第88期漏洞态势

栏目: 数据库 · Oracle · 发布时间: 5年前

内容简介:本周轩辕攻防实验室共收集、整理信息安全漏洞1979个,其中高危漏洞787个、中危漏洞1032个、低危漏洞160个,较上周相比较增加531个,同比增加26.8%。据统计发现敏感信息泄露漏洞是本周占比最大的漏洞。

88 期( 2019.6.3-2019.6.9

一、本周漏洞基本态势

本周轩辕攻防实验室共收集、整理信息安全漏洞1979个,其中高危漏洞787个、中危漏洞1032个、低危漏洞160个,较上周相比较增加531个,同比增加26.8%。据统计发现敏感信息泄露漏洞是本周占比最大的漏洞。

第88期漏洞态势

图1 近7周漏洞数量分布图

根据监测结果,本周轩辕攻防实验室共整理漏洞1979个,其中其他行业825个、电信与互联网行业438个、 商业平台行业281个 工业制造行业156个、教育行业98个、 政府部门行业38个、 医疗卫生行业37个、 能源行业33个、 环保行业21个、 金融行业18个、 交通行业16个、新闻行业14个、 市政行业2个、 水利行业1个,广播电视行业1个,分布统计图如下所示:

第88期漏洞态势

图2 行业类型数量统计

本周漏洞类型分布统计

本周监测共有漏洞1979个,其中,漏洞数量位居首位的是敏感信息泄露漏洞占比为41%,漏洞数量位居第二的是XSS跨站脚本攻击漏洞占比20%,位居第三的是 SQL 注入漏洞占比16%,这三种漏洞数量就占总数77%,与上周相比较,发现敏感信息泄露漏洞数量占比增加,XSS跨站脚本攻击漏洞数量占比增加,SQL注入漏洞数量占比减少,其中敏感信息泄露漏洞数量占比增加28%,XSS跨站脚本攻击漏洞数量占比增加 14%,SQL注入 漏洞数量占比减少15%;其他几种漏洞仅占总数的23%,这几种漏洞中, 后台弱口令漏洞占比8%、 其他漏洞占比4% 、未授权访问/越权 漏洞占比3%、 命令执行漏洞占比3%设计缺陷/逻辑漏洞占比3% 、任意文件遍历/下载 漏洞占比1.5%、CSRF跨站请求伪造漏洞占比0.5%。本周漏洞类型占比分布图如下:

第88期漏洞态势

图3 漏洞类型分布统计

经统计,敏感信息泄露漏洞、XSS跨站脚本攻击漏洞以及SQL注入漏洞在 电信与互联网行业 存在较为明显。同时敏感信息泄露漏洞也是本周漏洞类型统计中占比最多的漏洞,广大用户应加强对敏感信息泄露漏洞的防范。敏感信息泄露漏洞在各行业分布统计图如下:

第88期漏洞态势

图4 敏感信息漏洞行业分布统计

本周通用型漏洞按影响对象类型统计

WEB应用漏洞412个、应用程序 漏洞49个、 操作系统漏洞22个、安全产品漏洞18个、数据库漏洞16个、网络设备漏洞5个、智能设备漏洞2个。

第88期漏洞态势

图5 漏洞影响对象类型统计图

二、本周通用型产品公告

1 Adobe 产品安全漏洞

Adobe Reader(也被称为Acrobat Reader)是一款PDF文件阅读软件。Adobe Acrobat是一款PDF编辑软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码。

收录的相关漏洞包括:Adobe Acrobat和Reader信息泄露漏洞(CNVD-2019-16540)、Adobe Acrobat和Reader堆溢出漏洞(CNVD-2019-16536、CNVD-2019-16535)、Adobe Acrobat和Reader类型混淆漏洞(CNVD-2019-16538、CNVD-2019-16537、CNVD-2019-16539)、Adobe Acrobat和Reader越界读取漏洞(CNVD-2019-16541、CNVD-2019-16542)。其中,除“Adobe Acrobat和Reader越界读取漏洞(CNVD-2019-16541、CNVD-2019-16542)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://helpx.adobe.com/security/products/acrobat/apsb19-13.html

https://helpx.adobe.com/security/products/acrobat/apsb19-17.html

https://helpx.adobe.com/security/products/acrobat/apsb19-02.html

https://helpx.adobe.com/security/products/acrobat/apsb18-30.html

https://helpx.adobe.com/security/products/acrobat/apsb18-41.html

2 Oracle 产品安全漏洞

Oracle E-Business Suite(电子商务套件)是一套全面集成式的全球业务管理软件。Oracle Database Server是一套关系数据库管理系统。Oracle MySQL是一套开源的关系数据库管理系统。Oracle Retail Applications是一套零售应用商店解决方案。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞影响数据的保密性、完整性和可用性。

收录的相关漏洞包括:OracleE-Business Suite One-to-One Fulfillment访问控制错误漏洞、Oracle Database Server Core RDBMS访问控制错误漏洞、Oracle Database Server Java VM访问控制错误漏洞、Oracle MySQL Server访问控制错误漏洞(CNVD-2019-16278、CNVD-2019-16397)、Oracle Retail Applications Retail Convenience StoreBack Office访问控制错误漏洞、OracleRetail Applications MICROS Relate CRM Software访问控制错误漏洞、Oracle Retail Applications MICROS Lucas访问控制错误漏洞。其中,“Oracle E-Business Suite One-to-One Fulfillment访问控制错误漏洞、Oracle Database Server Core RDBMS访问控制错误漏洞、Oracle Database Server Java VM访问控制错误漏洞、Oracle Retail Applications Retail Convenience StoreBack Office访问控制错误漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.oracle.com/technetwork/security-advisory/cpuapr2019verbose-5072824.html

3 Microsoft 产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Windows Graphics Device Interface(GDI)是其中的一个图形设备接口。Microsoft ChakraCore是使用在Edge浏览器中的一个开源的ChakraJavaScript脚本引擎的核心部分,也可作为单独的JavaScript引擎使用。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。本周,上述产品被披露存在缓冲区溢出和远程代码执行漏洞,攻击者可利用漏洞执行任意代码,造成内存破坏。

收录的相关漏洞包括:Microsoft Edge和ChakraCore缓冲区溢出漏洞(CNVD-2019-16511)、Microsoft Windows GDI远程代码执行漏洞(CNVD-2019-16510)、Microsoft ChakraCore和Microsoft Edge远程代码执行漏洞(CNVD-2019-16745、CNVD-2019-16746、CNVD-2019-16748)、Microsoft Edge远程代码执行漏洞(CNVD-2019-16747)、Microsoft Edge和ChakraCore远程代码执行漏洞(CNVD-2019-16749)、多款Microsoft产品远程代码执行漏洞(CNVD-2019-16750)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0593

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0773

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0609

4 Linux 产品安全漏洞

Linux kernel是美国 Linux 基金会发布的开源操作系统Linux所使用的内核。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取网站管理员访问权限,发起拒绝服务攻击等。

收录的相关漏洞包括:Linux kernel输入验证错误漏洞、Linux kernel内存泄露漏洞、Linux kernel内存分配失败处理不当漏洞、Linux kernel拒绝服务漏洞(CNVD-2019-16431、CNVD-2019-16432、CNVD-2019-16590、CNVD-2019-16599、CNVD-2019-16428)。其中,“Linux kernel输入验证错误漏洞、Linux kernel拒绝服务漏洞(CNVD-2019-16590、CNVD-2019-16599)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://git.kernel.org/pub/scm/linux/kernel/git/broonie/sound.git/commit/?h=for-5.3&id=a54988113985ca22e414e132054f234fc8a92604

https://git.kernel.org/pub/scm/linux/kernel/git/gregkh/tty.git/commit/?h=tty-next&id=84ecc2f6eb1cb12e6d44818f94fa49b50f06e6ac

https://git.kernel.org/pub/scm/linux/kernel/git/tip/tip.git/commit/?id=4e78921ba4dd0aca1cc89168f45039add4183f8e

https://git.kernel.org/pub/scm/linux/kernel/git/davem/net.git/commit/?id=425aa0e1d01513437668fa3d4a971168bbaa8515

https://cgit.freedesktop.org/drm/drm-misc/commit/?id=9f1f1a2dab38d4ce87a13565cf4dc1b73bef3a5f

https://git.kernel.org/pub/scm/linux/kernel/git/davem/sparc.git/commit/?id=80caf43549e7e41a695c6d1e11066286538b336f

https://git.kernel.org/pub/scm/linux/kernel/git/davem/net.git/commit/?id=95baa60a0da80a0143e3ddd4 d3725758b4513825

5 Samsung SCX-824 跨站脚本漏洞

Samsung SCX-824是一款多功能打印机。Samsung SCX-824被披露存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:

https://www.samsung.com/

三、本周重要漏洞攻击验证情况 

1 WordPress 插件 Ad-Manager 开放重定向漏洞

验证描述

WordPress是WordPress软件基金会的一套使用 PHP 语言开发的博客平台,该平台支持在PHP和 MySQL 的服务器上架设个人博客网站。

WordPress插件Ad-Manager存在开放重定向漏洞。攻击者可成功启动网络钓鱼欺诈,并且窃取用户凭据。

验证信息

POC链接:

https://www.exploitalert.com/view-details.html?id=33204

注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用。请广大用户加强对漏洞的防范工作,尽快下载相关补丁。

四、本周安全资讯

1、全新的RCE漏洞影响了近一半电子邮件服务器

近日,安全研究人员透露,一个关键的远程命令执行(RCE)安全漏洞影响了超过一半的互联网电子邮件服务器。该漏洞影响Exim,一种邮件传输代理(MTA)服务,用于将电子邮件从发件人中继到收件人。根据2019年6月对互联网上可见的所有邮件服务器的调查,57%(507,389)的电子邮件服务器运行Exim服务,还有报告称实际数量为该数字的10倍,即540万。该漏洞允许本地或远程攻击者以root用户身份在Exim服务器上运行命令并接管系统。在发给Linux发行版维护者的电子邮件中,Qualys表示该漏洞“非常容易被利用”,并预计攻击者会在未来几天内提出漏洞利用代码。

2、 黑客可劫持远程桌面会话,绕过Windows锁屏

卡耐基梅隆大学的CERT协调中心近日发布预警称, Windows远程桌面服务的网络级身份验证(NLA)功能可被黑客利用,绕过Windows的锁屏。黑客主要是通过0-day漏洞(CVE-2019-9510)劫持现有的远程桌面服务会话,绕过锁屏并获取对计算机的访问权限。即使计算机开启双因素认证也无济于事。这个漏洞主要影响 Windows 1803之后的Windows 10 版本,以及Server 2019或更新版本。目前,微软尚未发布相关补丁。

附: 第87期漏洞态势

第88期漏洞态势

部分数据来源CNVD

第88期漏洞态势


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

绝对价值

绝对价值

[美] 伊塔马尔·西蒙森 艾曼纽·罗森 / 钱峰 / 中国友谊出版公司 / 2014-7 / 45.00元

绝对价值指的是经用户体验的产品质量,即使用某件产品或者享受某项服务的切实感受。 过去,消费就像是押宝。一件商品好不好,一家餐馆的环境如何,没有亲身体验过消费者无从得知,只能根据营销人员提供的有限信息去猜测。品牌、原产地、价位、广告,这些重要的质量线索左右着消费者的选择。 然而,互联网和新兴科技以一种前所未有的速度改变了商业环境。当消费者可以在购买前查看到交易记录和消费者评价,通过便捷的......一起来看看 《绝对价值》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器