欢迎来到第四师·可克达拉市网站
首页 >> 专题专栏 >> 网络安全 >> 详细内容
第四师网络安全通报
发布:2023-11-30 来源:  作者:  编审:ice  浏览量:417 

第四师网络安全通报

2023年第 54

第四师可克达拉市网络与信息安全信息通报中心      202311月30

2023年CNVD漏洞周报

20231120-20231126

一、本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞416个,其中高危漏洞191个、中危漏洞198个、低危漏洞27个。漏洞平均分值为6.40。本周收录的漏洞中,涉及0day漏洞363个(占87%),其中互

1 CNVD收录漏洞近10周平均分值分布图

联网上出现WordPress Photo Gallery跨站脚本漏洞、DevBlog跨站脚本漏洞等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数61715个,与上周(41601个)环比增加48%。

二、本周漏洞事件处置情况

本周,CNVD向银行、保险、能源等重要行业单位通报漏洞事件23起,向基础电信企业通报漏洞事件18起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件1143起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件210起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件63起。

三、本周漏洞按类型和厂商统计

本周,CNVD收录了416个漏洞。WEB应用224个,应用程序87个,网络设备(交换机、路由器等网络端设备)64个,智能设备(物联网终端设备)19个,操作系统13个,安全产品5个,数据库4个。

2 本周漏洞按影响类型分布

四、本周行业漏洞收录情况

本周,CNVD收录了39个电信行业漏洞,23个移动互联网行业漏洞,2个工控行业漏洞(如下图所示)。其中,Huawei HarmonyOS和EMUI拒绝服务漏洞(CNVD-2023-88961)、Rockwell Automation ThinManager ThinServer拒绝服务漏洞等漏洞的综合评级为高危。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接:http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接:http://mi.cnvd.org.cn/

工控系统行业漏洞链接:http://ics.cnvd.org.cn/

3 电信行业漏洞统计

4 移动互联网行业漏洞统计

5 工控系统行业漏洞统计

五、本周重要漏洞安全告警

本周,CNVD整理和发布以下重要安全漏洞信息。

1、Adobe产品安全漏洞

Adobe Audition是美国奥多比(Adobe)公司的一套多音轨编辑工具。该产品主要使用包含多音轨、波形和光谱显示的完善工具集对音频内容进行混音、编辑和创建等。Adobe Media Encoder是一款音、视频编码应用程序。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行代码,导致敏感内存泄露。

CNVD收录的相关漏洞包括:Adobe Audition越界读取漏洞(CNVD-2023-88380、CNVD-2023-88658、CNVD-2023-88659)、Adobe Audition越界写入漏洞(CNVD-2023-88381)、Adobe Audition堆缓冲区溢出漏洞、Adobe Audition未初始化指针访问漏洞(CNVD-2023-88656、CNVD-2023-88660)、Adobe Media Encoder越界写入漏洞(CNVD-2023-88662)。其中,除“Adobe Audition未初始化指针访问漏洞(CNVD-2023-88660)”外,其余的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88380

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88381

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88655

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88656

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88658

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88659

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88660

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88662

2、Apache产品安全漏洞

Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在系统上执行任意代码,导致拒绝服务等。

CNVD收录的相关漏洞包括:Apache Airflow Google Provider输入验证错误漏洞(CNVD-2023-88040、CNVD-2023-88041)、Apache Airflow Hive Provider代码注入漏洞、Apache Airflow权限提升漏洞、Apache Airflow安全绕过漏洞、Apache Airflow AWS Provider信息泄露漏洞、Apache Airflow Sqoop Provider输入验证错误漏洞、Apache Airflow Hive Provider输入验证错误漏洞。其中,除“Apache Airflow安全绕过漏洞”外,其余的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88040

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88039

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88038

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88037

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88044

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88043

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88042

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88041

3、Huawei产品安全漏洞

Huawei HarmonyOS是中国华为(Huawei)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI是华为公司开发的一种基于Android操作系统的用户界面。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,造成拒绝服务等。

CNVD收录的相关漏洞包括:Huawei HarmonyOS和EMUI权限管理漏洞、Huawei HarmonyOS和EMUI越界写入漏洞、Huawei HarmonyOS和EMUI权限控制漏洞(CNVD-2023-88957)、Huawei HarmonyOS信息泄露漏洞(CNVD-2023-88958)、Huawei HarmonyOS和EMUI信息泄露漏洞(CNVD-2023-88960、CNVD-2023-88962)、Huawei HarmonyOS和EMUI越界访问漏洞、Huawei HarmonyOS和EMUI内存错误引用洞。其中,除“Huawei HarmonyOS和EMUI权限控制漏洞(CNVD-2023-88957)”外,其余的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88955

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88956

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88957

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88958

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88960

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88962

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88963

https://www.cnvd.org.cn/flaw/show/CNVD-2023-88966

4、IBM产品安全漏洞

IBM InfoSphere Information Server是美国国际商业机器(IBM)公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞从日志文件中获取敏感信息,在系统上执行任意命令等。

CNVD收录的相关漏洞包括:IBM InfoSphere Information Server跨站请求伪造漏洞(CNVD-2023-91223)、IBM InfoSphere Information Server CSV注入漏洞(CNVD-2023-91222)、IBM InfoSphere Information Server权限提升漏洞(CNVD-2023-91221)、IBM InfoSphere Information Server目录遍历漏洞、IBM InfoSphere Information Server信息泄露漏洞(CNVD-2023-91225、CNVD-2023-91224、CNVD-2023-91227)、IBM InfoSphere Information Server拒绝服务漏洞(CNVD-2023-91228)。其中,“IBM InfoSphere Information Server权限提升漏洞(CNVD-2023-91221)、IBM InfoSphere Information Server目录遍历漏洞、IBM InfoSphere Information Server信息泄露漏洞(CNVD-2023-91224)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-91223

https://www.cnvd.org.cn/flaw/show/CNVD-2023-91222

https://www.cnvd.org.cn/flaw/show/CNVD-2023-91221

https://www.cnvd.org.cn/flaw/show/CNVD-2023-91227

https://www.cnvd.org.cn/flaw/show/CNVD-2023-91226

https://www.cnvd.org.cn/flaw/show/CNVD-2023-91225

https://www.cnvd.org.cn/flaw/show/CNVD-2023-91224

https://www.cnvd.org.cn/flaw/show/CNVD-2023-91228

5、TOTOLINK A3700R命令执行漏洞

TOTOLINK A3700R是中国吉翁电子(TOTOLINK)公司的一款无线路由器。本周,TOTOLINK A3700R被披露存在命令执行漏洞。攻击者可利用该漏洞通过UploadFirmwareFile函数的FileName参数执行任意代码。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-91230

六、小结

本周,Adobe产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行代码,导致敏感内存泄露。此外,Apache、Huawei、IBM等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在系统上执行任意代码,导致拒绝服务等。另外,TOTOLINK A3700R被披露存在命令执行漏洞。攻击者可利用漏洞通过UploadFirmwareFile函数的FileName参数执行任意代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

[打印文章] [添加收藏]
站点地图|关于网站|联系我们

主办:第四师可克达拉市 承办:新疆兵团第四师可克达拉市政务服务中心
联系电话:0999-8182112 技术支持:0999-8189463
版权所有 Copyright @ 2013 第四师可克达拉市 All Rights Reserve
网站标识码 BT04000002 新ICP备17002193号-1 公网安备66040002000102

政府网站找错