公开漏洞情况
本周CNNVD采集安全漏洞296个,与上周(260个)相比增加了13.85%。
接报漏洞情况
本周接报漏洞234个,其中信息技术产品漏洞(通用型漏洞)5个,网络信息系统漏洞(事件型漏洞)229个。
根据国家信息安全漏洞库(CNNVD)统计,本周(2018年6月25日至2018年7月1日)安全漏洞情况如下:
本期导读 公开漏洞情况
本周CNNVD采集安全漏洞296个,与上周(260个)相比增加了13.85%。
接报漏洞情况
本周接报漏洞234个,其中信息技术产品漏洞(通用型漏洞)5个,网络信息系统漏洞(事件型漏洞)229个。
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞296个,漏洞新增数量有所上升。从厂商分布来看,其中Cisco公司新增漏洞最多,共有33个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到11.15%。本周新增漏洞中,超危漏洞2个,高危漏洞14个,中危漏洞235个,低危漏洞45个。相应修复率分别为100.00%、100.00%、65.96%以及62.22%。根据补丁信息统计,合计199个漏洞已有修复补丁发布,整体修复率为67.23%。
截至2018年7月1日,CNNVD发布漏洞总量已达110515个。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞296个,与上周(260个)相比增加了13.85%。图1为近五周漏洞新增数量统计图。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,本周Cisco公司新增漏洞最多,共33个。各厂商漏洞数量分布如表1所示。
表1 Top 5厂商新增安全漏洞统计
本周国内厂商漏洞共10个,普联(TP-LINK)公司漏洞数量最多,共3个。本周国内厂商漏洞整体修复率为30.00%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看,本周跨站脚本类的安全漏洞相对占比最大,达到11.15%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
本周共发布超危漏洞2个,高危漏洞14个,中危漏洞235个,低危漏洞45个。相应修复率分别为100.00%、100.00%、65.96%以及62.22%。合计199个漏洞已有修复补丁发布,整体修复率为67.23%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
本周重要漏洞实例如表4所示。
表4 本周重要漏洞实例
1.Schneider Electric U.motion Builder 操作系统命令注入漏洞(CNNVD-201806-1167)
Schneider Electric U.motion Builder是法国施耐德电气(SchneiderElectric)公司的一套自动化机制构建解决方案。
Schneider Electric U.motion Builder 1.3.4之前版本中存在操作系统命令注入漏洞。远程攻击者可利用该漏洞绕过身份验证。
解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.schneider-electric.com/en/download/document/Umotion_Server_update/
2.Schneider Electric U.motion Builder 缓冲区错误漏洞(CNNVD-201806-1166)
SchneiderElectric U.motion Builder是法国施耐德电气(Schneider Electric)公司的一套自动化机制构建解决方案。
SchneiderElectric U.motion Builder 1.3.4之前版本中存在基于栈的缓冲区溢出漏洞,该漏洞源于程序可能会将输入的字符串当做命令。远程攻击者可利用该漏洞执行代码,读取栈或造成段错误。
解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.schneider-electric.com/en/download/document/Umotion_Server_update/
3.多款Cisco产品FXOS Software和NX-OS Software Fabric Services组件资源管理错误漏洞(CNNVD-201806-1121)
CiscoFirepower 4100 Series Next-Generation Firewalls等都是美国思科(Cisco)公司的产品。Cisco Firepower 4100 Series Next-Generation Firewalls是一款4100系列的防火墙设备。MDS 9000 Series Multilayer Switches是一款交换机设备。FXOS Software是一套运行在思科安全设备中的防火墙软件。NX-OS Software是运行在思科交换机设备中的一套数据中心级操作系统软件。Fabric Services是其中的一个Fabric服务组件。
多款Cisco产品中的FXOS Software和NX-OS Software的FabricServices组件存在资源管理错误漏洞,该漏洞源于受影响的软件在处理数据包数据时,没有充分的验证CiscoFabric Services数据包。远程攻击者可通过向受影响的设备发送恶意制作的Cisco FabricServices数据包利用该漏洞造成拒绝服务。以下产品受到影响:
- Cisco Firepower 4100 SeriesNext-Generation Firewalls
- Cisco Firepower 9300 SecurityAppliance
- Cisco MDS 9000 SeriesMultilayer Switches
- Cisco Nexus 2000 Series FabricExtenders
- Cisco Nexus 3000 SeriesSwitches
- Cisco Nexus 3500 PlatformSwitches
- Cisco Nexus 5500 PlatformSwitches
- Cisco Nexus 5600 PlatformSwitches
- Cisco Nexus 6000 SeriesSwitches
- Cisco Nexus 7000 SeriesSwitches
- Cisco Nexus 7700 SeriesSwitches
- Cisco Nexus 9000 SeriesSwitches(在standalone NX-OS模式下)
- Cisco Nexus 9500 R-Series LineCards and Fabric Modules
- Cisco UCS 6100 Series FabricInterconnects
- Cisco UCS 6200 Series FabricInterconnects
- Cisco UCS 6300 Series FabricInterconnects
解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-nx-os-fabric-services-dos
二、接报漏洞情况
本周接报漏洞234个,其中信息技术产品漏洞(通用型漏洞)5个,网络信息系统漏洞(事件型漏洞)229个。
表5 本周漏洞报送情况
更多信息安全资讯
请关注公众号!