漏洞代码签名

本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中.
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞102个,其中高危漏洞30个、中危漏洞67个、低危漏洞5个.
漏洞平均分值为5.
76分.
本周收录的漏洞中,涉及0day漏洞14个(占14%).
其中互联网上出现"ManageEngineFirewallAnalyzer'runQuery.
do'SQL注入漏洞"、"ProjectSend存在多个漏洞"等零日漏洞,请使用相关产品的用户注意加强防范.
此外,本周收录涉及党政机关企事事件型漏洞总数1945个,与上周(690个)环比增长182%.
图1CNVD收录漏洞近10周平均分值分布图本周漏洞报送情况统计本周,共7家成员单位、合作伙伴及个人报送了本周收录的全部102个漏洞.
报送情况如表1所示.
其中,奇虎(补天平台)、安天实验室、天融信、恒安嘉新等单位报送数量较多.
补天平台、乌云、漏洞盒子、广州白狐网络科技有限公司及白帽子向CNVD国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2016年02月29日-2016年03月06日2016年第10期提交了1945个以事件型漏洞为主的原创漏洞.
报送单位或个人漏洞报送数量原创漏洞数量奇虎(补天平台)12961296安天实验室1060天融信510恒安嘉新220H3C50知道创宇21绿盟科技10乌云579579漏洞盒子2525广州白狐网络科技有限公司11CNCERT宁夏分中心44CNCERT陕西分中心22CNCERT福建分中心11个人3636报送总计21311945录入总计102(去重)1945表1成员单位上报漏洞统计表注:本周与360公司补天平台接口出现回补情况,统计数量出现激增.
本周漏洞按类型和厂商统计本周,CNVD收录了102个漏洞.
其中应用程序漏洞75个,Web应用漏洞13个,操作系统漏洞7个,网络设备漏洞7个.
漏洞影响对象类型漏洞数量应用程序漏洞75Web应用漏洞13操作系统漏洞7网络设备漏洞7表2漏洞按影响类型统计表图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Wireshark、IBM、Cisco等多家厂商的产品,部分漏洞数量按厂商统计如表3所示.
序号厂商(产品)漏洞数量所占比例1Wireshark1212%2IBM1010%3Cisco77%4OpenSSL66%5Yeager66%6Squid55%7CloudBees55%8phpMyAdmin44%9QNAP44%10其他4341%表3漏洞产品涉及厂商分布统计表本周行业漏洞收录情况本周,CNVD收录了15个电信行业漏洞、3个工控系统行业漏洞(如下图所示).
其中,"CiscoNexus9000ApplicationCentricInfrastructureMode拒绝服务漏洞、CiscoApplicationPolicyInfrastructureController和Nexus9000ACIModeSwitches安全绕过漏洞"的综合评级为"高危".
相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接.
电信行业漏洞链接:http://telecom.
cnvd.
org.
cn/移动互联网行业漏洞链接:http://mi.
cnvd.
org.
cn/工控系统行业漏洞链接:http://ics.
cnvd.
org.
cn/图3电信行业漏洞统计图4工控系统行业漏洞统计本周重要漏洞安全告警本周,CNVD整理和发布以下重要安全漏洞信息.
1、OpenSSL产品安全漏洞OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等.
本周,上述产品被披露存在多个安全漏洞,攻击者利用漏洞可进行跨协议攻击和发起拒绝服务攻击等.
CNVD收录的相关漏洞包括:OpenSSL模幂运算旁路攻击漏洞、OpenSSLSRP_VBASE_get_by_user内存泄露漏洞、OpenSSLDSA代码双重释放漏洞、OpenSSLBleichenbacheroracle漏洞、OpenSSLSSLv2分治型会话密钥恢复漏洞、OpenSSL跨协议攻击漏洞.
其中,"OpenSSL跨协议攻击漏洞"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01456http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01438http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01437http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01436http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01435http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-013672、IBM产品安全漏洞IBMWebSpherePortal是美国IBM公司的一套企业门户软件.
该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据.
本周,上述产品被披露存在跨站脚本、开放重定向、拒绝服务漏洞等,攻击者利用漏洞可注入任意Web脚本或HTML、重定用户到任意web网站或发起拒绝服务攻击等.
CNVD收录的相关漏洞包括:IBMWebSpherePortalXML解析器拒绝服务漏洞、IBMWebSpherePortal跨站脚本漏洞(CNVD-2016-01422、CNVD-2016-01424、CNVD-2016-01420、CNVD-2016-01419)、IBMWebSpherePortal设计漏洞、IBMWebSpherePortal开放重定向漏洞(CNVD-2016-01416).
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01423http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01422http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01424http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01420http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01419http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01418http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-014163、Wireshark产品安全漏洞Wireshark是最流行的网络协议解析器.
本周,上述产品被披露存在拒绝服务漏洞,攻击者利用漏洞可发起拒绝服务攻击.
CNVD收录的相关漏洞包括:Wireshark拒绝服务漏洞(CNVD-2016-01446、CNVD-2016-01445、CNVD-2016-01444、CNVD-2016-01448、CNVD-2016-01447、CNVD-2016-01449)、WiresharkDNP3解析器拒绝服务漏洞、WiresharkHiQnet解析器拒绝服务漏洞.
其中,"WiresharkDNP3解析器拒绝服务漏洞"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01446http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01445http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01444http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01448http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01447http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01449http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01408http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-014074、Yeager产品安全漏洞Yeager是一套开源的内容管理系统.
本周,该产品被披露存在SQL注入、跨站脚本、跨站请求伪造和任意文件上传漏洞,攻击者利用漏洞可获得数据库敏感信息、进行跨站脚本和跨站请求伪造攻击或执行任意代码.
CNVD收录的相关漏洞包括:Yeager跨站请求伪造漏洞、YeagerSQL注入漏洞、YeagerSQL注入漏洞(CNVD-2016-01401、CNVD-2016-01400)、Yeager跨站脚本漏洞、Yeager任意文件上传漏洞.
其中,除"Yeager跨站请求伪造漏洞、Yeager跨站脚本漏洞"外,其余漏洞的综合评级均为"高危".
目前,厂商已发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01403http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01402http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01401http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01400http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01405http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-014045、ManageEngineFirewallAnalyzer'runQuery.
do'SQL注入漏洞ZOHOManageEngineFirewallAnalyzer是美国卓豪(ZOHO)公司的一套基于Web的防火墙日志分析工具,它能收集、关联分析和汇报整个企业范围内的防火墙、proxy伺服器和Radius伺服器上的日志.
本周,ZOHOManageEngineFirewallAnalyzer被披露存在SQL注入漏洞,攻击者可利用漏洞控制应用程序,访问或修改数据库数据.
目前,厂商尚未发布漏洞修补程序.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01340更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htmCNVD编号漏洞名称综合评级修复方式CNVD-2016-01342UbuntuLinux本地权限提升漏洞(CNVD-2016-01342)高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://www.
ubuntu.
com/CNVD-2016-01345UbuntuLinux本地权限提升漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://www.
ubuntu.
com/CNVD-2016-01371JoyentSmartOS存在多个漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://smartos.
org/CNVD-2016-01373sos不安全文件权限漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://github.
com/sosreport/sosCNVD-2016-01375CloudBeesJenkinsCI和LTS远程代码执行漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://wiki.
jenkins-ci.
org/display/SECURITY/Security+Advisory+2016-02-24CNVD-2016-01391JasPer'jas_matrix_create()'函数远程整数溢出漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:http://www.
ece.
uvic.
ca/~frodo/software.
htmlCNVD-2016-01390Linuxkernel本地权限提升漏洞(CNVD-2016-01390)高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.
kernel.
org/CNVD-2016-01389OICExponentCMS远程代码执行漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:http://www.
exponentcms.
org/CNVD-2016-01388QNAPSystemsiArtistLite命令执行漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.
qnap.
com/CNVD-2016-01385QNAPSystemsSignageStation脚本执行漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.
qnap.
com/表4部分重要高危漏洞列表小结:本周,OpenSSL产品被披露存在多个安全漏洞,攻击者利用漏洞可进行跨协议攻击和发起拒绝服务攻击等.
此外,IBM、Wireshark、Yeager等多款产品被披露存在多个安全漏洞,攻击者利用漏洞可获得敏感信息、执行任意代码、进行跨站脚本和跨站请求伪造攻击或发起拒绝服务攻击等.
此外,ZOHOManageEngineFirewallAnalyzer被披露存在一个SQL注入漏洞,攻击者可利用该漏洞控制应用程序,访问或修改数据库数据.
建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案.
本周漏洞要闻速递1.
Jenkins之Java反序列化漏洞Jenkins近日修复了一个可通过低权限用户调用API服务致使的命令执行漏洞:低权限用户通过构造一个恶意的XML文档并发送至服务端接口,使服务端解析时调用API执行外部命令.
因此,对于jenkins用户,我们给予以下安全建议:1、Jenkins已经发布了该漏洞的补丁,建议用户更新至最新版本Jenkins1.
650及以上版本,并且尽量保证jenkins账号不为弱口令.
2、网络管理员应该对jenkins实行访问控制,并且放入内网对外网不开放,同时禁止jenkins的匿名访问权限.
参考链接:http://www.
freebuf.
com/vuls/97659.
html2.
安卓版百度浏览器远程代码执行漏洞近日,安全研究人员在百度安卓浏览器中,发现了一个远程代码执行漏洞.
由于Windows和安卓版本的百度浏览器,都未使用代码签名机制来保护软件更新的安全.
这意味着在其程序路径下的恶意文件可以下载并执行任意代码,系统将存在巨大的隐患.
参考链接:http://www.
freebuf.
com/vuls/97607.
html关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家计算机网络应急技术处理协调中心(简称"国家互联网应急中心",英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
网址:www.
cert.
org.
cn邮箱:vreport@cert.
org.
cn电话:010-82990999