我的位置 首页  >  新闻动态  >  国内新闻

国测之声 | 信息安全漏洞周报(2018年第25期)

来源:科技成果转化中心时间:2018-07-04
      
点击上方“中国信息安全” 可订阅


根据国家信息安全漏洞库(CNNVD)统计,本周(2018年6月25日至2018年7月1日安全漏洞情况如下:

本期导读

公开漏洞情况

本周CNNVD采集安全漏洞296个,与上周(260个)相比增加了13.85%。

接报漏洞情况

本周接报漏洞234个,其中信息技术产品漏洞(通用型漏洞)5个,网络信息系统漏洞(事件型漏洞)229个。

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞296个,漏洞新增数量有所上升。从厂商分布来看,其中Cisco公司新增漏洞最多,共有33个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到11.15%。本周新增漏洞中,超危漏洞2个,高危漏洞14个,中危漏洞235个,低危漏洞45个。相应修复率分别为100.00%、100.00%、65.96%以及62.22%。根据补丁信息统计,合计199个漏洞已有修复补丁发布,整体修复率为67.23%。

截至2018年7月1日,CNNVD发布漏洞总量已达110515个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞296个,与上周(260个)相比增加了13.85%。图1为近五周漏洞新增数量统计图。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,本周Cisco公司新增漏洞最多,共33个各厂商漏洞数量分布如表1所示。

表1 Top 5厂商新增安全漏洞统计

本周国内厂商漏洞共10个,普联(TP-LINK)公司漏洞数量最多,共3个。本周国内厂商漏洞整体修复率为30.00%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看,本周跨站脚本类的安全漏洞相对占比最大,达到11.15%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞2个,高危漏洞14个,中危漏洞235个,低危漏洞45个。相应修复率分别为100.00%、100.00%、65.96%以及62.22%。合计199个漏洞已有修复补丁发布,整体修复率为67.23%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本周重要漏洞实例

1.Schneider Electric U.motion Builder 操作系统命令注入漏洞(CNNVD-201806-1167)

Schneider Electric U.motion Builder是法国施耐德电气(SchneiderElectric)公司的一套自动化机制构建解决方案。

Schneider Electric U.motion Builder 1.3.4之前版本中存在操作系统命令注入漏洞。远程攻击者可利用该漏洞绕过身份验证。

解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.schneider-electric.com/en/download/document/Umotion_Server_update/

2.Schneider Electric U.motion Builder 缓冲区错误漏洞(CNNVD-201806-1166)

SchneiderElectric U.motion Builder是法国施耐德电气(Schneider Electric)公司的一套自动化机制构建解决方案。

SchneiderElectric U.motion Builder 1.3.4之前版本中存在基于栈的缓冲区溢出漏洞,该漏洞源于程序可能会将输入的字符串当做命令。远程攻击者可利用该漏洞执行代码,读取栈或造成段错误。

解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.schneider-electric.com/en/download/document/Umotion_Server_update/

3.多款Cisco产品FXOS Software和NX-OS Software Fabric Services组件资源管理错误漏洞(CNNVD-201806-1121)

CiscoFirepower 4100 Series Next-Generation Firewalls等都是美国思科(Cisco)公司的产品。Cisco Firepower 4100 Series Next-Generation Firewalls是一款4100系列的防火墙设备。MDS 9000 Series Multilayer Switches是一款交换机设备。FXOS Software是一套运行在思科安全设备中的防火墙软件。NX-OS Software是运行在思科交换机设备中的一套数据中心级操作系统软件。Fabric Services是其中的一个Fabric服务组件。

多款Cisco产品中的FXOS Software和NX-OS Software的FabricServices组件存在资源管理错误漏洞,该漏洞源于受影响的软件在处理数据包数据时,没有充分的验证CiscoFabric Services数据包。远程攻击者可通过向受影响的设备发送恶意制作的Cisco FabricServices数据包利用该漏洞造成拒绝服务。以下产品受到影响:

-  Cisco Firepower 4100 SeriesNext-Generation Firewalls

-  Cisco Firepower 9300 SecurityAppliance

-  Cisco MDS 9000 SeriesMultilayer Switches

-  Cisco Nexus 2000 Series FabricExtenders

-  Cisco Nexus 3000 SeriesSwitches

-  Cisco Nexus 3500 PlatformSwitches

-  Cisco Nexus 5500 PlatformSwitches

-  Cisco Nexus 5600 PlatformSwitches

-  Cisco Nexus 6000 SeriesSwitches

-  Cisco Nexus 7000 SeriesSwitches

-  Cisco Nexus 7700 SeriesSwitches

-  Cisco Nexus 9000 SeriesSwitches(在standalone NX-OS模式下)

-  Cisco Nexus 9500 R-Series LineCards and Fabric Modules

-  Cisco UCS 6100 Series FabricInterconnects

-  Cisco UCS 6200 Series FabricInterconnects

-  Cisco UCS 6300 Series FabricInterconnects

解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-nx-os-fabric-services-dos

二、接报漏洞情况

本周接报漏洞234个,其中信息技术产品漏洞(通用型漏洞)5个,网络信息系统漏洞(事件型漏洞)229个。

表5 本周漏洞报送情况

更多信息安全资讯

请关注公众号!

       (科技成果转化中心供稿)