第86期漏洞态势

第 86 期（ 2019.5.20-2019.5.26 ）

一、本周漏洞基本态势

本周轩辕攻防实验室共收集、整理信息安全漏洞2085个，其中高危漏洞1107个、中危漏洞436个、低危漏洞542个，较上周相比较增加609个，同比增加29%。据统计发现 SQL 注入漏洞是本周占比最大的漏洞，也是据统计以来，除第7期和第40期以外，每周漏洞数量都占比最大的漏洞。

图1 近7周漏洞数量分布图

根据监测结果，本周轩辕攻防实验室共整理漏洞2085个，其中其他行业951个、电信与互联网行业586个、 教育行业143个 、 工业制造行业123个、 医疗与卫生行业62个、 政府部门行业57个、 商业平台行业52个、 能源行业31个、 金融行业30个、 环境保护行业22个、交通行业13个、 新闻行业11个、 水利行业2个、广播与电视行业2个，分布统计图如下所示：

图2 行业类型数量统计

本周漏洞类型分布统计

本周监测共有漏洞2085个，其中，漏洞数量位居首位的是SQL注入漏洞占比为40%，漏洞数量位居第二的是敏感信息泄露漏洞占比21%，位居第三的是弱口令漏洞占比11%，这三种漏洞数量就占总数72%，与上周相比较，发现SQL注入漏洞数量占比增加，敏感信息泄露漏洞数量占比减少，弱口令漏洞数量占比增加，其中SQL注入漏洞数量占比增加10%，敏感信息占比减少 8%， 弱口令漏洞数量占比增加1%；其他几种漏洞仅占总数的28%，这几种漏洞中， XSS跨站脚本攻击漏洞占比9%、 其他漏洞占比6% 、未授权访问/越权漏洞占比4%、 设计缺陷/逻辑漏洞占比3% 、 命令执行漏洞占比3%、 任意文件遍历/下载漏洞占比2% 、CSRF跨站请求伪造漏洞占比1%。本周漏洞类型占比分布图如下：

图3 漏洞类型分布统计

经统计，SQL注入漏洞和弱口令漏洞在其他行业以及电信与互联网行业存在较为明显，敏感信息漏洞在商业平台行业存在较为明显。同时SQL注入漏洞也是本周漏洞类型统计中占比最多的漏洞，广大用户应加强对SQL注入漏洞的防范。SQL注入漏洞在各行业分布统计图如下：

图4 SQL注入漏洞行业分布统计

本周通用型漏洞按影响对象类型统计

WEB应用漏洞368个、应用程序漏洞58个、数据库漏洞37个、安全产品漏洞30个、操作系统漏洞20个、网络设备漏洞6个、智能设备漏洞1个。

图5 漏洞影响对象类型统计图

二、本周通用型产品公告

1 、 CloudBees 产品安全漏洞

CloudBees Jenkins（Hudson Labs）是一套基于 Java 开发的持续集成工具。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过沙盒保护，执行任意代码等。

收录的相关漏洞包括：CloudBeesJenkins AppDynamics Dashboard Plugin信任管理问题漏洞、CloudBees Jenkins Azure VM Agents插件信息泄露漏洞（CNVD-2019-15065）、CloudBeesJenkins Azure VM Agents插件信息泄露漏洞、CloudBeesJenkins Azure VM Agents插件权限许可和访问控制漏洞、CloudBeesJenkins Matrix Project Plugin安全特征问题漏洞、CloudBeesJenkins Job DSL Plugin安全特征问题漏洞、CloudBeesJenkins Credentials Plugin信息泄露漏洞、CloudBeesJenkins PAM Authentication Plugin信息泄露漏洞。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://jenkins.io/security/advisory/2019-03-06/#SECURITY-1087

https://jenkins.io/security/advisory/2019-03-06/#SECURITY-1332

https://jenkins.io/security/advisory/2019-03-06/#SECURITY-1330

https://jenkins.io/security/advisory/2019-03-06/#SECURITY-1331

https://jenkins.io/security/advisory/2019-03-06/#SECURITY-1339

https://jenkins.io/security/advisory/2019-03-06/#SECURITY-1342

https://jenkins.io/security/advisory/2019-05-21/

2、Oracle产品安全漏洞

Oracle PeopleSoft Products是一套企业人力资本管理解决方案。Oracle Supply Chain Products Suite是一套供应链解决方案。Oracle Java SE是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Commerce是一套电子商务解决方案。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞影响数据的保密性和完整性。

收录的相关漏洞包括：Oracle PeopleSoft ProductsPeopleSoft Enterprise ELM访问控制错误漏洞、Oracle Supply ChainProducts Suite Configurator访问控制错误漏洞、Oracle PeopleSoft ProductsPeopleSoft Enterprise HCM Talent Acquisition Manager访问控制错误漏洞、Oracle PeopleSoft Products PeopleSoft Enterprise PTPeopleTools信息泄露漏洞、Oracle PeopleSoft ProductsPeopleSoft Enterprise PT PeopleTools访问控制错误漏洞、Oracle PeopleSoft Products PeopleSoft Enterprise HRMS访问控制错误漏洞、Oracle Java SE访问控制错误漏洞、Oracle Commerce Merchandising组件访问控制错误漏洞。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.oracle.com/technetwork/security-advisory/cpuapr2019verbose-5072824.html

3 、 Google 产品安全漏洞

Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以 Linux 为基础的开 源操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码等。

收录的相关漏洞包括：Google Android Binder驱动程序权限许可和访问控制漏洞、Google Android System权限提升漏洞（CNVD-2019-15175、CNVD-2019-15188、CNVD-2019-15189、CNVD-2019-15194、CNVD-2019-15195、CNVD-2019-15196）、Google Android Media framework权限提升漏洞（CNVD-2019-15201）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://source.android.com/security/bulletin/2019-03-01

4 、 GitLab 产品安全漏洞

GitLab是一款使用Ruby on Rails开发的、自托管的、Git（版本控制系统）项目仓库应用程序。本周，该产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信，打开重定向，导致资源消耗等。

收录的相关漏洞包括：GitLab资源管理错误漏洞、GitLab输入验证错误漏洞、GitLab访问控制错误漏洞（CNVD-2019-14882、CNVD-2019-14949、CNVD-2019-14951、CNVD-2019-14950）、GitLab信息泄露漏洞（CNVD-2019-14812、CNVD-2019-14952）。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://about.gitlab.com/2019/04/01/security-release-gitlab-11-dot-9-dot-4-released/

https://about.gitlab.com/2019/01/31/security-release-gitlab-11-dot-7-dot-3-released/

5 、 ALE Alcatel OmniAccess Wireless Access Point 命令注入漏洞

ALE Alcatel OmniAccess Wireless Access Point是一款无线接入点设备。

ALE Alcatel OmniAccess Wireless Access Point被披露存在命令注入漏洞。攻击者可利用该漏洞执行非法命令。提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.al-enterprise.com/

三、本周重要漏洞攻击验证情况 

1 、 MacDown 远程代码执行漏洞

验证描述

MacDown是一款适用于macOS平台的开源Markdown编辑器。

MacDown 0.7.1 (870)版本中存在远程代码执行漏洞，该漏洞源于程序未能对输入进行过滤，攻击者可利用该漏洞执行任意代码。

验证信息

POC链接：

https://github.com/MacDownApp/macdown/issues/1050

注：以上验证信息(方法)可能带有攻击性，仅供安全研究之用。请广大用户加强对漏洞的防范工作，尽快下载相关补丁。

四、本周安全资讯

1 、 安全人员发现 macOS Gatekeeper 认证漏洞，可获取系统 shell

安全研究人员近日发现了在macOS 10.14.5上的一个安全的漏洞，可以忽略掉系统安全的第一个屏障Gatekeeper来直接运行不安全的应用，并且从而获得了系统的 Shell 权限。Gatekeeper是Mac App Store的一个很关键的防御措施，当你的应用没有被安全签名，系统是无法运行这个应用的。这个漏洞可以让不太了解的用户，通过获取恶意邮件等方式在不知情的情况下运行此应用而给系统带来一定的风险。但是获取Shell是需要系统打开ssh登录等后门。这个对于一般用户来说影响不大。因为一般用户不会激活共享设置里的远程访问功能。此问题已经提交给苹果。预计很快会进行修复。

2 、 GitHubID 为 SandboxEscaper 的用户再次上传 2 个零日漏洞

GitHub ID为SandboxEscaper的用户之前在GitHub上上传了类似的安全功能漏洞之后，漏洞来自Windows错误报告功能以及IE 11模块。成功利用错误报告功能存在的漏洞可让黑客获得提权能力，编辑原先无法访问的文件。而IE 11的漏洞则能够让攻击者在Internet Explorer中注入恶意代码。

附： 第85期漏洞态势

部分数据来源CNVD