国家信息安全漏洞共享平台(CNVD)
信息安全漏洞周报
2017年04月17日-2017年04月23日
2017年第17期
本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞491个,其中高危漏洞188个、中危漏洞260个、低危漏洞43个。
漏洞平均分值为6.25。
本周收录的漏洞中,涉及0day漏洞83个(占17%),其中互联网上出现“ZyXELEMG2926路由器远程命令执行漏洞、EyesOfNetwork存在未明SQL注入漏洞”零日代码攻击漏洞。
此外,本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数661个,与上周(597个)环比增长11%。
图1CNVD收录漏洞近10周平均分值分布图 本周漏洞报送情况统计 本周,共15家成员单位、合作伙伴及企业用户、个人用户报送了本周收录的全部491个漏洞。
报送情况如表1所示。
其中,华为技术有限公司、绿盟科技、安天实验室、中国电信集团系统集成有限责任公司等单位报送数量较多。
北京山石网科信息技术有限公司、杭州朔方信息技术有限公司、山东安云信息技术有限公司、河北网信智安信息技 术有限公司、广西鑫瀚科技有限公司、江苏君立华域信息安全技术有限公司、安徽新华博信息技术股份有限公司、清远职业技术学院及其他个人白帽子向CNVD提交了661个以事件型漏洞为主的原创漏洞。
报送单位或个人 漏洞报送数量 原创漏洞数量 360网神 348 348 华为技术有限公司 143
0 绿盟科技 100
0 安天实验室 98
0 中国电信集团系统集 成有限责任公司 58
0 杭州安恒信息技术有 限公司 54
0 H3C 50
1 安全狗 27
3 天融信 21
1 恒安嘉新 17
0 深圳市腾讯计算机系 统有限公司(玄武实 17 17 验室) 启明星辰 12 12 北京数字观星科技有 限公司
5 0 南京铱迅信息技术股 份有限公司
1 1 知道创宇
1 1 漏洞盒子 90 90 北京山石网科信息技 术有限公司
9 9 杭州朔方信息技术有 限公司
4 4 山东安云信息技术有 限公司
4 4 河北网信智安信息技 术有限公司
3 3 广西鑫瀚科技有限公 司
2 2 江苏君立华域信息安 全技术有限公司
2 2 安徽新华博信息技术 股份有限公司
1 1 清远职业技术学院
1 1 CNCERT
山西分中心 23 23 CNCERT江西分中心 16 16 CNCERT新疆分中心
7 7 CNCERT重庆分中心
7 7 CNCERT宁夏分中心
6 6 CNCERT安徽分中心
2 2 CNCERT河南分中心
2 2 CNCERT北京分中心
1 1 CNCERT吉林分中心
1 1 个人 96 96 报送总计 1229 661 录入总计 491(去重) 661 表1漏洞报送情况统计表 本周漏洞按类型和厂商统计 本周,CNVD收录了491个漏洞。
其中应用程序漏洞267个,操作系统漏洞89个, web应用漏洞76个,网络设备漏洞47个,安全产品漏洞10个,数据库漏洞2个。
漏洞影响对象类型 漏洞数量 应用程序漏洞 267 操作系统漏洞 89 web应用漏洞 76 网络设备漏洞 47 安全产品漏洞 10 数据库漏洞
2 表2漏洞按影响类型统计表 图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Adobe、Apple、Google等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
序号 厂商(产品) 漏洞数量 所占比例
1 Adobe 53 11%
2 Apple 50 10%
3 Google 33 7%
4 Huawei 28 6%
5 ImageMagick 21 4%
6 IBM 17 3%
7 Cisco 15 3%
8 NetIQ 11 2%
9 Revive
Adserver
9 2% 10 其他 254 52% 表3漏洞产品涉及厂商分布统计表 本周行业漏洞收录情况 本周,CNVD收录了32个电信行业漏洞,84个移动互联网行业漏洞,9个工控系统行业漏洞(如下图所示)。
其中,“CoDeSys堆栈缓冲区溢出漏洞、CoDeSysWeb服务器任意文件上传漏洞、多个Cisco产品本地权限提升漏洞、华为Campus系列交换机堆缓冲区溢出漏洞、多款华为Quidway交换机拒绝服务漏洞、华为交换机Y.1731拒绝服务漏洞、多个Cisco产品本地命令注入漏洞(CNVD-2017-04873)、CambiumNetworPilotR200/201存在漏洞、CoDeSys堆栈缓冲区溢出漏洞、CoDeSysWeb服务器任意文件上传漏洞”的综合评级为“高危”。
相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:/移动互联网行业漏洞链接:/工控系统行业漏洞链接:/ 图3电信行业漏洞统计 图4移动互联网行业漏洞统计 图5工控系统行业漏洞统计 本周重要漏洞安全告警 本周,CNVD整理和发布以下重要安全漏洞信息。
1、Jackson框架存在Java反序列化代码执行漏洞 Jackson是一个开源的java序列化与反序列化工具。
本周,该产品被披露存在Java反序列化代码执行漏洞,攻击者可利用漏洞在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权。
CNVD收录的相关漏洞包括:Jackson框架enableDefaultTyping方法反序列化漏洞。
该漏洞的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2017-044832、Adobe产品安全漏洞 AdobeAcrobat和Reader是美国Adobe公司开发的一款可以用便携式文档格式出版所有的文档的编辑软件。
本周,该产品被披露存在内存破坏漏洞,攻击者可利用漏洞控制受影响的系统,执行任意代码。
CNVD收录的相关漏洞包括:AdobeAcrobat和Reader内存破坏漏洞(CNVD-2017-04690、CNVD-2017-04691、CNVD-2017-04692、CNVD-2017-04693、CNVD-2017-04694、CNVD-2017-04695、CNVD-2017-04696、CNVD-2017-04697)。
上述漏洞的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2017-04690 /flaw/show/CNVD-2017-04691/flaw/show/CNVD-2017-04692/flaw/show/CNVD-2017-04693 /flaw/show/CNVD-2017-04694/flaw/show/CNVD-2017-04695/flaw/show/CNVD-2017-04696/flaw/show/CNVD-2017-046973、Google产品安全漏洞GoogleAndroid是一款基于Linux开放性内核的手机操作系统。
本周,该产品被披露存在权限提升漏洞,攻击者可利用漏洞提升权限。
CNVD收录的相关漏洞包括:GoogleAndroidWi-FiDriver权限提升漏洞(CNVD-2017-04965、CNVD-2017-04966、CNVD-2017-04967、CNVD-2017-04968、CNVD-2017-04969、CNVD-2017-04576、CNVD-2017-04578、CNVD-2017-04579)。
上述漏洞的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2017-04965/flaw/show/CNVD-2017-04966/flaw/show/CNVD-2017-04967/flaw/show/CNVD-2017-04968/flaw/show/CNVD-2017-04969/flaw/show/CNVD-2017-04976/flaw/show/CNVD-2017-04978/flaw/show/CNVD-2017-049794、Huawei产品安全漏洞华为TecalRH1288V2等都是中国华为(Huawei)公司的服务器。
华为CampusS7700等都是企业级园区交换机。
华为HiSuite是一套用于PC端的手机助手软件。
HuaweiVicky-AL00A/Victoria-AL00A是一款智能手机。
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制、执行任意代码和发起拒绝服务攻击等。
CNVD收录的相关漏洞包括:多款华为服务器缓冲区溢出漏洞、华为CampusS7700/S9300/S9700交换机安全绕过漏洞、华为Campus系列交换机堆缓冲区溢出漏洞、华为交换机Y.1731拒绝服务漏洞、华为HiSuite中间人攻击漏洞、华为手机Bastet组件存在多个缓冲区溢出漏洞(CNVD-2017-04679、CNVD-2017-04678)、华为手机Bastet组件存在多个缓冲区溢出漏洞。
上述漏洞的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2017-04637/flaw/show/CNVD-2017-04632/flaw/show/CNVD-2017-05106 /flaw/show/CNVD-2017-05108 /flaw/show/CNVD-2017-05109 /flaw/show/CNVD-2017-04679 /flaw/show/CNVD-2017-04678 /flaw/show/CNVD-2017-04677
5、Linksys
SmartWi-FiRouters命令注入漏洞 LinksysSmartWi-FiRouters是智能Wi-Fi路由器。
本周,LinksysSmartWi-FiRouters 被披露存在命令注入漏洞,攻击者通过设备认证可以root权限在设备的操作系统上注入 和执行恶意代码。
目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布漏 洞修补程序。
CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:/flaw/show/CNVD-2017-05025 更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。
参考链接: CNVD编漏洞名称号 综合评级 CNVD-201ImageMagickjngdecoder拒绝服高 7-04496 务漏洞 CNVD-201NetIQessManager远程代码高 7-04726 执行漏洞 CNVD-201NetIQessManager访问认证高 7-04959 凭据漏洞 CNVD-201Erlang/OTP堆缓冲区溢出漏洞高7-04989 CNVD-201CoDeSys堆栈缓冲区溢出漏洞高7-05023 CNVD-201多款Brother设备认证绕过漏洞高7-05030 CNVD-201CambiumPilot 高 7-05041 R200/201存在漏洞 修复方式 厂商已发布了漏洞修复程序,请及时关注更新:厂商已发布漏洞修复程序,请及时关注更新:/support/kb/doc.php?
id=7017807厂商已发布了漏洞修复程序,请及时关注更新:/support/kb/doc.php?
id=7017818厂商已发布了漏洞修复程序,请及时关注更新:/erlang/otp/pull/1108目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:/codesys-23.html厂商已发布漏洞修复程序,请及时关注更新:/blad/WLB-2017040064厂商已发布了漏洞修复程序,请及时关注更新:/ CNVD-201TenableNessusAgent模式本地高 7-05084 权限提升漏洞 CNVD-201GnuTLS存在多个漏洞 高 7-05090 CNVD-201DragonWaveHorizon硬编码凭高 7-05113 据漏洞 厂商已发布了漏洞修复程序,请及时关注更新:/security/tns2017-08目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:/ 表4部分重要高危漏洞列表 小结:本周,Jackson被披露存在Java反序列化代码执行漏洞,攻击者可利用漏洞 在服务器主机上执行任意代码或系统指令。
此外,Adobe、Google、Huawei等多款产品 被披露存在多个漏洞,攻击者利用漏洞可执行任意代码、绕过安全限制、提升权限或发 起拒绝服务攻击等。
另外,LinksysSmartWi-FiRouters被披露存在命令注入漏洞,攻 击者通过设备认证可以root权限在设备的操作系统上注入和执行恶意代码。
建议相关用 户随时关注上述厂商主页,及时获取修复补丁或解决方案。
本周漏洞要闻速递
1.MySQL曝中间人攻击Riddle漏洞Riddle是一个在OracleMySQL5.5和5.6客户端数据库中发现的高危安全漏洞。
允许攻击者在中间人位置使用Riddle漏洞破坏MySQL客户端和服务器之间的SSL配置连接。
此漏洞是一个非常危险的漏洞,因为首先它会影响MySQL,其次会影响SSL连接。
安全研究员PaliRohár称,导致Riddle漏洞的原因是之前存在于MySQL数据库中的BACKRONYM漏洞没有被修复。
Backronym漏洞能在中间人攻击时用来泄露密码,即使流量经过加密。
参考链接:
2.数十款Linksys路由器曝高危漏洞,可致远程命令执行及敏感信息泄露 来自IOACTIVE的研究人员最近发现了存在于Linksys智能Wifi路由器中的漏洞。
从低危到高危,其中六个可被攻击者远程利用。
2个漏洞能够让攻击者进行DoS攻击。
通过发送一些请求或者滥用特定的API,路由器会停止服务甚至重启。
这样管理员就无法访问web管理界面了,而用户也无法链接网络,除非攻击者停止攻击。
参考链接: 关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD) 是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。
关于CNCERT 国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构。
作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行。
网址:邮箱:vreport@电话:010-82990999
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞491个,其中高危漏洞188个、中危漏洞260个、低危漏洞43个。
漏洞平均分值为6.25。
本周收录的漏洞中,涉及0day漏洞83个(占17%),其中互联网上出现“ZyXELEMG2926路由器远程命令执行漏洞、EyesOfNetwork存在未明SQL注入漏洞”零日代码攻击漏洞。
此外,本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数661个,与上周(597个)环比增长11%。
图1CNVD收录漏洞近10周平均分值分布图 本周漏洞报送情况统计 本周,共15家成员单位、合作伙伴及企业用户、个人用户报送了本周收录的全部491个漏洞。
报送情况如表1所示。
其中,华为技术有限公司、绿盟科技、安天实验室、中国电信集团系统集成有限责任公司等单位报送数量较多。
北京山石网科信息技术有限公司、杭州朔方信息技术有限公司、山东安云信息技术有限公司、河北网信智安信息技 术有限公司、广西鑫瀚科技有限公司、江苏君立华域信息安全技术有限公司、安徽新华博信息技术股份有限公司、清远职业技术学院及其他个人白帽子向CNVD提交了661个以事件型漏洞为主的原创漏洞。
报送单位或个人 漏洞报送数量 原创漏洞数量 360网神 348 348 华为技术有限公司 143
0 绿盟科技 100
0 安天实验室 98
0 中国电信集团系统集 成有限责任公司 58
0 杭州安恒信息技术有 限公司 54
0 H3C 50
1 安全狗 27
3 天融信 21
1 恒安嘉新 17
0 深圳市腾讯计算机系 统有限公司(玄武实 17 17 验室) 启明星辰 12 12 北京数字观星科技有 限公司
5 0 南京铱迅信息技术股 份有限公司
1 1 知道创宇
1 1 漏洞盒子 90 90 北京山石网科信息技 术有限公司
9 9 杭州朔方信息技术有 限公司
4 4 山东安云信息技术有 限公司
4 4 河北网信智安信息技 术有限公司
3 3 广西鑫瀚科技有限公 司
2 2 江苏君立华域信息安 全技术有限公司
2 2 安徽新华博信息技术 股份有限公司
1 1 清远职业技术学院
1 1 CNCERT
山西分中心 23 23 CNCERT江西分中心 16 16 CNCERT新疆分中心
7 7 CNCERT重庆分中心
7 7 CNCERT宁夏分中心
6 6 CNCERT安徽分中心
2 2 CNCERT河南分中心
2 2 CNCERT北京分中心
1 1 CNCERT吉林分中心
1 1 个人 96 96 报送总计 1229 661 录入总计 491(去重) 661 表1漏洞报送情况统计表 本周漏洞按类型和厂商统计 本周,CNVD收录了491个漏洞。
其中应用程序漏洞267个,操作系统漏洞89个, web应用漏洞76个,网络设备漏洞47个,安全产品漏洞10个,数据库漏洞2个。
漏洞影响对象类型 漏洞数量 应用程序漏洞 267 操作系统漏洞 89 web应用漏洞 76 网络设备漏洞 47 安全产品漏洞 10 数据库漏洞
2 表2漏洞按影响类型统计表 图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Adobe、Apple、Google等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
序号 厂商(产品) 漏洞数量 所占比例
1 Adobe 53 11%
2 Apple 50 10%
3 Google 33 7%
4 Huawei 28 6%
5 ImageMagick 21 4%
6 IBM 17 3%
7 Cisco 15 3%
8 NetIQ 11 2%
9 Revive
Adserver
9 2% 10 其他 254 52% 表3漏洞产品涉及厂商分布统计表 本周行业漏洞收录情况 本周,CNVD收录了32个电信行业漏洞,84个移动互联网行业漏洞,9个工控系统行业漏洞(如下图所示)。
其中,“CoDeSys堆栈缓冲区溢出漏洞、CoDeSysWeb服务器任意文件上传漏洞、多个Cisco产品本地权限提升漏洞、华为Campus系列交换机堆缓冲区溢出漏洞、多款华为Quidway交换机拒绝服务漏洞、华为交换机Y.1731拒绝服务漏洞、多个Cisco产品本地命令注入漏洞(CNVD-2017-04873)、CambiumNetworPilotR200/201存在漏洞、CoDeSys堆栈缓冲区溢出漏洞、CoDeSysWeb服务器任意文件上传漏洞”的综合评级为“高危”。
相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:/移动互联网行业漏洞链接:/工控系统行业漏洞链接:/ 图3电信行业漏洞统计 图4移动互联网行业漏洞统计 图5工控系统行业漏洞统计 本周重要漏洞安全告警 本周,CNVD整理和发布以下重要安全漏洞信息。
1、Jackson框架存在Java反序列化代码执行漏洞 Jackson是一个开源的java序列化与反序列化工具。
本周,该产品被披露存在Java反序列化代码执行漏洞,攻击者可利用漏洞在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权。
CNVD收录的相关漏洞包括:Jackson框架enableDefaultTyping方法反序列化漏洞。
该漏洞的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2017-044832、Adobe产品安全漏洞 AdobeAcrobat和Reader是美国Adobe公司开发的一款可以用便携式文档格式出版所有的文档的编辑软件。
本周,该产品被披露存在内存破坏漏洞,攻击者可利用漏洞控制受影响的系统,执行任意代码。
CNVD收录的相关漏洞包括:AdobeAcrobat和Reader内存破坏漏洞(CNVD-2017-04690、CNVD-2017-04691、CNVD-2017-04692、CNVD-2017-04693、CNVD-2017-04694、CNVD-2017-04695、CNVD-2017-04696、CNVD-2017-04697)。
上述漏洞的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2017-04690 /flaw/show/CNVD-2017-04691/flaw/show/CNVD-2017-04692/flaw/show/CNVD-2017-04693 /flaw/show/CNVD-2017-04694/flaw/show/CNVD-2017-04695/flaw/show/CNVD-2017-04696/flaw/show/CNVD-2017-046973、Google产品安全漏洞GoogleAndroid是一款基于Linux开放性内核的手机操作系统。
本周,该产品被披露存在权限提升漏洞,攻击者可利用漏洞提升权限。
CNVD收录的相关漏洞包括:GoogleAndroidWi-FiDriver权限提升漏洞(CNVD-2017-04965、CNVD-2017-04966、CNVD-2017-04967、CNVD-2017-04968、CNVD-2017-04969、CNVD-2017-04576、CNVD-2017-04578、CNVD-2017-04579)。
上述漏洞的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2017-04965/flaw/show/CNVD-2017-04966/flaw/show/CNVD-2017-04967/flaw/show/CNVD-2017-04968/flaw/show/CNVD-2017-04969/flaw/show/CNVD-2017-04976/flaw/show/CNVD-2017-04978/flaw/show/CNVD-2017-049794、Huawei产品安全漏洞华为TecalRH1288V2等都是中国华为(Huawei)公司的服务器。
华为CampusS7700等都是企业级园区交换机。
华为HiSuite是一套用于PC端的手机助手软件。
HuaweiVicky-AL00A/Victoria-AL00A是一款智能手机。
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制、执行任意代码和发起拒绝服务攻击等。
CNVD收录的相关漏洞包括:多款华为服务器缓冲区溢出漏洞、华为CampusS7700/S9300/S9700交换机安全绕过漏洞、华为Campus系列交换机堆缓冲区溢出漏洞、华为交换机Y.1731拒绝服务漏洞、华为HiSuite中间人攻击漏洞、华为手机Bastet组件存在多个缓冲区溢出漏洞(CNVD-2017-04679、CNVD-2017-04678)、华为手机Bastet组件存在多个缓冲区溢出漏洞。
上述漏洞的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2017-04637/flaw/show/CNVD-2017-04632/flaw/show/CNVD-2017-05106 /flaw/show/CNVD-2017-05108 /flaw/show/CNVD-2017-05109 /flaw/show/CNVD-2017-04679 /flaw/show/CNVD-2017-04678 /flaw/show/CNVD-2017-04677
5、Linksys
SmartWi-FiRouters命令注入漏洞 LinksysSmartWi-FiRouters是智能Wi-Fi路由器。
本周,LinksysSmartWi-FiRouters 被披露存在命令注入漏洞,攻击者通过设备认证可以root权限在设备的操作系统上注入 和执行恶意代码。
目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布漏 洞修补程序。
CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:/flaw/show/CNVD-2017-05025 更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。
参考链接: CNVD编漏洞名称号 综合评级 CNVD-201ImageMagickjngdecoder拒绝服高 7-04496 务漏洞 CNVD-201NetIQessManager远程代码高 7-04726 执行漏洞 CNVD-201NetIQessManager访问认证高 7-04959 凭据漏洞 CNVD-201Erlang/OTP堆缓冲区溢出漏洞高7-04989 CNVD-201CoDeSys堆栈缓冲区溢出漏洞高7-05023 CNVD-201多款Brother设备认证绕过漏洞高7-05030 CNVD-201CambiumPilot 高 7-05041 R200/201存在漏洞 修复方式 厂商已发布了漏洞修复程序,请及时关注更新:厂商已发布漏洞修复程序,请及时关注更新:/support/kb/doc.php?
id=7017807厂商已发布了漏洞修复程序,请及时关注更新:/support/kb/doc.php?
id=7017818厂商已发布了漏洞修复程序,请及时关注更新:/erlang/otp/pull/1108目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:/codesys-23.html厂商已发布漏洞修复程序,请及时关注更新:/blad/WLB-2017040064厂商已发布了漏洞修复程序,请及时关注更新:/ CNVD-201TenableNessusAgent模式本地高 7-05084 权限提升漏洞 CNVD-201GnuTLS存在多个漏洞 高 7-05090 CNVD-201DragonWaveHorizon硬编码凭高 7-05113 据漏洞 厂商已发布了漏洞修复程序,请及时关注更新:/security/tns2017-08目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:/ 表4部分重要高危漏洞列表 小结:本周,Jackson被披露存在Java反序列化代码执行漏洞,攻击者可利用漏洞 在服务器主机上执行任意代码或系统指令。
此外,Adobe、Google、Huawei等多款产品 被披露存在多个漏洞,攻击者利用漏洞可执行任意代码、绕过安全限制、提升权限或发 起拒绝服务攻击等。
另外,LinksysSmartWi-FiRouters被披露存在命令注入漏洞,攻 击者通过设备认证可以root权限在设备的操作系统上注入和执行恶意代码。
建议相关用 户随时关注上述厂商主页,及时获取修复补丁或解决方案。
本周漏洞要闻速递
1.MySQL曝中间人攻击Riddle漏洞Riddle是一个在OracleMySQL5.5和5.6客户端数据库中发现的高危安全漏洞。
允许攻击者在中间人位置使用Riddle漏洞破坏MySQL客户端和服务器之间的SSL配置连接。
此漏洞是一个非常危险的漏洞,因为首先它会影响MySQL,其次会影响SSL连接。
安全研究员PaliRohár称,导致Riddle漏洞的原因是之前存在于MySQL数据库中的BACKRONYM漏洞没有被修复。
Backronym漏洞能在中间人攻击时用来泄露密码,即使流量经过加密。
参考链接:
2.数十款Linksys路由器曝高危漏洞,可致远程命令执行及敏感信息泄露 来自IOACTIVE的研究人员最近发现了存在于Linksys智能Wifi路由器中的漏洞。
从低危到高危,其中六个可被攻击者远程利用。
2个漏洞能够让攻击者进行DoS攻击。
通过发送一些请求或者滥用特定的API,路由器会停止服务甚至重启。
这样管理员就无法访问web管理界面了,而用户也无法链接网络,除非攻击者停止攻击。
参考链接: 关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD) 是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。
关于CNCERT 国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构。
作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行。
网址:邮箱:vreport@电话:010-82990999
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。