CNVD漏洞周报2023年第26期
2023-8-6 23:11:26 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

202306月26-20230702



本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞450个,其中高危漏洞220个、中危漏洞205个、低危漏洞25个。漏洞平均分值为6.55。本周收录的漏洞中,涉及0day漏洞371个(占82%),其中互联网上出现“TOTOLINK A7100RU命令注入漏洞(CNVD-2023-51676)、D-Link DIR-600缓冲区溢出漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数7988个,与上周(9819个)环比减少19%。

1 CNVD10

2 CNVD 0day

 
本周,CNVD向银行、保险、能源等重要行业单位通报漏洞事件42起,向基础电信企业通报漏洞事件16起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件1129起,协调教育行业应急组织验证和处高校科研院所系统漏洞事件222起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件53起。

3 CNVD

4 CNCERT

5 CNVD

CNVD

珠海港信息技术股份有限公司、重庆森鑫炬科技有限公司、重庆泛普软件有限公司、中企动力科技股份有限公司、正方软件股份有限公司、浙江万朋数智科技股份有限公司、浙江美术传媒拍卖有限公司、掌如科技服务有限公司、长安马自达汽车有限公司、云南恩捷新材料股份有限公司、友讯电子设备(上海)有限公司、用友网络科技股份有限公司、永中软件股份有限公司、义乌中国小商品城大数据有限公司、研华科技(中国)有限公司、芜湖安得智联科技有限公司、无锡信捷电气股份有限公司、温州莱泽气动科技有限公司、统信软件技术有限公司、天维尔信息科技股份有限公司、天津天堰科技股份有限公司、天津市康婷生物工程集团有限公司、天津生态城投资开发有限公司、腾讯安全应急响应中心、特斯拉(上海)有限公司、台达集团、拓水科技(张家港)有限公司、速达软件技术(广州)有限公司、苏州蓝鹤信息技术有限公司、神州数码集团股份有限公司、深圳坐标软件集团有限公司、深圳维盟科技股份有限公司、深圳市中科网威科技有限公司、深圳市校鸽科技有限公司、深圳市网域科技股份有限公司、深圳市拓普泰尔科技有限公司、深圳市联软科技股份有限公司、深圳市捷顺科技实业股份有限公司、深圳市吉祥腾达科技有限公司、深圳市和为顺网络技术有限公司、深圳市海融易通电子有限公司、深圳市必联电子有限公司、深圳市爱八方健康有限公司、深圳开源互联网安全技术有限公司、深圳华视美达信息技术有限公司、深圳邦健生物医疗设备股份有限公司、上海卓卓网络科技有限公司、上海装盟信息科技有限公司、上海英立视数字科技有限公司、上海尚尚健康管理咨询有限公司、上海纽盾科技股份有限公司、上海明厦物联网科技有限公司、上海居亦科技发展有限公司、上海寰创通信科技股份有限公司、上海酆泽信息技术有限公司、上海斐讯数据通信技术有限公司、上海泛微网络科技股份有限公司、上海繁易信息科技股份有限公司、上海贝锐信息科技股份有限公司、上海宝尊电子商务有限公司、上海百胜软件股份有限公司、熵基科技股份有限公司、商派软件有限公司、山东京帝软件有限公司、厦门四信通信科技有限公司、荣万家生活服务股份有限公司、青岛东软载波智能电子有限公司、千申医疗科技(上海)有限公司、普元信息技术股份有限公司、南阳仲景百信医药科技有限公司、南京科远智慧科技集团股份有限公司、南京访客乐网络科技有限公司、美味不用等(上海)信息科技股份有限公司、迈普通信技术股份有限公司、蚂蚁科技集团股份有限公司、辽源市国安公共自行车有限公司、金锋食品科技(苏州)有限公司、江西志浩电子科技有限公司、济南有人物联网技术有限公司、济南驰骋信息技术有限公司、吉翁电子(深圳)有限公司、惠普贸易(上海)有限公司、湖南润安危物联科技发展有限公司、湖北源尖软件科技有限公司、红门智能科技股份有限公司、河南众寻网信息技术有限公司、杭州叙简科技股份有限公司、杭州雄伟科技开发股份有限公司、杭州雄迈信息技术有限公司(XMSRC)、杭州九麒科技有限公司、杭州海康威视数字技术股份有限公司、哈尔滨新中新电子股份有限公司、广州协众软件科技有限公司、广州图创计算机软件开发有限公司、广州同聚成电子科技有限公司、广州添富信息科技有限责任公司、广州市人易软件技术有限公司、广东申义实业投资有限公司、福州翔升软件开发有限公司、方心科技股份有限公司、东易日盛家居装饰集团股份有限公司、点都互联科技有限公司、道尔智控科技股份有限公司、大农科技股份有限公司、大连万达集团股份有限公司、大连菲尔科技有限公司、成都星锐蓝海网络科技有限公司、成都网旗云科信息技术有限公司、成都任我行软件股份有限公司、成都华嘉利科技有限公司、成都创新互联科技有限公司、禅道软件(青岛)有限公司、北京中科华博科技有限公司、北京易普行科技有限公司、北京星网锐捷网络技术有限公司、北京信诺瑞得软件系统有限公司、北京网康科技有限公司、北京万户网络技术有限公司、北京通达信科科技有限公司、北京润乾信息系统技术有限公司、北京启明星辰信息安全技术有限公司、北京灵州网络技术有限公司、北京久其软件股份有限公司、北京鸿益达科技有限公司、北京宏景世纪软件股份有限公司、北京百卓网络技术有限公司、北京奥博威斯科技有限公司、保定市公共交通有限公司、傲拓科技股份有限公司、安徽旭帆信息科技有限公司、安徽皖通邮电股份有限公司、爱能盛世(广东)教育科技控股股份有限公司、阿里巴巴集团安全应急响应中心、TRENDnetJeeplusDzzOffice

 
 
1北京天融信网络安全技术有限公司、新华三技术有限公司、北京神州绿盟科技有限公司、深信服科技股份有限公司、安天科技集团股份有限公司等单位报送公开收集的漏洞数量较多。河南信安世纪科技有限公司、快页信息技术有限公司、杭州美创科技有限公司、内蒙古中叶信息技术有限责任公司、奇安星城网络安全运营服务(长沙)有限公司、河南东方云盾信息技术有限公司、安徽锋刃信息科技有限公司、联想集团、内蒙古洞明科技有限公司、重庆电信系统集成有限公司、贵州多彩网安科技有限公司、赛尔网络有限公司、杭州默安科技有限公司、信息产业信息安全测评中心、江苏极元信息技术有限公司、北京山石网科信息技术有限公司、博智安全科技股份有限公司、河南省鼎信信息安全等级测评有限公司、北京云科安信科技有限公司(Seraph安全实验室)、河北镌远网络科技有限公司、深圳建安润星安全技术有限公司、内蒙古奥创网安科技有限公司、中能融合智慧科技有限公司、亚信科技(成都)有限公司、山东正中信息技术股份有限公司、超聚变数字技术有限公司、北京墨云科技有限公司、山石网科通信技术股份有限公司、北京珞安科技有限责任公司、河南灵创电子科技有限公司及其他个人白帽子向CNVD提交了7988个以事件型漏洞为主的原创漏洞,其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)、三六零数字安全科技集团有限公司和上海交大向CNVD共享的白帽子报送的5973条原创漏洞信息
1



本周,CNVD收录了450个漏洞。WEB应用257个,应用程序87个,网络设备(交换机、路由器等网络端设备)72个,操作系统19个,智能设备(物联网终端设备)13个,安全产品2
2

6
CNVD涉及AdobeMicrosoftLinux等多家厂商的3
3

CNVD录了46个电信行业漏洞,44个移动互联网行业漏洞,7个工控行业漏洞(如下图所示)。其中,“H3C Magic R300堆栈溢出漏洞、Google Android缓冲区溢出漏洞(CNVD-2023-52817”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
http://telecom.cnvd.org.cn/
http://mi.cnvd.org.cn/
http://ics.cnvd.org.cn/

7

8

9
 

CNVD

1Adobe产品安全漏洞

Adobe Acrobat Reader是美国奥多比(Adobe)公司的一款PDF查看器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行任意代码,导致敏感内存泄露

CNVD收录的相关漏洞包括:Adobe Acrobat and Reader输入验证错误漏洞、Adobe Acrobat and Reader释放后使用漏洞、Adobe Acrobat and Reader越界写入漏洞(CNVD-2023-51680CNVD-2023-51683)、Adobe Acrobat and Reader越界读取漏洞、Adobe Acrobat and Reader缓冲区溢出漏洞(CNVD-2023-51679CNVD-2023-51685CNVD-2023-51684)。其中,除“Adobe Acrobat and Reader越界读取漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51682

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51681

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51680

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51679

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51686

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51685

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51684

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51683

2、IBM产品安全漏洞

IBM PowerVM Hypervisor是美国国际商业机器(IBM)公司的一个应用软件。提供了一个安全且可扩展的虚拟化环境,这些应用程序基于Power Systems平台的高级RAS功能和领先性能而构建。IBM Security Directory Suite是一个可扩展的、基于标准的身份平台,可简化身份和目录管理。IBM Sterling Partner Engagement Manager是一个自动化管理工具。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过发送特制请求在系统上执行任意命令,在获取对HMC的业务访问权限后获取敏感信息,导致拒绝服务等

CNVD收录的相关漏洞包括:IBM Security Directory Suite VA操作系统命令注入漏洞、IBM Security Directory Suite VA信息泄露漏洞(CNVD-2023-51453CNVD-2023-51456CNVD-2023-51455)、IBM PowerVM Hypervisor信息泄露漏洞、IBM Security Directory Suite VA资源管理错误漏洞、IBM Security Directory Suite VA文件上传漏洞、IBM Sterling Partner Engagement Manager跨站脚本漏洞(CNVD-2023-51460)。其中,“IBM Security Directory Suite VA操作系统命令注入漏洞、IBM Security Directory Suite VA资源管理错误漏洞、IBM Security Directory Suite VA文件上传漏洞、IBM Security Directory Suite VA信息泄露漏洞(CNVD-2023-51455)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51454

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51453

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51452

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51458

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51457

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51456

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51455

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51460

3、Linux产品安全漏洞

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致拒绝服务或权限升级,任意代码执行等

CNVD收录的相关漏洞包括:Linux kernel缓冲区溢出漏洞(CNVD-2023-51380CNVD-2023-51379CNVD-2023-51387)、Linux kernel权限提升漏洞(CNVD-2023-51385)、Linux Kernel资源管理错误漏洞(CNVD-2023-51384CNVD-2023-51381)、Linux kernel信息泄露漏洞(CNVD-2023-51386)、Linux kernel拒绝服务漏洞(CNVD-2023-51389)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51381

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51380

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51379

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51385

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51384

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51387

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51386

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51389

4、Microsoft产品安全漏洞

Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序。它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在系统上执行任意代码,在系统上获得提升的权限等

CNVD收录的相关漏洞包括:Microsoft Exchange Server远程代码执行漏洞(CNVD-2023-51368CNVD-2023-51369CNVD-2023-51370CNVD-2023-51371CNVD-2023-51372)、Microsoft Exchange Server权限提升漏洞(CNVD-2023-51374CNVD-2023-51375CNVD-2023-51378)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51368

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51369

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51370

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51371

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51372

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51374

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51375

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51378

5、Tenda G103命令注入漏洞(CNVD-2023-52857

Tenda G103是中国腾达(Tenda)公司的一个专为家庭、SOHO用户设计的GPON光纤接入设备。本周,Tenda G103被披露存在命令注入漏洞。攻击者可利用该漏洞注入获取shell权限的命令。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。


https://www.cnvd.org.cn/flaw/show/CNVD-2023-52857

Adobe产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行任意代码,导致敏感内存泄露。此外,IBMLinuxMicrosoft等多款产品被披露存在多个漏洞,攻击者可利用漏洞通过发送特制请求在系统上执行任意命令,获取敏感信息,导致拒绝服务等。另外,Tenda G103被披露存在命令注入漏洞。攻击者可利用该漏洞注入获取shell权限的命令。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

 

CNVD
1D-Link DIR-600缓冲区溢出漏洞
D-Link DIR-600是中国友讯(D-Link)公司的一款无线路由器
D-Link DIR-600 2.18版本存在缓冲区溢出漏洞,该漏洞源于文件gena.cgi在处理未受信任的输入时出现边界错误,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击
POC
https://github.com/naihsin/IoT/blob/main/D-Link/DIR-600/overflow/README.md

https://www.cnvd.org.cn/flaw/show/CNVD-2023-52856
()广
CNVD
China National Vulnerability DatabaseCNVDCNCERT
CNCERT
CNCERTCNCERT/CC20029
CNCERT
www.cert.org.cn
vreport@cert.org.cn
010-82991537
CNVD

文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247520342&idx=3&sn=4c7fad0d5e610de3889f7c36e4e2b06a&chksm=ce461b46f9319250f76e6549281bf98da3d598c294ea10401ff9acf1e929843f2422ce066be6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh