安全通告 2018年第50期
一. 漏洞详情
1、本周漏洞统计国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞198个,其中高危漏洞71个、中危漏洞108个、低危漏洞19个。漏洞平均分值为5.99。本周收录的漏洞中,涉及0day漏洞29个(占15%),其中互联网上出现“Mantis'manage_proj_page.php' PHP代码注入漏洞、TarantellaEnterprise路径遍历漏洞”等代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1213个,与上周(987个)环比增长23%。
本周,CNVD收录了198个漏洞。应用程序漏洞140个,操作系统漏洞33个,网络设备漏洞15个,WEB应用漏洞7个,数据库漏洞2个,安全产品漏洞1个。
漏洞影响对象类型 | 漏洞数量 |
应用程序漏洞 | 140 |
操作系统漏洞 | 33 |
网络设备漏洞 | 15 |
WEB应用漏洞 | 7 |
数据库漏洞 | 2 |
安全产品漏洞 | 1 |
CNVD整理和发布的漏洞涉及IBM、Foxit、Siemens等多家厂商的产品,部分漏洞数量按厂商统计
序号 | 厂商(产品) | 漏洞数量 | 所占比例 |
1 | IBM | 34 | 17% |
2 | Foxit | 27 | 13% |
3 | Siemens | 18 | 9% |
4 | 15 | 8% | |
5 | Apple | 11 | 6% |
6 | Microsoft | 11 | 6% |
7 | Adobe | 10 | 5% |
8 | ASUSTOR | 8 | 4% |
9 | Qualcomm | 4 | 2% |
10 | 其他 | 60 | 30% |
二. 重要漏洞告警
本周,CNVD整理和发布以下重要安全漏洞信息。
1、Foxit产品安全漏洞
Foxit Reader for Windows是一款基于Windows平台的PDF文档阅读器。Foxit PhantomPDF for Windows是它的商业版。本周,上述产品被披露存在内存错误引用漏洞,攻击者可利用漏洞在当前进程的上下文中执行代码。
参考链接:
2、IBM产品安全漏洞
IBM QRadar Advisor with Watson是一套安全威胁分析解决方案。IBM QRadarIncident Forensics是一套安全取证调查软件。IBM DataPower Gateway是一套专门为移动、云、应用编程接口(API)、网络、面向服务架构(SOA)、B2B和云工作负载而设计的安全和集成平台,它可利用专用网关平台跨渠道保护、集成和优化访问。IBM SDK是一套用于创建、发现、调用和测试Web服务的集成工具包。IBM Campaign(前称Unica Campaign)是一套用于帮助营销人员设计、执行、衡量和优化营销广告的管理解决方案。IBM Security AccessManager是一款应用于信息安全管理的产品。IBMBigFix Platform是一套动态的集成了消息内容驱动和管理系统的多技术平台。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,发起拒绝服务攻击。
参考链接:
3、Siemens产品安全漏洞
SiemensSINUMERIK 808D等都是数控机床系统控制器。Siemens TIM 1531IRC是一款通信模块。Siemens EN100 Ethernet Communication Module是一款以太网模块产品。SIPROTEC 5 relays是一款继电器。Siemens SIMATICS7-400是一款用于制造和过程自动化领域的可编程逻辑控制器产品。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞进行越界读取,任意写入,执行代码,造成拒绝服务,影响系统的保密性、可用性和完整性。
CNVD收录的相关漏洞包括:多款Siemens产品整数溢出漏洞、多款Siemens产品缓冲区溢出漏洞、多款Siemens产品本地访问权限漏洞、多款Siemens产品远程代码执行漏洞、Siemens TIM 1531 IRC身份验证漏洞、Siemens EN100 Ethernet Communication Module和SIPROTEC5 relays拒绝服务漏洞、Siemens EN100 EthernetCommunicationModule拒绝服务漏洞、Siemens SIMATIC S7-400输入验证漏洞。上述漏洞的综合评级为为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
4、Google产品安全漏洞
Google Chrome是一款Web浏览器。Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。Google Kubernetes是一套开源的Docker容器集群管理系统。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,绕过权限策略,执行任意代码。
参考链接:
5、Anker Nebula Capsule Pro拒绝服务漏洞
Anker Nebula Capsule Pro是一款投影仪设备。本周,Anker NebulaCapsule Pro被披露存在拒绝服务漏洞。攻击者可借助特制的应用程序向WifiService发送数据利用该漏洞造成拒绝服务(底层Android 7.1.2操作系统重启)。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
部分重要高危漏洞列表
CNVD编号 | 漏洞名称 | 综合评级 | 修复方式 |
ThinkPHP5远程代码执行漏洞 | 高 | 用户可参考如下供应商提供的安全公告获得补丁信息: | |
MiniShare缓冲区溢出漏洞 | 高 | 目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页: | |
Pluck跨站请求伪造漏洞 | 高 | 目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法: | |
Summit远程代码执行漏洞 | 高 | 目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法: | |
Adobe Acrobat和Reader存在堆栈溢出漏洞 | 高 | Adobe已经为此发布了一个安全公告(APSB18-09)以及相应补丁: | |
ASUSTOR ADM操作系统命令注入漏洞 | 高 | 目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页: | |
高 | 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: | ||
FreeBSD代码执行漏洞 | 高 | 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: | |
Microsoft Edge代码执行漏洞 | 高 | 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: | |
多款RICOH Interactive Whiteboard产品SQL注入漏洞 | 高 | 厂商已发布了漏洞修复程序,请及时关注更新: |
小结:本周,Foxit被披露存在内存错误引用漏洞,攻击者可利用漏洞在当前进程的上下文中执行代码。此外,IBM、Siemens、Google等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,绕过权限策略,提升权限,执行任意代码,发起拒绝服务攻击等。另外,Anker Nebula Capsule Pro被披露存在拒绝服务漏洞。攻击者可借助特制的应用程序向WifiService发送数据利用该漏洞造成拒绝服务(底层Android 7.1.2操作系统重启)。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
三、病毒疫情告警
1、 本周病毒分析该勒索病毒采用供应链污染方式进行攻击,利用易语言开发环境为介质实现快速传播。感染系统后,其会加密 txt、office 文档等有价值数据。与其他勒索病毒不同的是,此次被加密文件没有修改原文件扩展名。
针对该恶意程序所造成的危害,建议用户从正规渠道下载正版软件,不使用盗版软件。注意备份重要的文档。备份的最佳做法是采取 3-2-1 规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。同时,安装安全防护软件及防火墙,以防止受到该恶意程序的影响,造成严重的损失。
2、病毒防范措施1)、重点单位的计算机用户应及时对系统进行安全扫描,安装系统补丁,修补操作系统和应用软件漏洞。特别是对第三方软件的安装使用要严格管理,对必须使用的第三方软件要保证及时更新。
2)、网站管理者要加强网站的监督管理,定期对上传的Web网页文件进行比对,包括文件的创建、更新时间,文件大小等,及时发现异常的Web网页文件。一旦发现异常文件,应立即删除并更新。定期维护升级网站服务器,检查服务器所存在的漏洞和安全隐患。
3)、对于重点网站,尤其是政府网站和各大媒体网站,很有可能被利用现有的漏洞进行挂马,或跳转到其他恶意网站。我们应急中心采取了相应措施,建立了对重点网站的巡查机制,以便于及时发现问题。
4)、及时下载安装操作系统和系统中应用软件的漏洞补丁程序,阻止各类病毒、木马等恶意程序入侵操作系统。
5)、计算机用户在Web网页时,务必打开计算机系统中防病毒软件的“网页监控”功能。同时,计算机用户应及时下载安装操作系统已安装应用软件的最新漏洞补丁或新版本,防止恶意木马利用漏洞进行入侵感染操作系统。
6)、不要轻易打开来历不明的邮件,尤其是邮件的附件;不要随便登录不明网站。
7)、使用U盘、软盘进行数据交换前,先对其进行病毒检查;同时, 禁用U盘的自动播放功能,避免在插入U盘或移动硬盘时受到病毒感染。
8)、做好系统和重要数据的备份,以便能够在遭受病毒侵害后及时恢复。
9)、发现网络和系统异常,及时与国家计算机病毒应急处理中心或防病毒厂家联系。
四、网络安全资讯
1、澳大利亚通过全球首项反加密立法E 安全 12 月 11 日消息根据澳大利亚的新法律,安全机构将获取更多加密信息的访问权限。该法案将迫使苹果、脸书与谷歌等科技公司解除加密保护以允许调查人员跟踪恐怖分子及其他罪犯的通信。而这项措施是极具争议的。澳大利亚在周四刚通过的法律强制要求科技公司、设备制造商与服务供应商内置警方所需要的功能,以破解现有的这些秘密代码。然而,企业若担心“系统性弱点”,即这些功能可能导致其他用户的安全性受损,则可不应用这些功能。此次澳大利亚立法是全球首例此类立法。2、5200 万用户数据泄露谷歌将提前 4 个月关闭 Google+新浪科技 12 月 11 日消息谷歌表示,将于明年 4 月关闭 Google+社交媒体服务,比原计划提前 4 个月。此前,该公司今年第二次发现 Google+的软件漏洞,新漏洞导致合作伙伴应用能访问用户的个人数据。不过谷歌在博客中表示,没有发现任何证据表明,其他应用使用该漏洞访问了这些数据,包括用户的姓名、电子邮件地址、性别和年龄。谷歌表示,在上月引入的 6 天时间内,该漏洞影响了 5250 万个 Google+帐号,其中包括一些企业客户的帐号。今年 10 月,谷歌表示,将于 2019 年 8 月关闭 Google+的消费级版本,因为维护该服务带来了太大的挑战。当时该公司表示,来自 50 万用户的个人信息数据可能被一个已经存在两年多的漏洞泄露给合作伙伴应用。
相关文章
升级支付方式:跟排长队说bye bye
拿着东西去出口处前的自助扫码结账设备上逐一扫上,确定好了就选择付款方式,这样的付款方式虽然也会排长龙,但精简了人手,增强了付款速度,也少见了那几个常显摆显摆的人去跟收银的吵架,这样的生活便利对于我们来...
“互联网”大事周记!
又到周末了,今天小编继续带大家回顾一下本周互联网发生了哪些大事吧!2018年12月17日 星期一1、腾讯注册“企鹅物流”商标:或将进军物流业2、阿里巴巴将试水知产服务市场,推知产开放平台3、驱动人生...
免费模式让奥运会变成金娃娃,第三方支付不起,让奥运会变成烫手的山芋
yijiusy:壹玖柒零官方资讯平台2018.12.22第1037期1奥运会赔本的买卖-惨到没人办1984年以前的奥运会主办国,几乎是“指定”的,政治需要大于体育精神,奥运会被很多人看成劳民伤财的赔钱...
蒂蔼欧循环水冲生态厕所之技术与工艺相结合
蒂蔼欧专注于循环水冲生态厕所市场,获得多项核心专利技术,在公共区域,智能化的提供如厕、广告、充电等一系列配套服务的便民环保设施。膜生物反应器是一种将高效膜分离技术与传统活性污泥法相结合的新型高效污水处...
真是大手笔!ofo押金难退,如今对手却宣布减免用户押金320亿!
真是大手笔!ofo押金难退,如今对手却宣布减免用户押金320亿!这个冬天对ofo来说格外的冷,曾经在单车行业呼风唤雨,如今连用户押金都退不起,不免令人唏嘘,仅仅一年之间,ofo就从天堂掉落到地狱。面对...
为什么现在手机都采用Type-C接口,它到底有何不同之处
不知不觉中,Type-C接口成为了主流,越来越多的手机都采用Type-C接口,甚至包括苹果MacBook在内的笔记本也采用了这种端口,那么Type-C究竟有何不同之处?正反可插首先是正反可插,传统手机...