点击上方“中国信息安全” 可订阅

根据国家信息安全漏洞库（CNNVD）统计，本周（2018年6月25日至2018年7月1日）安全漏洞情况如下：

本期导读

公开漏洞情况

本周CNNVD采集安全漏洞296个，与上周（260个）相比增加了13.85%。

接报漏洞情况

本周接报漏洞234个，其中信息技术产品漏洞（通用型漏洞）5个，网络信息系统漏洞（事件型漏洞）229个。

一、公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞296个，漏洞新增数量有所上升。从厂商分布来看，其中Cisco公司新增漏洞最多，共有33个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到11.15%。本周新增漏洞中，超危漏洞2个，高危漏洞14个，中危漏洞235个，低危漏洞45个。相应修复率分别为100.00%、100.00%、65.96%以及62.22%。根据补丁信息统计，合计199个漏洞已有修复补丁发布，整体修复率为67.23%。

截至2018年7月1日，CNNVD发布漏洞总量已达110515个。

（一） 安全漏洞增长数量情况

本周CNNVD采集安全漏洞296个，与上周（260个）相比增加了13.85%。图1为近五周漏洞新增数量统计图。

图1 近五周漏洞新增数量统计图

（二） 安全漏洞分布情况

从厂商分布来看，本周Cisco公司新增漏洞最多，共33个。各厂商漏洞数量分布如表1所示。

表1 Top 5厂商新增安全漏洞统计

本周国内厂商漏洞共10个，普联（TP-LINK）公司漏洞数量最多，共3个。本周国内厂商漏洞整体修复率为30.00%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看，本周跨站脚本类的安全漏洞相对占比最大，达到11.15%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

（三） 安全漏洞危害等级与修复情况

本周共发布超危漏洞2个，高危漏洞14个，中危漏洞235个，低危漏洞45个。相应修复率分别为100.00%、100.00%、65.96%以及62.22%。合计199个漏洞已有修复补丁发布，整体修复率为67.23%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

（四） 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本周重要漏洞实例

1.Schneider Electric U.motion Builder 操作系统命令注入漏洞（CNNVD-201806-1167）

Schneider Electric U.motion Builder是法国施耐德电气（SchneiderElectric）公司的一套自动化机制构建解决方案。

Schneider Electric U.motion Builder 1.3.4之前版本中存在操作系统命令注入漏洞。远程攻击者可利用该漏洞绕过身份验证。

解决措施：目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.schneider-electric.com/en/download/document/Umotion_Server_update/

2.Schneider Electric U.motion Builder 缓冲区错误漏洞（CNNVD-201806-1166）

SchneiderElectric U.motion Builder是法国施耐德电气（Schneider Electric）公司的一套自动化机制构建解决方案。

SchneiderElectric U.motion Builder 1.3.4之前版本中存在基于栈的缓冲区溢出漏洞，该漏洞源于程序可能会将输入的字符串当做命令。远程攻击者可利用该漏洞执行代码，读取栈或造成段错误。

解决措施：目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.schneider-electric.com/en/download/document/Umotion_Server_update/

3.多款Cisco产品FXOS Software和NX-OS Software Fabric Services组件资源管理错误漏洞（CNNVD-201806-1121）

CiscoFirepower 4100 Series Next-Generation Firewalls等都是美国思科（Cisco）公司的产品。Cisco Firepower 4100 Series Next-Generation Firewalls是一款4100系列的防火墙设备。MDS 9000 Series Multilayer Switches是一款交换机设备。FXOS Software是一套运行在思科安全设备中的防火墙软件。NX-OS Software是运行在思科交换机设备中的一套数据中心级操作系统软件。Fabric Services是其中的一个Fabric服务组件。

多款Cisco产品中的FXOS Software和NX-OS Software的FabricServices组件存在资源管理错误漏洞，该漏洞源于受影响的软件在处理数据包数据时，没有充分的验证CiscoFabric Services数据包。远程攻击者可通过向受影响的设备发送恶意制作的Cisco FabricServices数据包利用该漏洞造成拒绝服务。以下产品受到影响：

-  Cisco Firepower 4100 SeriesNext-Generation Firewalls

-  Cisco Firepower 9300 SecurityAppliance

-  Cisco MDS 9000 SeriesMultilayer Switches

-  Cisco Nexus 2000 Series FabricExtenders

-  Cisco Nexus 3000 SeriesSwitches

-  Cisco Nexus 3500 PlatformSwitches

-  Cisco Nexus 5500 PlatformSwitches

-  Cisco Nexus 5600 PlatformSwitches

-  Cisco Nexus 6000 SeriesSwitches

-  Cisco Nexus 7000 SeriesSwitches

-  Cisco Nexus 7700 SeriesSwitches

-  Cisco Nexus 9000 SeriesSwitches（在standalone NX-OS模式下）

-  Cisco Nexus 9500 R-Series LineCards and Fabric Modules

-  Cisco UCS 6100 Series FabricInterconnects

-  Cisco UCS 6200 Series FabricInterconnects

-  Cisco UCS 6300 Series FabricInterconnects

解决措施：目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-nx-os-fabric-services-dos

二、接报漏洞情况

本周接报漏洞234个，其中信息技术产品漏洞（通用型漏洞）5个，网络信息系统漏洞（事件型漏洞）229个。

表5 本周漏洞报送情况

更多信息安全资讯

请关注公众号！