2024年11月18日-2024年11月24日
图3 CNVD各行业漏洞处置情况按周统计
中电科金仓(北京)科技股份有限公司、瑞斯康达科技发展股份有限公司、广东保伦电子股份有限公司、北京北大方正电子有限公司、用友网络科技股份有限公司、理光(中国)投资有限公司、上海曼恒数字技术股份有限公司、柯尼卡美能达集团、深圳市乙辰科技股份有限公司、上海冰峰计算机网络技术有限公司、北京星网锐捷网络技术有限公司、厦门四信物联网科技有限公司、深圳市和为顺网络技术有限公司、百度安全应急响应中心、北京惠朗时代科技有限公司、上海海典软件股份有限公司、全讯汇聚网络科技(北京)有限公司、北京华宇信息技术有限公司、畅捷通信息技术股份有限公司、苏州欧信达信息科技有限公司、深圳市蓝凌软件股份有限公司、安徽生命港湾信息技术有限公司、福建四创软件有限公司、北京中创视讯科技有限公司、北京网动网络科技股份有限公司、腾讯安全应急响应中心、北京亿赛通科技发展有限责任公司、上海企望信息科技有限公司、北京金和网络股份有限公司、普联技术有限公司、南京帆软软件有限公司、深圳市吉祥腾达科技有限公司、中科方德软件有限公司、申瓯通信设备有限公司、北京神州视翰科技有限公司、迈普通信技术股份有限公司、深圳达实物联网技术有限公司、深圳市云盟智慧科技有限公司、上海七慧网络科技有限公司、惠州市德赛智储科技有限公司、北京万户网络技术有限公司、吉翁电子(深圳)有限公司、深圳市鸿升光通讯设备有限公司、ONKYO安桥安桥(上海)商贸有限公司、佐藤自动识别系统国际贸易(上海)有限公司、北京人大金仓信息技术股份有限公司、广州网易计算机系统有限公司、广州市保伦电子有限公司、杭州迪普科技股份有限公司、北京山石网科信息技术有限公司、北京智芯微电子科技有限公司、智互联(深圳)科技有限公司、郑州市金水区恒友摄影软件经营部、深圳市东宝信息技术有限公司东莞分公司、上海金慧软件有限公司、妈妈在线国际网络科技有限公司、北京致远互联软件股份有限公司、蓝卓数字科技有限公司、天津环球磁卡集团有限公司、泛微网络科技股份有限公司、北京龙软科技股份有限公司、杭州恩软信息技术有限公司、上海灵当信息科技有限公司、安徽阳光心健科技发展有限公司、深圳市思迅软件股份有限公司、翰霖科技股份有限公司、深圳迈贝尔科技有限公司、深圳国威电子有限公司、科华数据股份有限公司、安科瑞电气股份有限公司、北京字节跳动科技有限公司、保定乐活网络科技有限公司、阿里巴巴集团安全应急响应中心、青岛东软载波科技股份有限公司、富士胶片商业创新(中国)有限公司、融智通科技(北京)股份有限公司、上海华测导航技术股份有限公司、西安优迈智慧矿山研究院有限公司、厦门科拓通讯技术股份有限公司、北京统御至诚科技有限公司、湖南众合百易信息技术有限公司、南京博纳睿通软件科技有限公司、杭州海康威视数字技术股份有限公司、北京润乾信息系统技术有限公司、网是科技股份有限公司、北京趋势威尔网络技术有限公司、郑州金鼓通信技术有限公司、苏州汇川技术有限公司、四川掌上时代科技有限公司、江苏麦维智能科技有限公司、四川易泊时捷智能科技有限公司、深圳市众磊鑫物流有限公司、东莞市同享软件科技有限公司、山石网科通信技术(北京)有限公司、中通云仓科技有限公司、索尼(中国)有限公司、杭州码里码外网络科技有限公司、广州市超易信息科技有限公司、重庆中联信息产业有限责任公司、杭州席媒科技有限公司、烽火通信科技股份有限公司、北京中控智慧科技发展有限公司、北京亚控科技发展有限公司、广联达科技股份有限公司、哈尔滨新中新电子股份有限公司、廊坊市极致网络科技有限公司、龙采科技集团有限责任公司、企查查科技股份有限公司、厦门四信通信科技有限公司、深圳齐心好视通云计算有限公司、深圳市中科网威科技有限公司、神州数码控股有限公司、统信软件技术有限公司、信呼、英飞达软件(上海)有限公司和友讯电子设备(上海)有限公司。
1、Google产品安全漏洞
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,升级权限。
CNVD收录的相关漏洞包括:Google Android权限提升漏洞(CNVD-2024-45222、CNVD-2024-45229、CNVD-2024-45230、CNVD-2024-45231、CNVD-2024-45232、CNVD-2024-45233、CNVD-2024-45234)、Google
Android信息泄露漏洞(CNVD-2024-45226)。其中,除“Google Android信息泄露漏洞(CNVD-2024-45226)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45222
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45226
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45229
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45230
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45231
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45232
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45233
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45234
2、Microsoft产品安全漏洞
Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。Microsoft Windows Hyper-V是微软开发的一种虚拟化技术,主要用于在Windows操作系统上创建和管理虚拟机,Shared Virtual Disk是其中的共享虚拟磁盘。Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序。它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。Microsoft LightGBM是美国微软(Microsoft)公司的一个使用基于树的学习算法的梯度提升框架。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在系统上执行任意代码等。
CNVD收录的相关漏洞包括:Microsoft Excel远程代码执行漏洞(CNVD-2024-45315、CNVD-2024-45317、CNVD-2024-45316、CNVD-2024-45319、CNVD-2024-45318)、Microsoft Windows Hyper-V Shared Virtual Disk权限提升漏洞、Microsoft Exchange Server欺骗漏洞(CNVD-2024-45320)、Microsoft LightGBM远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45315
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45317
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45316
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45319
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45318
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45321
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45320
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45323
3、Siemens产品安全漏洞
Siemens SINEC INS是德国西门子(Siemens)公司的一款为网络基础设施提供中央服务的软件。SCALANCE M-800,MUM-800和S615以及RUGGEDCOM RM1224是工业路由器。SIMATIC S7-PLCSIM模拟S7-1200,S7-1500和其他一些PLC衍生产品,作为SIMATIC STEP 7的一部分发货。SIMATIC step7(TIA Portal)是一个用于配置和编程SIMATIC控制器的工程软件。simmocode ES是simmocode pro配置、调试、操作和诊断的核心软件包。SINAMICS Startdrive调试软件是在TIA Portal中集成SINAMICS驱动器的工程工具。TIA Portal是一款PC软件,可提供从数字规划和集成工程到透明操作的全套西门子数字化自动化服务。TIA Portal Cloud使得在虚拟化环境中使用TIA Portal的主要包和主要选项包成为可能。SINEC NMS是面向数字化企业的新一代网络管理系统。该系统可以实现对网络的集中监控、管理和配置。Solid Edge是一个软件工具组合,可解决各种产品开发过程:3D设计,仿真,制造和设计管理。SIPORT是一个全面、模块化和可靠的系统,用于监控访问套件中的访问控制和时间管理。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞将任意内容写入主机系统文件中的任何位置,在当前进程的上下文中执行代码,造成拒绝服务等。
CNVD收录的相关漏洞包括:Siemens SINEC INS路径遍历漏洞(CNVD-2024-45208)、Siemens SINEC INS操作系统命令注入漏洞(CNVD-2024-45206)、多款Siemens产品输入验证错误漏洞(CNVD-2024-45210)、多款Siemens产品访问控制错误漏洞(CNVD-2024-45209)、多款Siemens产品反序列化漏洞、Siemens SINEC NMS权限分配错误漏洞、Siemens Solid Edge越界读取漏洞(CNVD-2024-45218)、Siemens SIPORT权限提升漏洞。其中,“Siemens SINEC INS路径遍历漏洞(CNVD-2024-45208)、Siemens SINEC INS操作系统命令注入漏洞(CNVD-2024-45206)、多款Siemens产品输入验证错误漏洞(CNVD-2024-45210)、Siemens Solid Edge越界读取漏洞(CNVD-2024-45218)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45208
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45206
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45210
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45209
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45214
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45219
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45218
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45221
4、Cisco产品安全漏洞
Cisco Meeting Server(Acano Conferencing Server)是美国思科(Cisco)公司的一套包含音频、视频的会议服务器软件。Cisco Identity Services Engine是美国思科(Cisco)公司的一款环境感知平台。Cisco Small Business Routers是一款美国思科(Cisco)公司的一个路由器设备。Cisco Unified Industrial Wireless Software是思科公司提供的一款用于工业无线网络的软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在受影响的系统上以明文形式查看敏感信息,执行任意代码等。
CNVD收录的相关漏洞包括:Cisco Meeting Server信息泄露漏洞(CNVD-2024-45293)、Cisco Identity Services Engine Web接口跨站脚本漏洞(CNVD-2024-45298、CNVD-2024-45297、CNVD-2024-45296、CNVD-2024-45295)、Cisco Small Business WEB接口命令注入漏洞、Cisco Small Business WEB接口远程命令执行漏洞、Cisco Unified Industrial Wireless Software命令注入漏洞。其中,“Cisco Small Business WEB接口命令注入漏洞、Cisco Small Business WEB接口远程命令执行漏洞、Cisco Unified Industrial Wireless Software命令注入漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45293
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45298
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45297
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45296
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45295
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45302
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45301
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45300
5、D-Link DSL6740C操作系统命令注入漏洞(CNVD-2024-45428)
D-Link DSL6740C是中国友讯(D-Link)公司的一款无线VDSL路由器。本周,D-Link DSL6740C被披露存在操作系统命令注入漏洞,攻击者可利用该漏洞在系统上执行任意命令。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-45428
小结:本周,Google产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,升级权限。此外,Microsoft、Siemens、Cisco等多款产品被披露存在多个漏洞,攻击者可利用漏洞将任意内容写入主机系统文件中的任何位置,在受影响的系统上以明文形式查看敏感信息,在当前进程的上下文中执行代码,造成拒绝服务等。另外,D-Link DSL6740C被披露存在操作系统命令注入漏洞,攻击者可利用该漏洞在系统上执行任意命令。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
Tenda AC10U是中国腾达(Tenda)公司的一款无线路由器。
Tenda AC10U存在堆栈缓冲区溢出漏洞,该漏洞源于文件/goform/SetPptpServerCfg的函数formSetPPTPServer的参数endIP未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。