漏洞phpmyadmin下载
phpmyadmin下载 时间:2021-04-13 阅读:()
本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中.
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞213个,其中高危漏洞45个、中危漏洞159个、低危漏洞9个.
漏洞平均分值为5.
69.
本周收录的漏洞中,涉及0day漏洞66个(占31%),其中互联网上出现"DegrauPublicidadeeInternetPlataformadeE-commerceSQL注入漏洞、webERPManufacturing组件SQL注入漏洞"等零日代码攻击漏洞.
本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数884个,与上周(1352个)环比下降35%.
图1CNVD收录漏洞近10周平均分值分布图本周漏洞事件处置情况5.
966.
106.
306.
366.
136.
396.
306.
536.
275.
694.
805.
005.
205.
405.
605.
806.
006.
206.
406.
60CNVD收录漏洞近10周平均分值分布图国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2018年11月26日-2018年12月02日2018年第48期本周,CNVD向基础电信企业通报漏洞事件4起,向银行、证券、保险、能源等重要行业单位通报漏洞事件26起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件306起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件64起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件24起.
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:网际傲游(北京)科技有限公司、广东百城人才网络股份有限公司、北京杰控科技有限公司、合肥汉思信息技术有限责任公司、济南杰飞软件有限公司、浙江易舸软件有限公司、漳州豆壳网络科技有限公司、嘉兴想天信息科技有限公司、北京联达动力信息科技发展有限公司、北京金山云网络技术有限公司、中山市商友网络科技有限公司、东莞市光速网络技术有限公司、梅州市青云客网络科技有限公司、珠海点典视觉设计有限公司、合众商道(大连)科技有限公司、智士软件(北京)有限公司、上海亿速网络科技有限公司、浙大恩特网络科技有限公司、长沙德尚网络科技有限公司、长沙翱云网络科技有限公司、苏州烟火网络科技有限公司、北京康盛新创科技有限责任公司、湖南梦行科技有限公司、淄博闪灵网络科技有限公司、济南泰创软件科技有限公司、中国海事仲裁委员会、易迅软件工作室、兔子影视、老班CMS、LJCMS、Thinksaas、小二胡工作室、和利时集团、中环互联网、春杰工作室、亚马逊、雷风影视、Zzzcms、phpMyAdmin.
本周,CNVD发布了《关于PHPCMS2008存在代码注入漏洞的安全公告》.
详情参见CNVD网站公告内容.
http://www.
cnvd.
org.
cn/webinfo/show/4779本周漏洞报送情况统计本周报送情况如表1所示.
其中,华为技术有限公司、哈尔滨安天科技集团股份有限公司、北京天融信网络安全技术有限公司、新华三技术有限公司、北京启明星辰信息安全技术有限公司等单位报送公开收集的漏洞数量较多.
山东云天安全技术有限公司、北京圣博润高新技术股份有限公司、广州竞远安全技术股份有限公司、中新网络信息安全股份有限公司、安徽锋刃信息科技有限公司、北京国舜科技股份有限公司、南京联成科技发展股份有限公司、内蒙古奥创科技有限公司、上海启疆信息科技有限公司、山石网科通信技术有限公司、北京信联科汇科技有限公司、上海银基信息安全技术股份有限公司及其他个人白帽子向CNVD提交了884个以事件型漏洞为主的原创漏洞,其中包括360网神(补天平台)和漏洞盒子向CNVD共享的白帽子报送的552条原创漏洞信息.
表1漏洞报送情况统计表报送单位或个人漏洞报送数量原创漏洞数量360网神(补天平台)322322漏洞盒子230230华为技术有限公司1930哈尔滨安天科技集团股份有限公司1920北京天融信网络安全技术有限公司14518新华三技术有限公司1430北京启明星辰信息安全技术有限公司1045北京数字观星科技有限公司590恒安嘉新(北京)科技股份公司480北京神州绿盟科技有限公司420中国电信集团系统集成有限责任公司290深信服科技股份有限公司180北京知道创宇信息技术有限公司148四川无声信息技术有限公司40沈阳东软系统集成工程有限公司11山东云天安全技术有限公司5353北京圣博润高新技术股份有限公司2323广州竞远安全技术股份有限公司1717中新网络信息安全股份有限公司1515安徽锋刃信息科技有限公司88北京国舜科技股份有限公司77南京联成科技发展股份有限公司77内蒙古奥创科技有限公司44上海启疆信息科技有限公司22山石网科通信技术有限公司11北京信联科汇科技有限公司11上海银基信息安全技术股份有限公司11CNCERT湖南分中心1414CNCERT四川分中心55CNCERT黑龙江分中心44CNCERT上海分中心44CNCERT重庆分中心22CNCERT福建分中心11CNCERT云南分中心11个人130130报送总计1844884本周漏洞按类型和厂商统计本周,CNVD收录了213个漏洞.
应用程序漏洞162个,操作系统漏洞20个,WEB应用漏洞16个,网络设备漏洞11个,数据库漏洞4个.
表2漏洞按影响类型统计表漏洞影响对象类型漏洞数量应用程序漏洞162操作系统漏洞20WEB应用漏洞16网络设备漏洞11数据库漏洞4图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Oracle、Google、Linux等多家厂商的产品,部分漏洞数量按厂商统计如表3所示.
表3漏洞产品涉及厂商分布统计表序号厂商(产品)漏洞数量所占比例1Oracle7334%2Google157%3Linux115%4IBM94%5WordPress74%6TIBCO53%7TOTOLINK53%8ArtifexSoftware31%9Microsoft31%10其他8238%本周行业漏洞收录情况本周,CNVD收录了20个电信行业漏洞,9个移动互联网行业漏洞,4个工控行业漏洞(如下图所示).
其中,"IBMDB2db2pdcfg缓冲区溢出漏洞、多款Siemens产品开放重定向漏洞、GoogleAndroidSocInfrastructure缓冲区溢出漏洞、OracleWebLogicWEB应用漏洞8%应用程序漏洞76%操作系统漏洞9%数据库漏洞2%网络设备漏洞5%本周CNVD漏洞数量按影响类型分布Server存在未明漏洞(CNVD-2018-24321)"等漏洞的综合评级为"高危".
相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接.
电信行业漏洞链接:http://telecom.
cnvd.
org.
cn/移动互联网行业漏洞链接:http://mi.
cnvd.
org.
cn/工控系统行业漏洞链接:http://ics.
cnvd.
org.
cn/图3电信行业漏洞统计图4移动互联网行业漏洞统计048121620高危中危低危有补丁612212电信行业漏洞评级按周统计高危中危低危有补丁0246810高危中危低危有补丁3606移动互联网行业漏洞评级按周统计高危中危低危有补丁012345高危中危低危有补丁4001工控系统行业漏洞评级按周统计高危中危低危有补丁图5工控系统行业漏洞统计本周重要漏洞安全告警本周,CNVD整理和发布以下重要安全漏洞信息.
1、Google产品安全漏洞GoogleChrome是一款Web浏览器.
Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过沙盒,执行任意代码或发起拒绝服务攻击.
CNVD收录的相关漏洞包括:GoogleAndroidBootloader缓冲区溢出漏洞、GoogleAndroiddebugfs模块缓冲区溢出漏洞、GoogleAndroidSocInfrastructure缓冲区溢出漏洞、GoogleChromePDFium堆缓冲区溢出漏洞(CNVD-2018-24369)、GoogleChromeANGLE内存破坏漏洞、GoogleChromeV8内存错引用漏洞、GoogleChromeV8远程代码执行漏洞、GoogleChromeAppCache沙盒绕过漏洞.
上述漏洞的综合评级为为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24295http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24301http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24299http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24369http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24372http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24373http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24375http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-243762、Linux产品安全漏洞Linuxkernel是美国Linux基金会发布的开源操作系统Linux所使用的内核.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,发起拒绝服务攻击.
CNVD收录的相关漏洞包括:Linuxkernel'mm/vmacache.
c'本地权限提升漏洞、LinuxKernel'fs/proc/base.
c'本地信息泄露漏洞、Linuxkernel信息泄露漏洞(CNVD-2018-24296)、Linuxkernel越界访问漏洞、Linuxkernel内存错误引用漏洞(CNVD-2018-24386、CNVD-2018-24384、CNVD-2018-24387)、Linuxkernel越界访问漏洞(CNVD-2018-24385).
其中,"Linuxkernel内存错误引用漏洞(CNVD-2018-24384)、Linuxkernel越界访问漏洞(CNVD-2018-24385)"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24031http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24029http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24296http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24381http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24386http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24384http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24385http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-243873、Oracle产品安全漏洞OracleE-BusinessSuite是在原来Application(ERP)基础上的扩展,包括ERP(企业资源计划管理)、HR(人力资源管理)、CRM(客户关系管理)等等多种管理软件的集合,是无缝集成的一个管理套件.
OracleFLEXCUBEUniversalBanking是一项实时、在线、全面的全球核心银行业务方案,涵盖零售、企业及投资银行业务.
OracleBankingPayments是一个完整的支付处理解决方案.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞影响机密性、完整性和可用性.
CNVD收录的相关漏洞包括:OracleE-BusinessSuite信息泄露漏洞、OracleFLEXCUBEUniversalBanking信息泄露漏洞(CNVD-2018-24134)、OracleFLEXCUBEUniversalBanking存在未明漏洞(CNVD-2018-24135、CNVD-2018-24136、CNVD-2018-24137)、OracleFLEXCUBEUniversalBanking拒绝服务漏洞(CNVD-2018-24140)、OracleBankingPayments信息泄露漏洞(CNVD-2018-24143)、OracleBankingPayments拒绝服务漏洞.
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24111http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24134http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24135http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24136http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24137http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24140http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24143http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-241494、IBM产品安全漏洞IBMSpectrumProtect(前称TivoliStorageManager)是一套数据保护平台,它为企业提供单一控制和管理点,并支持对所有规模的虚拟、物理和云环境进行备份和恢复.
IBMSpectrumProtectClient是它的客户端程序.
SpectrumProtectforVirtualEnvironments是虚拟环境版本.
IBMMaximoAssetManagement是一套综合性资产生命周期和维护管理解决方案.
IBMWebSpherePortal是一套企业门户软件.
IBMCloud是一套开放式标准的云平台.
WebSphereApplicationServer是其中的一款应用服务器产品,它是JavaEE和Web服务应用程序的平台,也是IBMWebSphere软件平台的基础.
IBMRationalEngineeringLifecycleManager是一套工程生命周期管理软件.
IBMRationalCollaborativeLifecycleManagement是一套协作化生命周期管理解决方案.
RationalQualityManager(RQM)是一套协作的、基于Web的质量管理解决方案.
JazzFoundation是其中的一个软件开发协作平台.
IBMSpectrumSymphony是一套用于在共享网格上运行计算和数据密集型分布式应用程序的企业级管理软件.
IBMDB2是一套关系型数据库管理系统.
本周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码,发起拒绝服务攻击等.
CNVD收录的相关漏洞包括:IBMSpectrumProtectClient和SpectrumProtectforVirtualEnvironments拒绝服务漏洞、IBMMaximoAssetManagement跨站脚本漏洞(CNVD-2018-24264)、IBMWebSpherePortal跨站脚本漏洞(CNVD-2018-24362)、IBMWebSphereApplicationServer信息泄露漏洞(CNVD-2018-24363)、IBMRationalEngineeringLifecycleManagerXML外部实体注入漏洞(CNVD-2018-24366)、IBMJazzFoundation跨站脚本漏洞(CNVD-2018-24367)、IBMSpectrumSymphony信息泄露漏洞、IBMDB2db2pdcfg缓冲区溢出漏洞.
其中,"IBMRationalEngineeringLifecycleManagerXML外部实体注入漏洞(CNVD-2018-24366)、IBMDB2db2pdcfg缓冲区溢出漏洞"的综合评级为"高危".
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24265http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24264http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24362http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24363http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24366http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24367http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24380http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-243885、PbootCMS代码执行漏洞PbootCMS是一款使用PHP语言开发的开源企业建站内容管理系统(CMS).
本周,PbootCMS被披露存在代码执行漏洞.
远程攻击者可利用该漏洞执行代码.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24253更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htm表4部分重要高危漏洞列表CNVD编号漏洞名称综合评级修复方式CNVD-2018-24091TIBCORendezvous跨站请求伪造漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.
tibco.
com/support/advisories/2018/11/tibco-security-advisory-november-6-2018-tibco-rendezvousCNVD-2018-24092MicrosoftExcel远程代码执行漏洞(CNVD-2018-24092)高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://portal.
msrc.
microsoft.
com/zh-CN/security-guidance/advisory/CVE-2018-8577CNVD-2018-24150ApacheHadoop任意文件写入漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://hadoop.
apache.
org/cve_list.
html#cve-2018-8009-http-cve-mitre-org-cgi-bin-cvename-cgi-name-cve-2018-8009-zip-slip-impact-on-apache-hadoopCNVD-2018-24157NetAppSANtricityWebServicesProxy和SANtricityStorageManager命令执行漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://security.
netapp.
com/advisory/ntap-20180612-0001/CNVD-2018-24158SUSEopenbuildservice文件上传漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://bugzilla.
suse.
com/show_bug.
cgiid=736243CNVD-2018-24176TIBCOFTLrealmserver组件跨站请求伪造漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.
tibco.
com/support/advisories/2018/11/tibco-security-advisory-november-6-2018-tibco-ftlCNVD-2018-24247多款Siemens产品开放重定向漏洞高厂商已发布了漏洞修复程序,请及时关注更新:https://support.
industry.
siemens.
com/cs/document/109755826/updates-for-step-7-v15-and-wincc-v15dti=0&lc=en-WWCNVD-2018-24270PHP内存错误引用漏洞(CNVD-2018-24270)高厂商已发布漏洞修复程序,请及时关注更新:https://bugs.
php.
net/patch-display.
phpbug=76409&patch=avoid-double-free.
patch&revision=1528027735CNVD-2018-24305PivotalOperationsManager权限提升漏洞高厂商已发布漏洞修复程序,请及时关注更新:https://pivotal.
io/security/cve-2018-15762CNVD-2018-24310FreeBSD缓冲区溢出漏洞(CNVD-2018-24310)高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.
freebsd.
org/security/advisories/FreeBSD-EN-18:13.
icmp.
asc小结:本周,Google被披露存在多个漏洞,攻击者可利用漏洞绕过沙盒,执行任意代码或发起拒绝服务攻击.
此外,Linux、Oracle、IBM等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码,发起拒绝服务攻击等.
另外,PbootCMS被披露存在代码执行漏洞.
远程攻击者可利用该漏洞执行代码.
建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案.
本周重要漏洞攻击验证情况本周,CNVD建议注意防范以下已公开漏洞攻击验证情况.
1、webERPManufacturing组件SQL注入漏洞验证描述webERP是一套开源的进销存与财务管理系统(ERP系统).
该系统支持库存管理、权限角色管理、订单管理和财务管理等.
Manufacturing是其中的一个组件.
webERP4.
15版本中的Manufacturing组件的CollectiveWorkOrderCost.
php文件存在SQL注入漏洞,远程攻击者可借助'SearchParts'参数利用该漏洞获取企业ERP的敏感信息.
验证信息POC链接:https://github.
com/0xUhaw/CVE-Bins/tree/master/webERP%20SQLI-2参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24185信息提供者华为技术有限公司注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用.
请广大用户加强对漏洞的防范工作,尽快下载相关补丁.
本周漏洞要闻速递1.
WindowsVBScript引擎远程执行代码漏洞(CVE-2018-8373)VBScript引擎处理内存中对象的方式中存在一个远程执行代码漏洞.
该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存.
成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限.
如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统.
然后攻击者可以安装程序;查看,更改或删除数据;或创建具有完全用户权限的新帐户.
参考链接:https://www.
freebuf.
com/vuls/190601.
html2.
西门子警告,控制器平台中存在Linux、GNU错误最近,西门子通知客户,其SIMATICS7-1500工业自动化控制器的多功能平台中部分Linux与GNU组件受到20余个漏洞影响.
据悉,西门子一年前宣布,将通过新多功能平台对SIMATICS7-1500控制器产品组合进行扩展,允许工厂结合单个设备的控制与PC能力在控制器中运行多个应用程序.
用户可以实时运行C++应用程序,但该平台还允许特定客户轻松实现高级语言应用程序.
西门子表示,为确保设备安全,将定期发布更新.
参考链接:https://www.
easyaq.
com/news/1701701661.
shtml关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家计算机网络应急技术处理协调中心(简称"国家互联网应急中心",英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
网址:www.
cert.
org.
cn邮箱:vreport@cert.
org.
cn电话:010-82991537
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞213个,其中高危漏洞45个、中危漏洞159个、低危漏洞9个.
漏洞平均分值为5.
69.
本周收录的漏洞中,涉及0day漏洞66个(占31%),其中互联网上出现"DegrauPublicidadeeInternetPlataformadeE-commerceSQL注入漏洞、webERPManufacturing组件SQL注入漏洞"等零日代码攻击漏洞.
本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数884个,与上周(1352个)环比下降35%.
图1CNVD收录漏洞近10周平均分值分布图本周漏洞事件处置情况5.
966.
106.
306.
366.
136.
396.
306.
536.
275.
694.
805.
005.
205.
405.
605.
806.
006.
206.
406.
60CNVD收录漏洞近10周平均分值分布图国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2018年11月26日-2018年12月02日2018年第48期本周,CNVD向基础电信企业通报漏洞事件4起,向银行、证券、保险、能源等重要行业单位通报漏洞事件26起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件306起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件64起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件24起.
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:网际傲游(北京)科技有限公司、广东百城人才网络股份有限公司、北京杰控科技有限公司、合肥汉思信息技术有限责任公司、济南杰飞软件有限公司、浙江易舸软件有限公司、漳州豆壳网络科技有限公司、嘉兴想天信息科技有限公司、北京联达动力信息科技发展有限公司、北京金山云网络技术有限公司、中山市商友网络科技有限公司、东莞市光速网络技术有限公司、梅州市青云客网络科技有限公司、珠海点典视觉设计有限公司、合众商道(大连)科技有限公司、智士软件(北京)有限公司、上海亿速网络科技有限公司、浙大恩特网络科技有限公司、长沙德尚网络科技有限公司、长沙翱云网络科技有限公司、苏州烟火网络科技有限公司、北京康盛新创科技有限责任公司、湖南梦行科技有限公司、淄博闪灵网络科技有限公司、济南泰创软件科技有限公司、中国海事仲裁委员会、易迅软件工作室、兔子影视、老班CMS、LJCMS、Thinksaas、小二胡工作室、和利时集团、中环互联网、春杰工作室、亚马逊、雷风影视、Zzzcms、phpMyAdmin.
本周,CNVD发布了《关于PHPCMS2008存在代码注入漏洞的安全公告》.
详情参见CNVD网站公告内容.
http://www.
cnvd.
org.
cn/webinfo/show/4779本周漏洞报送情况统计本周报送情况如表1所示.
其中,华为技术有限公司、哈尔滨安天科技集团股份有限公司、北京天融信网络安全技术有限公司、新华三技术有限公司、北京启明星辰信息安全技术有限公司等单位报送公开收集的漏洞数量较多.
山东云天安全技术有限公司、北京圣博润高新技术股份有限公司、广州竞远安全技术股份有限公司、中新网络信息安全股份有限公司、安徽锋刃信息科技有限公司、北京国舜科技股份有限公司、南京联成科技发展股份有限公司、内蒙古奥创科技有限公司、上海启疆信息科技有限公司、山石网科通信技术有限公司、北京信联科汇科技有限公司、上海银基信息安全技术股份有限公司及其他个人白帽子向CNVD提交了884个以事件型漏洞为主的原创漏洞,其中包括360网神(补天平台)和漏洞盒子向CNVD共享的白帽子报送的552条原创漏洞信息.
表1漏洞报送情况统计表报送单位或个人漏洞报送数量原创漏洞数量360网神(补天平台)322322漏洞盒子230230华为技术有限公司1930哈尔滨安天科技集团股份有限公司1920北京天融信网络安全技术有限公司14518新华三技术有限公司1430北京启明星辰信息安全技术有限公司1045北京数字观星科技有限公司590恒安嘉新(北京)科技股份公司480北京神州绿盟科技有限公司420中国电信集团系统集成有限责任公司290深信服科技股份有限公司180北京知道创宇信息技术有限公司148四川无声信息技术有限公司40沈阳东软系统集成工程有限公司11山东云天安全技术有限公司5353北京圣博润高新技术股份有限公司2323广州竞远安全技术股份有限公司1717中新网络信息安全股份有限公司1515安徽锋刃信息科技有限公司88北京国舜科技股份有限公司77南京联成科技发展股份有限公司77内蒙古奥创科技有限公司44上海启疆信息科技有限公司22山石网科通信技术有限公司11北京信联科汇科技有限公司11上海银基信息安全技术股份有限公司11CNCERT湖南分中心1414CNCERT四川分中心55CNCERT黑龙江分中心44CNCERT上海分中心44CNCERT重庆分中心22CNCERT福建分中心11CNCERT云南分中心11个人130130报送总计1844884本周漏洞按类型和厂商统计本周,CNVD收录了213个漏洞.
应用程序漏洞162个,操作系统漏洞20个,WEB应用漏洞16个,网络设备漏洞11个,数据库漏洞4个.
表2漏洞按影响类型统计表漏洞影响对象类型漏洞数量应用程序漏洞162操作系统漏洞20WEB应用漏洞16网络设备漏洞11数据库漏洞4图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Oracle、Google、Linux等多家厂商的产品,部分漏洞数量按厂商统计如表3所示.
表3漏洞产品涉及厂商分布统计表序号厂商(产品)漏洞数量所占比例1Oracle7334%2Google157%3Linux115%4IBM94%5WordPress74%6TIBCO53%7TOTOLINK53%8ArtifexSoftware31%9Microsoft31%10其他8238%本周行业漏洞收录情况本周,CNVD收录了20个电信行业漏洞,9个移动互联网行业漏洞,4个工控行业漏洞(如下图所示).
其中,"IBMDB2db2pdcfg缓冲区溢出漏洞、多款Siemens产品开放重定向漏洞、GoogleAndroidSocInfrastructure缓冲区溢出漏洞、OracleWebLogicWEB应用漏洞8%应用程序漏洞76%操作系统漏洞9%数据库漏洞2%网络设备漏洞5%本周CNVD漏洞数量按影响类型分布Server存在未明漏洞(CNVD-2018-24321)"等漏洞的综合评级为"高危".
相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接.
电信行业漏洞链接:http://telecom.
cnvd.
org.
cn/移动互联网行业漏洞链接:http://mi.
cnvd.
org.
cn/工控系统行业漏洞链接:http://ics.
cnvd.
org.
cn/图3电信行业漏洞统计图4移动互联网行业漏洞统计048121620高危中危低危有补丁612212电信行业漏洞评级按周统计高危中危低危有补丁0246810高危中危低危有补丁3606移动互联网行业漏洞评级按周统计高危中危低危有补丁012345高危中危低危有补丁4001工控系统行业漏洞评级按周统计高危中危低危有补丁图5工控系统行业漏洞统计本周重要漏洞安全告警本周,CNVD整理和发布以下重要安全漏洞信息.
1、Google产品安全漏洞GoogleChrome是一款Web浏览器.
Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过沙盒,执行任意代码或发起拒绝服务攻击.
CNVD收录的相关漏洞包括:GoogleAndroidBootloader缓冲区溢出漏洞、GoogleAndroiddebugfs模块缓冲区溢出漏洞、GoogleAndroidSocInfrastructure缓冲区溢出漏洞、GoogleChromePDFium堆缓冲区溢出漏洞(CNVD-2018-24369)、GoogleChromeANGLE内存破坏漏洞、GoogleChromeV8内存错引用漏洞、GoogleChromeV8远程代码执行漏洞、GoogleChromeAppCache沙盒绕过漏洞.
上述漏洞的综合评级为为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24295http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24301http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24299http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24369http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24372http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24373http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24375http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-243762、Linux产品安全漏洞Linuxkernel是美国Linux基金会发布的开源操作系统Linux所使用的内核.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,发起拒绝服务攻击.
CNVD收录的相关漏洞包括:Linuxkernel'mm/vmacache.
c'本地权限提升漏洞、LinuxKernel'fs/proc/base.
c'本地信息泄露漏洞、Linuxkernel信息泄露漏洞(CNVD-2018-24296)、Linuxkernel越界访问漏洞、Linuxkernel内存错误引用漏洞(CNVD-2018-24386、CNVD-2018-24384、CNVD-2018-24387)、Linuxkernel越界访问漏洞(CNVD-2018-24385).
其中,"Linuxkernel内存错误引用漏洞(CNVD-2018-24384)、Linuxkernel越界访问漏洞(CNVD-2018-24385)"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24031http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24029http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24296http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24381http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24386http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24384http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24385http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-243873、Oracle产品安全漏洞OracleE-BusinessSuite是在原来Application(ERP)基础上的扩展,包括ERP(企业资源计划管理)、HR(人力资源管理)、CRM(客户关系管理)等等多种管理软件的集合,是无缝集成的一个管理套件.
OracleFLEXCUBEUniversalBanking是一项实时、在线、全面的全球核心银行业务方案,涵盖零售、企业及投资银行业务.
OracleBankingPayments是一个完整的支付处理解决方案.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞影响机密性、完整性和可用性.
CNVD收录的相关漏洞包括:OracleE-BusinessSuite信息泄露漏洞、OracleFLEXCUBEUniversalBanking信息泄露漏洞(CNVD-2018-24134)、OracleFLEXCUBEUniversalBanking存在未明漏洞(CNVD-2018-24135、CNVD-2018-24136、CNVD-2018-24137)、OracleFLEXCUBEUniversalBanking拒绝服务漏洞(CNVD-2018-24140)、OracleBankingPayments信息泄露漏洞(CNVD-2018-24143)、OracleBankingPayments拒绝服务漏洞.
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24111http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24134http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24135http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24136http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24137http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24140http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24143http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-241494、IBM产品安全漏洞IBMSpectrumProtect(前称TivoliStorageManager)是一套数据保护平台,它为企业提供单一控制和管理点,并支持对所有规模的虚拟、物理和云环境进行备份和恢复.
IBMSpectrumProtectClient是它的客户端程序.
SpectrumProtectforVirtualEnvironments是虚拟环境版本.
IBMMaximoAssetManagement是一套综合性资产生命周期和维护管理解决方案.
IBMWebSpherePortal是一套企业门户软件.
IBMCloud是一套开放式标准的云平台.
WebSphereApplicationServer是其中的一款应用服务器产品,它是JavaEE和Web服务应用程序的平台,也是IBMWebSphere软件平台的基础.
IBMRationalEngineeringLifecycleManager是一套工程生命周期管理软件.
IBMRationalCollaborativeLifecycleManagement是一套协作化生命周期管理解决方案.
RationalQualityManager(RQM)是一套协作的、基于Web的质量管理解决方案.
JazzFoundation是其中的一个软件开发协作平台.
IBMSpectrumSymphony是一套用于在共享网格上运行计算和数据密集型分布式应用程序的企业级管理软件.
IBMDB2是一套关系型数据库管理系统.
本周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码,发起拒绝服务攻击等.
CNVD收录的相关漏洞包括:IBMSpectrumProtectClient和SpectrumProtectforVirtualEnvironments拒绝服务漏洞、IBMMaximoAssetManagement跨站脚本漏洞(CNVD-2018-24264)、IBMWebSpherePortal跨站脚本漏洞(CNVD-2018-24362)、IBMWebSphereApplicationServer信息泄露漏洞(CNVD-2018-24363)、IBMRationalEngineeringLifecycleManagerXML外部实体注入漏洞(CNVD-2018-24366)、IBMJazzFoundation跨站脚本漏洞(CNVD-2018-24367)、IBMSpectrumSymphony信息泄露漏洞、IBMDB2db2pdcfg缓冲区溢出漏洞.
其中,"IBMRationalEngineeringLifecycleManagerXML外部实体注入漏洞(CNVD-2018-24366)、IBMDB2db2pdcfg缓冲区溢出漏洞"的综合评级为"高危".
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24265http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24264http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24362http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24363http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24366http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24367http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24380http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-243885、PbootCMS代码执行漏洞PbootCMS是一款使用PHP语言开发的开源企业建站内容管理系统(CMS).
本周,PbootCMS被披露存在代码执行漏洞.
远程攻击者可利用该漏洞执行代码.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24253更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htm表4部分重要高危漏洞列表CNVD编号漏洞名称综合评级修复方式CNVD-2018-24091TIBCORendezvous跨站请求伪造漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.
tibco.
com/support/advisories/2018/11/tibco-security-advisory-november-6-2018-tibco-rendezvousCNVD-2018-24092MicrosoftExcel远程代码执行漏洞(CNVD-2018-24092)高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://portal.
msrc.
microsoft.
com/zh-CN/security-guidance/advisory/CVE-2018-8577CNVD-2018-24150ApacheHadoop任意文件写入漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://hadoop.
apache.
org/cve_list.
html#cve-2018-8009-http-cve-mitre-org-cgi-bin-cvename-cgi-name-cve-2018-8009-zip-slip-impact-on-apache-hadoopCNVD-2018-24157NetAppSANtricityWebServicesProxy和SANtricityStorageManager命令执行漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://security.
netapp.
com/advisory/ntap-20180612-0001/CNVD-2018-24158SUSEopenbuildservice文件上传漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://bugzilla.
suse.
com/show_bug.
cgiid=736243CNVD-2018-24176TIBCOFTLrealmserver组件跨站请求伪造漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.
tibco.
com/support/advisories/2018/11/tibco-security-advisory-november-6-2018-tibco-ftlCNVD-2018-24247多款Siemens产品开放重定向漏洞高厂商已发布了漏洞修复程序,请及时关注更新:https://support.
industry.
siemens.
com/cs/document/109755826/updates-for-step-7-v15-and-wincc-v15dti=0&lc=en-WWCNVD-2018-24270PHP内存错误引用漏洞(CNVD-2018-24270)高厂商已发布漏洞修复程序,请及时关注更新:https://bugs.
php.
net/patch-display.
phpbug=76409&patch=avoid-double-free.
patch&revision=1528027735CNVD-2018-24305PivotalOperationsManager权限提升漏洞高厂商已发布漏洞修复程序,请及时关注更新:https://pivotal.
io/security/cve-2018-15762CNVD-2018-24310FreeBSD缓冲区溢出漏洞(CNVD-2018-24310)高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.
freebsd.
org/security/advisories/FreeBSD-EN-18:13.
icmp.
asc小结:本周,Google被披露存在多个漏洞,攻击者可利用漏洞绕过沙盒,执行任意代码或发起拒绝服务攻击.
此外,Linux、Oracle、IBM等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码,发起拒绝服务攻击等.
另外,PbootCMS被披露存在代码执行漏洞.
远程攻击者可利用该漏洞执行代码.
建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案.
本周重要漏洞攻击验证情况本周,CNVD建议注意防范以下已公开漏洞攻击验证情况.
1、webERPManufacturing组件SQL注入漏洞验证描述webERP是一套开源的进销存与财务管理系统(ERP系统).
该系统支持库存管理、权限角色管理、订单管理和财务管理等.
Manufacturing是其中的一个组件.
webERP4.
15版本中的Manufacturing组件的CollectiveWorkOrderCost.
php文件存在SQL注入漏洞,远程攻击者可借助'SearchParts'参数利用该漏洞获取企业ERP的敏感信息.
验证信息POC链接:https://github.
com/0xUhaw/CVE-Bins/tree/master/webERP%20SQLI-2参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2018-24185信息提供者华为技术有限公司注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用.
请广大用户加强对漏洞的防范工作,尽快下载相关补丁.
本周漏洞要闻速递1.
WindowsVBScript引擎远程执行代码漏洞(CVE-2018-8373)VBScript引擎处理内存中对象的方式中存在一个远程执行代码漏洞.
该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存.
成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限.
如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统.
然后攻击者可以安装程序;查看,更改或删除数据;或创建具有完全用户权限的新帐户.
参考链接:https://www.
freebuf.
com/vuls/190601.
html2.
西门子警告,控制器平台中存在Linux、GNU错误最近,西门子通知客户,其SIMATICS7-1500工业自动化控制器的多功能平台中部分Linux与GNU组件受到20余个漏洞影响.
据悉,西门子一年前宣布,将通过新多功能平台对SIMATICS7-1500控制器产品组合进行扩展,允许工厂结合单个设备的控制与PC能力在控制器中运行多个应用程序.
用户可以实时运行C++应用程序,但该平台还允许特定客户轻松实现高级语言应用程序.
西门子表示,为确保设备安全,将定期发布更新.
参考链接:https://www.
easyaq.
com/news/1701701661.
shtml关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家计算机网络应急技术处理协调中心(简称"国家互联网应急中心",英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
网址:www.
cert.
org.
cn邮箱:vreport@cert.
org.
cn电话:010-82991537
- 漏洞phpmyadmin下载相关文档
- 项目phpmyadmin下载
- 投标人phpmyadmin下载
- 漏洞phpmyadmin下载
- 支持phpmyadmin下载
- 支持phpmyadmin下载
- 投标phpmyadmin下载
香港云服务器最便宜价格是多少钱一个月、一年?
香港云服务器最便宜价格是多少钱一个月/一年?无论香港云服务器推出什么类型的配置和活动,价格都会一直吸引我们,那么就来说说香港最便宜的云服务器类型和香港最低的云服务器价格吧。香港云服务器最便宜最低价的价格是多少?香港云服务器只是服务器中最受欢迎的产品。香港云服务器有多种配置类型,如1核1G、2核2G、2核4G、8到16核32G等。这些配置可以满足大多数用户的需求,无论是电商站、视频还是游戏、小说等。...
QQ防红跳转短网址生成网站源码(91she完整源码)
使用此源码可以生成QQ自动跳转到浏览器的短链接,无视QQ报毒,任意网址均可生成。新版特色:全新界面,网站背景图采用Bing随机壁纸支持生成多种短链接兼容电脑和手机页面生成网址记录功能,域名黑名单功能网站后台可管理数据安装说明:由于此版本增加了记录和黑名单功能,所以用到了数据库。安装方法为修改config.php里面的数据库信息,导入install.sql到数据库。...
香港、美国、日本、韩国、新加坡、越南、泰国、加拿大、英国、德国、法国等VPS,全球独立服务器99元起步 湘南科技
全球独立服务器、站群多IP服务器、VPS(哪个国家都有),香港、美国、日本、韩国、新加坡、越南、泰国、加拿大、英国、德国、法国等等99元起步,湘南科技郴州市湘南科技有限公司官方网址:www.xiangnankeji.cn产品内容:全球独立服务器、站群多IP服务器、VPS(哪个国家都有),香港、美国、日本、韩国、新加坡、越南、泰国、加拿大、英国、德国、法国等等99元起步,湘南科技VPS价格表:独立服...
phpmyadmin下载为你推荐
-
iobitcss加载失败css 无法加载重庆网站制作重庆网站制作,哪家公司服务,价格都比较好?Aliasedinternal滴滴估值500亿滴滴拉屎 App 为何能估值 100 亿美金?是怎么计算出来的开放平台企鹅号和腾讯内容开放平台是一样的吗,有什么区别?泉州商标注册泉州本地商标注册要怎么注册?具体流程是什么?欢迎光临本店鸡蛋蔬菜饺子每个10个3元,牛肉蔬菜饺子每10个5元,欢迎光临本店! 汉译英最土团购程序公司要开设一个团购项目,应该如何运作?kingcmsKingCMS 开始该则呢么设置呢?