信息安全漏洞月报(2024年9月)
2024-10-11 00:52:0 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

点击蓝字 关注我们

漏洞态势

根据国家信息安全漏洞库(CNNVD)统计,2024年9月采集安全漏洞共2443个。
本月接报漏洞1251个,其中信息技术产品漏洞(通用型漏洞)728个,网络信息系统漏洞(事件型漏洞)523个。漏洞平台推送漏洞63882个。
重大漏洞通报
GitLab 安全漏洞(CNNVD-202409-1044/CVE-2024-6678):GitLab CE/EE 8.14至17.1.7之前版本、17.2至17.2.5之前版本和17.3至17.3.2之前版本存在安全漏洞,该漏洞源于允许攻击者在某些情况下以任意用户身份触发pipeline。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://gitlab.com/gitlab-org/gitlab/-/tags

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,2024年9月新增安全漏洞共2443个,从厂商分布来看,WordPress漏洞数量最多,共发布340个;从漏洞类型来看,跨站脚本漏洞占比最大,达到9.37%。本月新增漏洞中,超危漏洞269个、高危漏洞760个、中危漏洞1332个、低危漏洞82个,相应修复率分别为70.64%、85.93%、77.33%以及79.27%。合计1938个漏洞已有修复补丁发布,本月整体修复率79.33%。

1.1 漏洞增长概况

2024年9月新增安全漏洞2443个,与上月(2885个)相比减少了15.33%。根据近6个月漏洞新增数量统计图,平均每月漏洞数量达到3368个。

图1  2024年4月至9月漏洞新增数量统计图

1.2 漏洞分布情况

1.2.1 漏洞厂商分布

2024年9月厂商漏洞数量分布情况如表1所示,WordPress漏洞达到340个,占本月漏洞总量13.92%。

表1  2024年9月新增漏洞排名前十厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

WordPress

340

13.92%

2

Linux

283

11.58%

3

Apple

91

3.73%

4

Microsoft

88

3.60%

5

Google

49

2.01%

6

居易

38

1.56%

7

SAMSUNG

37

1.52%

8

Open

Networking

37

1.52%

9

Cisco

30

1.23%

10

Adobe

28

1.15%

1.2.2 漏洞类型分布

2024年9月漏洞类型分布情况如表2所示,其中跨站脚本类漏洞所占比例最大,约为9.37%。

表2  2024年9月漏洞类型统计表
序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
229
9.37%
2
SQL注入
92
3.77%
3
代码问题
68
2.78%
4
缓冲区错误
40
1.64%
5
输入验证错误
31
1.27%
6
访问控制错误
26
1.06%
7
资源管理错误
25
1.02%
8
路径遍历
23
0.94%
9
授权问题
22
0.90%
10
信息泄露
22
0.90%
11
操作系统命令注入
20
0.82%
12
代码注入
16
0.66%
13
命令注入
14
0.57%
14
注入
13
0.53%
15
跨站请求伪造
12
0.49%
16
日志信息泄露
6
0.25%
17
信任管理问题
5
0.21%
18
后置链接
4
0.16%
19
加密问题
3
0.12%
20
安全特征问题
3
0.12%
21
数据伪造问题
3
0.12%
22
竞争条件问题
2
0.08%
23
权限许可和访问控制问题
1
0.04%
24
环境问题
1
0.04%
25
数字错误
1
0.04%

1.2.3 漏洞危害等级分布

根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低分为四个等级:超危、高危、中危和低危。2024年9月漏洞危害等级分布情况如图2所示,其中超危漏洞269个,占本月漏洞总量11.01%。

图2  2024年9月漏洞危害等级分布图

1.3漏洞修复情况

1.3.1 整体修复情况

2024年9月各危害等级修复情况如图3所示,低危漏洞修复率最高,为85.93%,超危漏洞修复率最低,为70.64%。

总体来看,本月整体修复率由上月的72.17%上升至本月的79.33%。

图3  2024年9月各危害等级修复情况统计图

1.3.2 厂商修复情况

2024年9月新增漏洞数量排名前十厂商修复情况如表3所示,合计1021个漏洞,占本月漏洞总量41.80%,平均修复率为86.08%。

表3  2024年9月厂商修复情况统计表

序号

厂商名称
漏洞数量(个)
修复数量(个)
修复率
1
WordPress
340
285
83.83%
2
Linux
283
283
100.00%
3
Apple
91
91
100.00%
4
Microsoft
88
86
97.73%
5
Google
49
48
97.96%
6
居易
38
36
94.74%
7
SAMSUNG
37
32
86.49%
8
Open
Networking
37
0
0.00%
9
Cisco
30
30
100.00%
10
Adobe
28
28
100.00%


接报漏洞情况

2024年9月接报漏洞1251个,其中信息技术产品漏洞(通用型漏洞)728个,网络信息系统漏洞(事件型漏洞)523个。详情如表4所示。

表4  2024年9月接报漏洞情况表
序号
报送单位
漏洞数量
1
内蒙古中叶信息技术有限责任公司
351
2
个人
160
3
内蒙古旌云科技有限公司
64
4
华为技术有限公司
35
5
奇安信网神信息技术(北京)股份有限公司
34
6
北京天融信网络安全技术有限公司
26
7
苏州棱镜七彩信息科技有限公司
24
8
星云博创科技有限公司
20
9
深信服科技股份有限公司
17
10
上海上讯信息技术股份有限公司
16
11
广州竞远安全技术股份有限公司
16
12
三六零数字安全科技集团有限公司
14
13
东方电气中能工控网络安全技术
(成都)有限责任公司
13
14
广州纬安科技有限公司
13
15
河南东方云盾信息技术有限公司
13
16
河南灵创电子科技有限公司
13
17
北京天防安全科技有限公司
12
18
北京启明星辰信息安全技术有限公司
11
19
江苏灵盾信息安全科技有限公司
11
20
中国电信股份有限公司网络安全产品运营中心
10
21
云盾智慧安全科技有限公司
10
22
天地伟业技术有限公司
10
23
道普信息技术有限公司
10
24
长扬科技(北京)股份有限公司
10
25
中孚安全技术有限公司
9
26
北京华云安信息技术有限公司
9
27
安徽溯源电子科技有限公司
9
28
杭州中电安科现代科技有限公司
9
29
杭州安恒信息技术股份有限公司
9
30
上海谋乐网络科技有限公司
7
31
云南南天电子信息产业股份有限公司
7
32
北京长虹信息技术有限公司
7
33
北京知道创宇信息技术股份有限公司
7
34
安恒愿景(成都)信息科技有限公司
7
35
西安交大捷普网络科技有限公司
7
36
天津市兴先道科技有限公司
7
37
河南悦海数安科技有限公司
7
38
贵州蓝天创新科技有限公司
7
39
中资网络信息安全科技有限公司
6
40
中兴通讯股份有限公司
6
41
成都安美勤信息技术股份有限公司
6
42
福建银数信息技术有限公司
6
43
联通数字科技有限公司
6
44
北京航空航天大学
6
45
工业和信息化部电子第五研究所
6
46
零日信安(武汉市)技术有限责任公司
6
47
浙江大华技术股份有限公司
6
48
北京长亭科技有限公司
6
49
江西神舟信息安全评估中心有限公司
6
50
上海矢安科技有限公司
5
51
北京国御科技有限公司
5
52
途耀信息技术(上海)有限公司
5
53
郑州云智信安安全技术有限公司
5
54
远江盛邦(北京)网络安全科技股份有限公司
5
55
成方金融信息技术服务有限公司
5
56
杭州海康威视数字技术股份有限公司
5
57
锐捷网络股份有限公司
5
58
赛尔网络有限公司
5
59
成都久信信息技术股份有限公司
5
60
北京天下信安技术有限公司
4
61
腾讯云计算(北京)有限责任公司
4
62
北京灰度科技有限公司
4
63
北京有略安全技术有限公司
4
64
北京边界无限科技有限公司
4
65
上海壹安至行技术有限公司
3
66
中国移动通信集团海南有限公司
3
67
上海斗象信息科技有限公司
3
68
安徽三实软件科技有限公司
3
69
广州锦行网络科技有限公司
3
70
博智安全科技股份有限公司
3
71
北京世纪超星信息技术发展有限责任公司
3
72
内蒙古御网科技有限责任公司
3
73
北京云起无垠科技有限公司
3
74
北京小佑网络科技有限公司
2
75
北京珞安科技有限责任公司
2
76
北京国科数安科技有限公司
2
77
北京墨云科技有限公司
2
78
江苏讯安信息安全技术有限公司
2
79
北京微步在线科技有限公司
2
80
北京赛博昆仑科技有限公司
2
81
浪潮电子信息产业股份有限公司
2
82
北京锦岳智慧科技有限公司
2
83
北京神州绿盟科技有限公司
2
84
杭州榕数科技有限公司
2
85
北京威努特技术有限公司
2
86
甘肃赛飞安全科技有限公司
2
87
北京云科安信科技有限公司
2
88
浙江木链物联网科技有限公司
2
89
超聚变数字技术有限公司
2
90
东信网安(深圳)科技有限公司
1
91
上海巨耕信息技术有限公司
1
92
云南启安科技有限公司
1
93
上海计算机软件技术开发中心
1
94
北京安普诺信息技术有限公司
1
95
江苏嘉玖信息科技有限公司
1
96
杭州中尔网络科技有限公司
1
97
杭州默安科技有限公司
1
98
温州市数据集团有限公司
1
99
湖南省金盾信息安全等级保护评估中心有限公司
1
100
成都忆享科技有限公司
1
101
成都思维世纪科技有限责任公司
1
102
北京比瓴科技有限公司
1
103
北京众安天下科技有限公司
1
104
北京君云天下科技有限公司
1
105
杭州迪普科技股份有限公司
1
106
南京国云电力有限公司
1
107
河南听潮盛世信息技术有限公司
1
108
江西中和证信息安全技术有限公司
1
109
塞讯信息技术(上海)有限公司
1
110
宁夏凯信特信息科技有限公司
1
111
山东数悦信息技术有限公司
1
112
黑龙江安信与诚科技开发有限公司
1
113
浙江国利网安科技有限公司
1
114
江苏瑞新信息技术股份有限公司
1
115
永信至诚科技集团股份有限公司
1
116
江苏百达智慧网络科技有限公司
1
117
北京安信天行科技有限公司
1
118
深圳万物安全科技有限公司
1
119
北京网御星云信息技术有限公司
1
120
龙岩市鲸之云盾互联网服务有限公司
1
121
合肥天帷信息安全技术有限公司
1
122
北京京东尚科信息技术有限公司
1
123
新华三技术有限公司
1
124
厦门聚丁科技有限公司
1

报送合计
1251

漏洞通报情况

3.1 通报情况

2024年9月接报通报630个,详情情况如表5所示。

表5  2024年9月接报通报情况表
序号
报送单位
通报数量
1
中孚安全技术有限公司
58
2
三六零数字安全科技集团有限公司
36
3
北京天地和兴科技有限公司
35
4
龙岩市鲸之云盾互联网服务有限公司
22
5
北京长虹信息技术有限公司
21
6
上海上讯信息技术股份有限公司
18
7
西安交大捷普网络科技有限公司
17
8
联通数字科技有限公司
16
9
华为技术有限公司
16
10
杭州迪普科技股份有限公司
14
11
奇安信网神信息技术(北京)股份有限公司
14
12
北京圣博润高新技术股份有限公司
14
13
河南东方云盾信息技术有限公司
13
14
亚信科技(成都)有限公司
12
15
北京海泰方圆科技股份有限公司
12
16
深信服科技股份有限公司
12
17
江苏嘉玖信息科技有限公司
12
18
上海矢安科技有限公司
10
19
敦和安全科技(武汉)有限公司
9
20
北京安天网络安全技术有限公司
8
21
杭州安恒信息技术股份有限公司
8
22
浙江大华技术股份有限公司
8
23
安恒愿景(成都)信息科技有限公司
8
24
内蒙古万邦信息安全技术有限公司
8
25
成都久信信息技术股份有限公司
8
26
北京云起无垠科技有限公司
8
27
北京墨云科技有限公司
8
28
上海吨吨信息技术有限公司
7
29
广东省信息安全测评中心
7
30
北京世纪超星信息技术发展有限责任公司
7
31
北京神州绿盟科技有限公司
7
32
上海壹安至行技术有限公司
7
33
墨菲未来科技(北京)有限公司
6
34
浙江木链物联网科技有限公司
6
35
湖南省金盾信息安全等级保护评估中心有限公司
6
36
河南悦海数安科技有限公司
6
37
厦门聚丁科技有限公司
6
38
广州纬安科技有限公司
6
39
锐捷网络股份有限公司
6
40
东方电气中能工控网络安全技术
(成都)有限责任公司
5
41
河南听潮盛世信息技术有限公司
5
42
安徽溯源电子科技有限公司
5
43
新华三技术有限公司
5
44
江西神舟信息安全评估中心有限公司
5
45
北京五一嘉峪科技有限公司
4
46
中国信息安全测评中心华中测评中心
(湖南省信息安全测评中心)
4
47
上海斗象信息科技有限公司
4
48
天地伟业技术有限公司
4
49
北京有略安全技术有限公司
4
50
成都网域探行科技有限公司
4
51
杭州美创科技股份有限公司
4
52
北京知道创宇信息技术股份有限公司
4
53
北京启明星辰信息安全技术有限公司
4
54
北方实验室(沈阳)股份有限公司
3
55
成方金融信息技术服务有限公司
3
56
江苏灵盾信息安全科技有限公司
3
57
浙江国利网安科技有限公司
3
58
南京国云电力有限公司
3
59
郑州云智信安安全技术有限公司
3
60
博智安全科技股份有限公司
3
61
北京山石网科信息技术有限公司
3
62
河南灵创电子科技有限公司
3
63
北京天防安全科技有限公司
2
64
北京天融信网络安全技术有限公司
2
65
成都安美勤信息技术股份有限公司
2
66
北京华云安信息技术有限公司
2
67
北京时代新威信息技术有限公司
2
68
合肥天帷信息安全技术有限公司
2
69
福建银数信息技术有限公司
2
70
中兴通讯股份有限公司
2
71
北京赛博昆仑科技有限公司
2
72
北京微步在线科技有限公司
2
73
长扬科技(北京)股份有限公司
2
74
内蒙古旌云科技有限公司
2
75
河北华测信息技术有限公司
2
76
江苏百达智慧网络科技有限公司
2
77
北京六方云信息技术有限公司
1
78
杭州默安科技有限公司
1
79
北京比瓴科技有限公司
1
80
塞讯信息技术(上海)有限公司
1
81
浪潮电子信息产业股份有限公司
1
82
北京珞安科技有限责任公司
1
83
中移系统集成有限公司
1
84
北京华胜久安科技有限公司
1
85
苏州市莫张信息科技有限责任公司
1
86
贵州蓝天创新科技有限公司
1
87
马鞍山书拓安全科技有限公司
1
88
北京长亭科技有限公司
1

报送合计
630

3.2 重要漏洞

表6  2024年9月重要漏洞表

序号
漏洞名称
CNNVD ID/CVE ID
危害等级
1
cups 安全漏洞
CNNVD-202409-2316/
CVE-2024-47176
高危
2
Apache Seata 代码问题漏洞
CNNVD-202409-1345/
CVE-2024-22399
超危
3
VMware Spring Framework 安全漏洞
CNNVD-202409-1142/
CVE-2024-38816
高危
4
GitLab 安全漏洞
CNNVD-202409-1044/
CVE-2024-6678
超危
5
Ivanti Endpoint Manager 代码问题漏洞
CNNVD-202409-967/
CVE-2024-29847
超危
6
Ivanti Cloud Services Appliance 安全漏洞
CNNVD-202409-825/
CVE-2024-8190
高危
7
Cisco Smart Licensing Utility 安全漏洞
CNNVD-202409-243/
CVE-2024-20439
超危
8
Cisco Smart Licensing Utility 安全漏洞
CNNVD-202409-236/
CVE-2024-20440
超危
9
Apache OFBiz 安全漏洞
CNNVD-202409-182/
CVE-2024-45195
高危
10
Apache OFBiz
代码问题漏洞
CNNVD-202409-157/
CVE-2024-45507
超危


漏洞平台推送情况

2024年9月漏洞平台推送漏洞63882个。详情如表7所示。

表7  2024年9月漏洞平台推送情况表

序号
漏洞平台
漏洞总量
1
补天平台
9099
2
漏洞盒子
49946
3
360漏洞云
4837

推送总计
63882

文章来源: https://mp.weixin.qq.com/s?__biz=MzAxODY1OTM5OQ==&mid=2651457167&idx=2&sn=f9531eade00b67ad580ace0753a2d9bc&chksm=802c47a7b75bceb1c9b36325dbf2a6a59bd13461bc912fe692dad6cf3c78b2736b6fb5e8fd39&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh