本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中.
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞370个,其中高危漏洞159个、中危漏洞178个、低危漏洞33个.
漏洞平均分值为6.
53分.
本周收录的漏洞中,涉及0day漏洞74个(占20%).
其中互联网上出现"TP-LinkWirelessNNetworkCamera操作系统命令注入漏洞、ApacheContinuum'saveInstallation.
action'命令注入漏洞"等零日代码攻击漏洞,请使用相关产品的用户注意加强防范.

此外,本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数648个,与上周(419个)环比增长55%.
图1CNVD收录漏洞近10周平均分值分布图本周漏洞报送情况统计本周,共9家成员单位、合作伙伴及企业用户、个人用户报送了本周收录的全部370个漏洞.
报送情况如表1所示.
其中,奇虎(补天平台)、安天实验室、恒安嘉新、启国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2016年07月18日-2016年07月24日2016年第30期明星辰、等单位报送数量较多.
补天平台、乌云、漏洞盒子、深圳市深信服电子科技有限公司、腾讯玄武实验室及其他个人白帽子向CNVD提交了648个以事件型漏洞为主的原创漏洞.
报送单位或个人漏洞报送数量原创漏洞数量奇虎(补天平台)406406安天实验室3520恒安嘉新25815启明星辰2095天融信580杭州安恒信息技术有限公司530H3C250中国电信集团系统集成有限责任公司230绿盟科技210乌云200200漏洞盒子44深圳市深信服电子科技有限公司55腾讯玄武实验室11CNCERT四川分中心11个人1111报送总计1627648录入总计370(去重)648表1漏洞报送情况统计表本周漏洞按类型和厂商统计本周,CNVD收录了370个漏洞.
其中应用程序漏洞236个,web应用漏洞66个,网络设备漏洞29个,操作系统漏洞23个,数据库漏洞8个,安全产品漏洞8个.
漏洞影响对象类型漏洞数量应用程序漏洞236web应用漏洞66网络设备漏洞29操作系统漏洞23数据库漏洞8安全产品漏洞8表2漏洞按影响类型统计表图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Adobe、Microsoft、Drupal等多家厂商的产品,部分漏洞数量按厂商统计如表3所示.
序号厂商(产品)漏洞数量所占比例1Adobe6317%2Microsoft246%3Drupal185%4Oracle144%5Huawei113%6Cisco113%7TYPO3103%8WordPress92%9OpenBSD92%10其他20155%表3漏洞产品涉及厂商分布统计表本周行业漏洞收录情况本周,CNVD收录了32个电信行业漏洞,4个移动互联网行业漏洞,1个工控系统行业漏洞(如下图所示).
其中,"OracleDatabaseServerOJVM存在未明漏洞、OracleDatabaseServerJDBC存在未明漏洞、OracleDatabaseServerPortableClusterware存在未明漏洞、OracleDatabaseServerDataPumpImport组件存在未明漏洞、OracleFusionMiddlewareGlassFishServer组件存在未明漏洞、OracleFusionMiddlewareJDeveloper组件存在未明漏洞漏洞、HuaweiAR3200Routers远程代码执行漏洞、IBMTravelerXML外部实体注入漏洞、Android本地安全绕过漏洞、GEProficyHMISCADACIMPLICITY本地提权漏洞等"的综合评级为"高危".
详情请参照CNVD相关行业漏洞库链接.
电信行业漏洞链接:http://telecom.
cnvd.
org.
cn/移动互联网行业漏洞链接:http://mi.
cnvd.
org.
cn/工控系统行业漏洞链接:http://ics.
cnvd.
org.
cn/图3电信行业漏洞统计图4移动互联网行业漏洞统计图5工控系统行业漏洞统计本周本周重要漏洞安全告警本周,CNVD整理和发布以下重要安全漏洞信息.
1、Oracle产品安全漏洞7月19日,Oracle发布了2016年7月份的安全更新,修复了其多款产品存在的276个安全漏洞.
受影响的产品包括Oracle数据库(9个)、中间件产品FusionMiddleware(40个);企业管理器网格控制产品OracleEnterpriseManagerGridControl(10个)、电子商务套装软件OracleE-BusinessSuite(23个)、供应链套装软件OracleSupplyChainProductsSuite(25个)、OracleSiebel托管型CRM软件(16个);Hyperion(1个)、PeopleSoft产品(7个)、JDEdwards产品(1个)、Primavera产品(15个)、Virtualization(4个)、RetailApplications(16个)、CommunicationsApplications(16个)、HealthSciencesApplications(5个)、FinancialServicesApplications(4个)、InsuranceApplications(8个)、UtilitiesApplications(3个)、PolicyAutomation(4个);JavaSE(13个)、OracleSun系统产品(34个)和MySQL数据库(22个).
本次安全更新提供了针对130个高危漏洞的补丁,有251个漏洞可被远程利用.
CNVD收录的相关漏洞包括:OracleDatabaseServerOJVM存在未明漏洞、OracleDatabaseServerJDBC存在未明漏洞、OracleDatabaseServerPortableClusterware存在未明漏洞、OracleDatabaseServerDataPumpImport组件存在未明漏洞、OracleFusionMiddlewareGlassFishServer组件存在未明漏洞、OracleFusionMiddlewareJDeveloper组件存在未明漏洞漏洞、OracleWebLogicServer存在未明漏洞(CNVD-2016-05196、CNVD-2016-05195)等.
上述漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/webinfo/show/38952、Adobe产品安全漏洞AdobeFlashPlayer是美国奥多比(Adobe)公司的一款跨平台、基于浏览器的多媒体播放器产品.
该产品支持跨屏幕和浏览器查看应用程序、内容和视频.
本周,上述产品被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码.
CNVD收录的相关漏洞包括:AdobeFlashPlayer内存破坏漏洞(CNVD-2016-04877、CNVD-2016-04878、CNVD-2016-04872、CNVD-2016-04882、CNVD-2016-04883、CNVD-2016-04874、CNVD-2016-04875、CNVD-2016-04876)等.
上述漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-04877http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-04878http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-04872http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-04882http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-04883http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-04874http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-04875http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-048763、Huawei产品安全漏洞HuaweiHonor4C(华为荣耀4C)是中国华为(Huawei)公司的一款智能手机产品.
HuaweiP8是中国华为(Huawei)公司的一款智能手机产品.
HuaweiHonor6是一款智能手机产品.
本周,上述产品被披露存在输入验证、本地提权和缓冲区溢出漏洞,攻击者可利用漏洞提升权限和执行任意代码.
CNVD收录的相关漏洞包括:HuaweiHonor4C驱动输入验证漏洞、HuaweiHonor6SmartPhone本地提权漏洞、HuaweiP8本地缓冲区溢出漏洞、HuaweiHonor4C驱动输入验证漏洞(CNVD-2016-05174、CNVD-2016-05175、CNVD-2016-05176、CNVD-2016-05177)、HuaweiP8本地缓冲区溢出漏洞(CNVD-2016-04990)等.
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05173http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05049http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-04991http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05174http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05175http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05176http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-00177http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-049904、OpenBSD产品安全漏洞OpenBSD是加拿大OpenBSD项目组开发的的一套跨平台的、基于BSD的类UNIX操作系统.
本周,上述产品被披露存在内存破坏和拒绝服务漏洞,攻击者可利用漏洞执行任意代码和发起拒绝服务攻击.
CNVD收录的相关漏洞包括:OpenBSD存在多个漏洞(CNVD-2016-05204、CNVD-2016-05203、CNVD-2016-05202、CNVD-2016-05201、CNVD-2016-05200、CNVD-2016-05199、CNVD-2016-05206、CNVD-2016-05205)等.
上述漏洞的综合评级为"高危".
目前,厂商尚未发布上述漏洞的修补程序.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05204http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05203http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05202http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05201http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05200http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05199http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05206http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-052055、D-LinkDCS-930LCamera命令注入漏洞D-LinkDCS-930L是友讯(D-Link)公司的一款无线监控摄像头.
本周,D-LinkDCS-930L被披露存在命令注入漏洞.
攻击者可利用漏洞执行任意命令.
目前,厂商尚未发布该漏洞的修补程序.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05244更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htmCNVD编号漏洞名称综合评级修复方式CNVD-2016-04860DrupalCoder远程代码执行漏洞高厂商已发布修复方案,请及时下载更新:https://www.
drupal.
org/project/coderCNVD-2016-04859DrupalWebformMultipleFileUpload远程代码执行漏洞高厂商已发布修复方案,请及时下载更新:https://www.
drupal.
org/project/webform_multifileCNVD-2016-04861DrupalRESTWS远程代码执行漏洞高厂商已发布修复方案,请及时下载更新:https://www.
drupal.
org/project/restwsCNVD-2016-04906Linuxutil-linux本地提权漏洞高暂无CNVD-2016-04922MicrosoftWindowsServer权限提升漏洞(CNVD-2016-04922)高用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://technet.
microsoft.
com/security/bulletin/MS16-090CNVD-2016-04929MicrosoftEdge脚本引擎内存破坏漏洞高用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://technet.
microsoft.
com/security/bulletin/MS16-085CNVD-2016-04934SchneiderElectricPelcoDigitalSentryVideoManagementSystem存在未明漏洞高目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://www.
schneider-electric.
com/ww/en/download/document/SEVD-2016-153-01CNVD-2016-04933多款Moxa产品身份验证绕过漏洞高目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://www.
moxa.
com/support/sarch_result.
aspxtype=soft&prod_id=73&type_id=4CNVD-2016-04930TeamPassSQL注入漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://teampass.
net/CNVD-2016-04931JetBrainsPyCharmProfessional本地代码执行漏洞高暂无表4部分重要高危漏洞列表小结:7月19日,Oracle发布了2016年7月份的安全更新,修复了其多款产品存在的276个安全漏洞.
其中,本次安全更新提供了针对130个高危漏洞的补丁,有251个漏洞可被远程利用.
此外,Adobe、Huawei、OpenBSD等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞执行任意代码、提升权限和发起拒绝服务攻击等.
另外,D-LinkDCS-930L被披露存在一个"高危"漏洞.
攻击者可利用漏洞执行任意命令.
建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案.
本周漏洞要闻速递1.
Ubuntu官网论坛遭入侵近日Ubuntu官方论坛被黑,泄露了超过200万数据,本次泄露的用户数据包括IP地址、用户名和电子邮件地址.
经过深入调查后,发现罪魁祸首是论坛插件Forumrunner的SQL注入Xday,因为没有及时打上补丁,才导致了用户数据的泄露.
攻击者利用SQL注入漏洞,从论坛数据库里下载了部分数据,即约200万用户的用户名、电子邮件地址和IP地址信息.
参考链接:http://www.
freebuf.
com/news/109312.
html2.
D-Link云摄像头超过120款产品存在漏洞,约40万台设备受影响之前也有过摄像头存在安全漏洞,隐私被泄露出去的事件.
这次事件的主角轮到了D-Link云摄像头.
一位叫StephenRidley的安全研究员发现了D-Link云摄像头漏洞的存在,并且他还发现了超过120款产品存在相同的漏洞.
自从RCE漏洞可以通过网络连接被执行以后,任何存在这一漏洞D-Link设备通过一个ping命令就能成功连接上,这存在潜在的危险.
研究员声称总共超过40万的D-link设备目前可以在线使用.
参考链接:http://www.
freebuf.
com/news/108870.
html关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家计算机网络应急技术处理协调中心(简称"国家互联网应急中心",英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.