漏洞威脅周報
本周漏洞總體態勢
總體態勢跟蹤
最近一周,深信服科技北研安全團隊跟蹤國內外多個漏洞相關平台(CNNVD、CVE、Exploit database、Security focus、Packet Storm等),各平台總計增長漏洞841條。
其中Exploit database增長漏洞19條,Security focus增長漏洞89條,Packet Storm增長漏洞90條,CNNVD漏洞增長最多,共增長643條(佔比76.4%)。
整體漏洞類型與利用佔比情況如下,web應用程序開發佔比最高(37%),應重點關注,其次是遠程攻擊佔比26%,拒絕服務概念驗證和本地特權升級利用分別佔比26%、21%,利用Shellcode存檔和安全文件佔比最少(均為5%)。
重要廠商漏洞跟蹤
最近一周,深信服科技北研安全團隊所跟蹤的50多個重點軟體廠商中,Spring、Debian、Adobe、Microsoft四家廠商發布安全補丁和更新。其中Spring更新漏洞1條,Debian更新漏洞15條,Adobe更新漏洞112條,Microsoft更新漏洞53條(其中高危漏洞17條),詳細漏洞信息如下。
Spring產品安全漏洞
產品介紹:
Spring是於2003 年興起的一個輕量級的Java 開發框架,它解決的是業務邏輯層和其他各層的松耦合問題。
跟蹤漏洞包括:
Spring更新漏洞1條,(CVE-2018-11045)Operations Manager圖像包含靜態LRNG種子文件漏洞,嚴重程度為中危。2.1.x 版本到之前的2.1.6版本,2.0 v版本到之前的 2.0.15版本,1.12 版本到之前的1.12.22版本均受到影響。提醒用戶及時下載補丁更新,避免引發漏洞相關的網路安全事件。
參考鏈接:
https://pivotal.io/security/cve-2018-11045
Debian產品安全漏洞
產品介紹:
Debian 是一個自由的操作系統(OS),提供您安裝在計算機上使用。操作系統就是能讓您的計算機工作的一系列基本程序和實用工具。
跟蹤漏洞包括:
Debian 官方在本周於2018年7月11日和13日公布漏洞安全更新,影響軟體包分別是cups和thunderbird。涉及漏洞的CVE編號為(CVE-2017-15400, CVE-2018-4180,CVE-2018-4181,CVE-2018-6553),(CVE-2018-5188,CVE-2018-12359,CVE-2018-12360,CVE-2018-12362,CVE-2018-12363,CVE-2018-12364,CVE-2018-12365,CVE-2018-12366,CVE-2018-12372, CVE-2018-12373, CVE-2018-12374),提醒用戶及時下載補丁更新,避免引發漏洞相關的網路安全事件。
參考鏈接:
https://www.debian.org/security/2018/dsa-4244
https://www.debian.org/security/2018/dsa-4243
Adobe產品安全漏洞
產品介紹:
Adobe是世界領先的數字媒體和在線營銷解決方案供應商。Adobe Acrobat和Reader都是美國奧多比(Adobe)公司的產品。前者是一套PDF文件編輯和轉換工具,後者是一套PDF文檔閱讀軟體。
跟蹤漏洞包括:
Adobe發布了針對112個影響Adobe產品的漏洞安全更新和修復。涉及產品包括Adobe Flash Player、Adobe Experience 、Adobe Connect、 Adobe Acrobat。其中涉及的高危漏洞主要有Adobe Acrobat和Reader內存錯誤引用漏洞(CNVD-2018-13051),Adobe Acrobat和Reader堆溢出漏洞(CNVD-2018-13067),Adobe Acrobat和Reader雙重釋放漏洞,Adobe Acrobat和Reader遠程代碼執行漏洞(CNVD-2018-12939)等。提醒用戶及時下載補丁更新,避免引發漏洞相關的網路安全事件。
參考鏈接:
https://gbhackers.com/adobe-security-updates-2/
Microsoft產品安全漏洞
產品介紹:
微軟,是一家美國跨國科技公司以研發、製造、授權和提供廣泛的電腦軟體服務業務為主。
跟蹤漏洞包括:
2018年7月10日,微軟發布每月漏洞更新,此次共發布53個影響Microsoft產品的漏洞安全更新和修復。其中包括Microsoft Edge內存破壞漏洞(CNVD-2018-12883),Microsoft Edge Chakra腳本引擎內存破壞漏洞(CNVD-2018-12889)等高危漏洞,此類漏洞源於Microsoft Edge未能正確訪問內存中的對象。攻擊者可利用該漏洞在當前用戶的上下文中執行任意代碼,從而可獲得與當前用戶相同的用戶許可權。提醒用戶及時下載補丁更新,避免引發漏洞相關的網路安全事件。
參考鏈接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/
重要漏洞預警
D-Link DIR601 2.02 憑證泄露漏洞
漏洞等級:中危
受影響系統:D-Link DIR601
漏洞描述:
2018年7月10日,Hardware平台發布了安全漏洞,漏洞危害程度為中等(moderate)。可以將HTTP POST修改為my_cgi.cgi並包含為table_name引用,以便在適用的情況下檢索管理憑據、無線ssid和預共享密鑰。
解決方案:
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-12508
Tor內存錯誤引用漏洞(CNVD-2018-05900)
漏洞等級:中危
受影響系統:Tor Tor 0.3.2.*,
漏洞描述:
Tor(The Onion Router)是第二代洋蔥路由(onion routing)的一種實現,主要用於匿名訪問互聯網。Tor 0.3.2.10之前的0.3.2.x版本中存在內存錯誤引用漏洞。遠程攻擊者可利用該漏洞造成拒絕服務(崩潰)。
解決方案:
目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://blog.torproject.org/new-stable-tor-releases-security-fixes-and-dos-prevention-03210-03110-02915
參考鏈接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0491
Microsoft Edge Chakra JIT Out-of-Bounds讀/寫漏洞
漏洞等級:中危
受影響系統:ChakraCore,Internet Explorer 11,Microsoft Edge,Internet Explorer 10
漏洞描述:
Edge是微軟為Windows 10打造的瀏覽器,分散式拒絕服務(DDoS)攻擊指藉助於客戶/伺服器技術,將多個計算機聯合起來作為攻擊平台,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力,大量合法的請求佔用大量網路資源,以達到癱瘓網路的目的。
解決方案:
目前廠商已經發布了升級補丁以修復這個安全問題,請到廠商的主頁下載:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8145
參考鏈接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8145
HP VAN SDN控制器 根命令注入漏洞
漏洞等級:高危
受影響系統:HP VAN SDN控制器
漏洞描述:
程序中因為某些功能需要執行系統命令,並通過網頁傳遞參數到後台執行,然而最根本的原因是沒有對輸入框中的內容做代碼過濾,正常情況下輸入框只能接收指定類型的數據。命令注入漏洞可以使攻擊在受攻擊的伺服器上執行任意的系統命令。
解決方案:
目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://www8.hp.com/cn/zh/home.html
參考鏈接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6961
Adobe Acrobat和Reader內存錯誤引用漏洞
漏洞等級:高危
受影響系統:
Adobe Acrobat DC
Adobe Acrobat DC
Adobe Acrobat Reader DC
Adobe Acrobat 2017
Adobe Acrobat Reader 2017
Adobe Acrobat Reader DC
漏洞描述:
Adobe Acrobat是由Adobe公司開發的一款PDF編輯軟體。Adobe Reader(也被稱為Acrobat Reader)是美國Adobe公司開發的一款PDF文件閱讀軟體。Adobe Acrobat和Reader存在內存錯誤引用重用漏洞。攻擊者可利用該漏洞執行任意代碼。
解決方案:
廠商已發布漏洞修復程序,請及時關注更新:
https://helpx.adobe.com/security/products/acrobat/apsb18-21.html
參考鏈接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12796
D-Link DIR-620路由器操作系統命令注入漏洞
漏洞等級:高危
受影響系統:D-Link DIR-620 1.0.3
漏洞描述:
D-link DIR-620是友訊(D-Link)公司的一款無線路由器產品。D-Link DIR-620中存在操作系統命令注入漏洞,該漏洞源於程序未能正確的處理傳遞到index.cgi文件的『res_buf』參數。攻擊者可利用該漏洞執行操作系統命令
解決方案:
參考鏈接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6211
ONELAN CMS任意文件上傳漏洞
漏洞等級:高危
受影響系統:ONELAN ONELAN CMS 3.3.0 Build 56815
漏洞描述:
ONELAN Content Management System (CMS)是一款內容管理系統。ONELAN CMS存在任意文件上傳漏洞,允許攻擊者利用漏洞將任意文件上傳到系統中。
解決方案:
用戶可聯繫供應商獲得補丁信息:https://onelan.com/products/publisher-cms/
參考鏈接:
https://www.compass-security.com/fileadmin/Datein/Research/Advisories/CSNC-2018-009_onelan_cms_arbitrary_file_upload.txt
Google Android Qualcomm組件許可權提升漏洞
漏洞等級:高危
受影響系統:Google Android
漏洞描述:
Android是美國谷歌(Google)公司和開放手持設備聯盟(簡稱OHA)共同開發的一套以Linux為基礎的開源操作系統。Google Android Qualcomm組件WLAN存在許可權提升漏洞。攻擊者可利用該漏洞實現許可權提升。
解決方案:廠商已發布漏洞修復程序,請及時關注更新:
https://source.android.com/security/bulletin/2018-06-01
參考鏈接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5834
IBM iNotes跨站腳本漏洞
漏洞等級:中危
受影響系統:
IBM iNotes
IBM iNotes 9.*,
漏洞描述:
IBM iNotes(又名IBM Lotus iNotes)是美國IBM公司的一套基於Web的電子郵件軟體。該軟體可幫助不同類型的用戶(在線用戶和離線用戶)有效地管理關鍵業務信息和協作。IBM iNotes 8.5.3 Fix Pack 6之前版本和9.0.1之前的9.x版本中存在跨站腳本漏洞。遠程攻擊者可利用該漏洞注入任意的Web腳本或HTML。
解決方案:
目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://www-01.ibm.com/support/docview.wss?uid=swg21671622
參考鏈接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0592
Microsoft Edge信息泄露漏洞
漏洞等級:中危
受影響系統:Microsoft Edge
漏洞描述:
Edge是微軟為Windows 10打造的瀏覽器。Microsoft Edge存在信息泄露漏洞。該漏洞源於Microsoft Edge未能正確處理內存中的對象。攻擊者可利用該漏洞獲取信息,從而可進一步危害用戶的系統。
解決方案:
廠商已發布漏洞修復程序,請及時關注更新:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8325
參考鏈接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8325
TAG:千里目安全實驗室 |