78.55%

四) 本周重要漏洞实例

本期重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞

漏洞编号

厂商

漏洞实例

是否修复

危害等级

类型

1

缓冲区错误

CNNVD-202003-1064

Adobe

Adobe Photoshop CC Photoshop 缓冲区错误漏洞

超危

2

缓冲区错误

CNNVD-202003-1145

Foxit

Foxit Studio Photo 缓冲区错误漏洞

高危

3

输入验证错误

CNNVD-202003-938

Apache 基金会

Apache Geode 输入验证错误漏洞

高危

1. Adobe Photoshop CC 和Photoshop缓冲区错误漏洞(CNNVD-202003-1064)

Adobe Photoshop 是美国奥多比(Adobe)公司的一套图片处理软件。该软件主要用于处理图片。

基于Windows和macOS平台的Adobe Photoshop CC 2019 20.0.8及之前版本和Photoshop 202021.1及之前版本中存在缓冲区错误漏洞。攻击者可利用该漏洞执行任意代码。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://helpx.adobe.com/security/products/photoshop/apsb20-14.html

2. Foxit Studio Photo 缓冲区错误漏洞(CNNVD-202003-1145)

Foxit Studio Photo 是中国福昕(Foxit)公司的一套图像编辑软件。

基于Windows平台的FoxitStudio Photo 3.6.6.918及之前版本中TIF文件的处理存在缓冲区错误漏洞,该漏洞源于程序在将用户提交的输入复制到固定长度的缓冲区(栈)之前,没有对其进行正确验证。远程攻击者可借助恶意的页面或文件利用该漏洞在当前进程上下文中执行代码。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.foxitsoftware.com/support/security-bulletins.php

3. Apache Geode 输入验证错误漏洞(CNNVD-202003-938)

Apache Geode 是美国阿帕奇(Apache)软件基金会的一套应用于分布式云架构中提供对数据密集型应用程序实时和一致访问数据的管理平台。

Apache Geode 1.9.0 版本中存在安全漏洞。该漏洞源于在ssl-endpoint-identification-enabled设置为true时,TLS被启用,但Apache Geode无法在SSL握手期间对证书SAN中的条目执行主机名验证。攻击者可通过实施中间人攻击利用该漏洞入侵集群内通信。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://lists.apache.org/thread.html/r3342077ac4798631300366be86e545d0c08753cca8fd2663867fe200%40%3Cdev.geode.apache.org%3E

二、接报漏洞情况

本周CNNVD接报漏洞1390个,其中信息技术产品漏洞(通用型漏洞)23个,网络信息系统漏洞(事件型漏洞)1367个。

表5 本周漏洞报送情况

序号

报送单位

漏洞总量

1

上海斗象信息科技有限公司

746

2

网神信息技术(北京)股份有限公司

486

3

北京华云安信息技术有限公司

141

4

中国电信集团系统集成有限责任公司云计算安全与服务事业部

5

5

西安交大捷普网络科技有限公司

3

6

北京启明星辰信息安全技术有限公司

3

7

知道创宇

1

8

北京天融信网络安全技术有限公司

1

9

北京智游网安科技有限公司

1

10

杭州木链物联网科技有限公司

1

11

恒安嘉新(北京)科技股份公司

1

12

北京国舜科技股份有限公司

1

报送总计

1390