您所在的位置: 首頁 >
安全研究 >
安全通告 >
2022年CNVD漏洞周報(bào)第16期
(2022年04月18日-2022年04月24日)
本周漏洞態(tài)勢(shì)研判情況
本周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。
國(guó)家信息安全漏洞共享平臺(tái)(以下簡(jiǎn)稱CNVD)本周共收集、整理信息安全漏洞369個(gè),其中高危漏洞110個(gè)、中危漏洞219個(gè)、低危漏洞40個(gè)。漏洞平均分值為5.81。本周收錄的漏洞中,涉及0day漏洞192個(gè)(占52%),其中互聯(lián)網(wǎng)上出現(xiàn)“AeroCMS跨站腳本漏洞(CNVD-2022-30784)、CxuuCms跨站腳本漏洞(CNVD-2022-31818)”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機(jī)關(guān)和企事業(yè)單位的事件型漏洞總數(shù)9337個(gè),與上周(4626個(gè))環(huán)比增加102%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
本周漏洞事件處置情況
本周,CNVD向銀行、保險(xiǎn)、能源等重要行業(yè)單位通報(bào)漏洞事件83起,向基礎(chǔ)電信企業(yè)通報(bào)漏洞事件60起,協(xié)調(diào)CNCERT各分中心驗(yàn)證和處置涉及地方重要部門漏洞事件940起,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗(yàn)證和處置高校科研院所系統(tǒng)漏洞事件119起,向國(guó)家上級(jí)信息安全協(xié)調(diào)機(jī)構(gòu)上報(bào)涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件160起。
此外,CNVD通過已建立的聯(lián)系機(jī)制或涉事單位公開聯(lián)系渠道向以下單位通報(bào)了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:
紫光股份有限公司、淄博閃靈網(wǎng)絡(luò)科技有限公司、珠海奧威軟件科技有限公司、重慶中聯(lián)信息產(chǎn)業(yè)有限責(zé)任公司、重慶楚捷科技有限公司、眾勤通信設(shè)備貿(mào)易(上海)有限公司、中易云(唐山)物聯(lián)網(wǎng)科技有限公司、中國(guó)南玻集團(tuán)股份有限公司、鄭州木云電子科技有限公司、浙江宇視科技有限公司、長(zhǎng)沙米拓信息技術(shù)有限公司、云南鏈滴科技有限公司、昱能科技股份有限公司、用友網(wǎng)絡(luò)科技股份有限公司、易赳科技(集團(tuán))有限公司、兄弟(中國(guó))商業(yè)有限公司、新開普電子股份有限公司、西安九佳易信息資訊有限公司、西安建大靜態(tài)交通研究院有限公司、西安佰聯(lián)網(wǎng)絡(luò)技術(shù)有限公司、武漢天地偉業(yè)科技有限公司、武漢客客信息技術(shù)有限公司、武漢漸入佳競(jìng)網(wǎng)絡(luò)科技有限公司、武漢達(dá)夢(mèng)數(shù)據(jù)庫(kù)股份有限公司、溫州互引信息技術(shù)有限公司、微軟(中國(guó))有限公司、通用電氣(GE)公司、臺(tái)達(dá)電子企業(yè)管理(上海)有限公司、蘇州科達(dá)科技股份有限公司、四平市九州易通科技有限公司、四川迅睿云軟件開發(fā)有限公司、視聯(lián)動(dòng)力信息技術(shù)股份有限公司、深圳云安寶科技有限公司、深圳維盟科技股份有限公司、深圳市迅捷通信技術(shù)有限公司、深圳市微客互動(dòng)有限公司、深圳市網(wǎng)域科技技術(shù)有限公司、深圳市萬網(wǎng)博通科技有限公司、深圳市思迅軟件股份有限公司、深圳市吉祥騰達(dá)科技有限公司、上海卓卓網(wǎng)絡(luò)科技有限公司、上海卓佑計(jì)算機(jī)技術(shù)有限公司、上海遠(yuǎn)豐信息科技(集團(tuán))有限公司、上海盈策信息技術(shù)有限公司、上海銀宇信息技術(shù)有限公司、上海攜寧計(jì)算機(jī)科技股份有限公司、上海物創(chuàng)信息科技有限公司、上海七牛信息技術(shù)有限公司、上海納宇電氣有限公司、上海寬爾網(wǎng)絡(luò)科技有限公司、上??咸貎x表股份有限公司、上海鴻翼軟件技術(shù)股份有限公司、上海海典軟件股份有限公司、上海孚盟軟件有限公司、上海泛微網(wǎng)絡(luò)科技股份有限公司、上海二三四五網(wǎng)絡(luò)科技有限公司、上海締安科技股份有限公司、上海大漢三通數(shù)據(jù)通信有限公司、熵基科技股份有限公司、山西企凝信息科技有限公司、山東中創(chuàng)軟件商用中間件股份有限公司、山東山大華天軟件有限公司、山東康程信息科技有限公司、山東環(huán)球軟件股份有限公司、廈門一指通智能科技有限公司、廈門四信通信科技有限公司、三星(中國(guó))投資有限公司、瑞昱半導(dǎo)體股份有限公司、融成(天津)信息技術(shù)有限公司、任子行網(wǎng)絡(luò)股份有限公司、群暉網(wǎng)絡(luò)科技(上海)有限公司、麒麟軟件有限公司、南京云網(wǎng)匯聯(lián)軟件技術(shù)有限公司、南京酷軟軟件有限公司、南京笨驢信息技術(shù)有限公司、美的集團(tuán)股份有限公司、滿金壩(深圳)科技有限公司、臨沭縣俊澤商貿(mào)有限公司、朗坤智慧科技股份有限公司、廊坊市極致網(wǎng)絡(luò)科技有限公司、江蘇曼荼羅軟件股份有限公司、佳能(中國(guó))有限公司、濟(jì)南拓興電子科技有限公司、濟(jì)南亙安信息技術(shù)有限公司、吉翁電子(深圳)有限公司、惠普貿(mào)易(上海)有限公司、華碩電腦(上海)有限公司、湖南建研信息技術(shù)股份有限公司、湖南創(chuàng)星科技股份有限公司、湖南奧科網(wǎng)絡(luò)技術(shù)股份有限公司、湖北點(diǎn)點(diǎn)點(diǎn)科技有限公司、恒熱投資控股有限公司、河南新遠(yuǎn)方商翼電子科技有限公司、河南恩熙信息技術(shù)有限公司、河北利萬信息科技有限公司、杭州益仕行信息技術(shù)有限公司、杭州雄偉科技開發(fā)股份有限公司、杭州圖特信息科技有限公司、杭州荷花軟件有限公司、杭州貝騰科技有限公司、漢王科技股份有限公司、海南贊贊網(wǎng)絡(luò)科技有限公司、哈爾濱新中新電子股份有限公司、廣州月月鳥智能科技有限公司、廣州倚和視光科技有限公司、廣州圖創(chuàng)計(jì)算機(jī)軟件開發(fā)有限公司、廣州齊博網(wǎng)絡(luò)科技有限公司、廣州靈犀互動(dòng)娛樂有限公司、廣州巨杉軟件開發(fā)有限公司、廣州紅帆科技有限公司、廣聯(lián)達(dá)科技股份有限公司、福州凌頂軟件有限公司、東莞市天策網(wǎng)絡(luò)科技有限公司、大唐電信科技股份有限公司、大連貝芙瑞美容服務(wù)有限公司、成都同飛科技有限責(zé)任公司、北京中創(chuàng)視訊科技有限公司、北京智網(wǎng)科技股份有限公司、北京云帆互聯(lián)科技有限公司、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司、北京象新力科技有限公司、北京五指互聯(lián)科技有限公司、北京網(wǎng)御星云信息技術(shù)有限公司、北京通達(dá)信科科技有限公司、北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司、北京神州數(shù)碼云科信息技術(shù)有限公司、北京上元信安技術(shù)有限公司、北京九思協(xié)同軟件有限公司、北京宏業(yè)超世紀(jì)科技有限公司、北京東華原醫(yī)療設(shè)備有限責(zé)任公司、北京超圖軟件股份有限公司、北京碧海威科技有限公司、北京百卓網(wǎng)絡(luò)技術(shù)有限公司、北京百變悟空科技有限公司、安科瑞電氣股份有限公司、安川電機(jī)(中國(guó))有限公司、阿里巴巴集團(tuán)安全應(yīng)急響應(yīng)中心、沈陽市皇姑區(qū)愛濃網(wǎng)絡(luò)技術(shù)服務(wù)中心、梓豪團(tuán)隊(duì)、三菱電機(jī)株式會(huì)社、夢(mèng)想CMS、zzzcms、ZZCMS、X6CMS、VMware、Sonatype、SeaCMS、Redis、Pluck CMS、PHPGurukul、OneBlog、NETGEAR、MinIO、JreCms、Fronius、FANUC、DM建站系統(tǒng)、CuppaCMS、Cesanta和Adobe。
本周,CNVD發(fā)布了《Oracle發(fā)布2022年4月的安全公告》。詳情參見CNVD網(wǎng)站公告內(nèi)容。
https://www.cnvd.org.cn/webinfo/show/7626
本周漏洞報(bào)送情況統(tǒng)計(jì)
本周報(bào)送情況如表1所示。其中,深信服科技股份有限公司、新華三技術(shù)有限公司、安天科技集團(tuán)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、北京神州綠盟科技有限公司等單位報(bào)送公開收集的漏洞數(shù)量較多。北京華順信安科技有限公司、杭州??低晹?shù)字技術(shù)股份有限公司、北京山石網(wǎng)科信息技術(shù)有限公司、北京云科安信科技有限公司(Seraph安全實(shí)驗(yàn)室)、長(zhǎng)春嘉誠(chéng)信息技術(shù)股份有限公司、內(nèi)蒙古洞明科技有限公司、杭州迪普科技股份有限公司、南京樹安信息技術(shù)有限公司、北京水木羽林科技有限公司、上海紐盾科技股份有限公司、貴州泰若數(shù)字科技有限公司、重慶都會(huì)信息科技、河南靈創(chuàng)電子科技有限公司、河南信安世紀(jì)科技有限公司、福建省海峽信息技術(shù)有限公司、河北千誠(chéng)電子科技有限公司、河南東方云盾信息技術(shù)有限公司、北京百度網(wǎng)訊科技有限公司、快頁信息技術(shù)有限公司、山東云天安全技術(shù)有限公司、交通運(yùn)輸信息安全中心有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、武漢安域信息安全技術(shù)有限公司、廣西等保安全測(cè)評(píng)有限公司、江蘇保旺達(dá)軟件技術(shù)有限公司、山東澤鹿安全技術(shù)有限公司、河南省鼎信信息安全等級(jí)測(cè)評(píng)有限公司、北京惠而特科技有限公司、賽爾網(wǎng)絡(luò)有限公司山東分公司、南京節(jié)點(diǎn)安全技術(shù)有限公司、河北華測(cè)信息技術(shù)有限公司、深圳市魔方安全科技有限公司、南京深安科技有限公司、北京威努特技術(shù)有限公司、江蘇天競(jìng)云合數(shù)據(jù)技術(shù)有限公司、麒麟軟件有限公司、廣西塔易信息技術(shù)有限公司、上海上訊信息技術(shù)股份有限公司、南京禾盾信息科技有限公司、北京機(jī)沃科技有限公司、蘇州棱鏡七彩信息科技有限公司、海南神州希望網(wǎng)絡(luò)有限公司、京東探索研究院信息安全實(shí)驗(yàn)室、聯(lián)想集團(tuán)、任子行網(wǎng)絡(luò)技術(shù)股份有限公司及其他個(gè)人白帽子向CNVD提交了9337個(gè)以事件型漏洞為主的原創(chuàng)漏洞,其中包括上海交大、斗象科技(漏洞盒子)和奇安信網(wǎng)神(補(bǔ)天平臺(tái))向CNVD共享的白帽子報(bào)送的5979條原創(chuàng)漏洞信息。
表1 漏洞報(bào)送情況統(tǒng)計(jì)表
本周漏洞按類型和廠商統(tǒng)計(jì)
本周,CNVD收錄了369個(gè)漏洞。WEB應(yīng)用179個(gè),應(yīng)用程序80個(gè),網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器等網(wǎng)絡(luò)端設(shè)備)60個(gè),數(shù)據(jù)庫(kù)23個(gè),操作系統(tǒng)14個(gè),智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)12個(gè),安全產(chǎn)品1個(gè)。
表2 漏洞按影響類型統(tǒng)計(jì)表
圖2 本周漏洞按影響類型分布
CNVD整理和發(fā)布的漏洞涉及Bentley Systems、WordPress、Oracle等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計(jì)如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計(jì)表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了63個(gè)電信行業(yè)漏洞,8個(gè)移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞,5個(gè)工控行業(yè)漏洞(如下圖所示)。其中,“DrayTek Vigor遠(yuǎn)程命令注入漏洞、Wire跨站腳本漏洞(CNVD-2022-31755)”等漏洞的綜合評(píng)級(jí)為“高危”。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補(bǔ)程序,請(qǐng)參照CNVD相關(guān)行業(yè)漏洞庫(kù)鏈接。
電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/
移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/
工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖3 電信行業(yè)漏洞統(tǒng)計(jì)
圖4 移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計(jì)
圖5 工控系統(tǒng)行業(yè)漏洞統(tǒng)計(jì)
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、Google產(chǎn)品安全漏洞
Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Fscrypt是美國(guó)谷歌(Google)公司的一個(gè)開源高級(jí)工具。用于管理 Linux 本機(jī)文件系統(tǒng)加密。Google Chrome是美國(guó)谷歌(Google)公司的一款Web瀏覽器。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞訪問敏感信息,升級(jí)系統(tǒng)上的權(quán)限,執(zhí)行任意代碼等。
CNVD收錄的相關(guān)漏洞包括:Google Android輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-31771、CNVD-2022-31845)、Google fscrypt命令注入漏洞、Google Android緩沖區(qū)溢出漏洞(CNVD-2022-31836、CNVD-2022-31840)、Google Chrome輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-31839)、Google Android權(quán)限許可和訪問控制問題漏洞(CNVD-2022-31846、CNVD-2022-31844)。其中,除“Google Android輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-31771、CNVD-2022-31836)、Google Chrome輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-31839)”外,其余漏洞的綜合評(píng)級(jí)為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31771
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31832
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31836
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31840
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31839
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31846
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31845
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31844
2、ASUS產(chǎn)品安全漏洞
ASUS RT-AX56U是中國(guó)臺(tái)灣華碩(ASUS)公司的一款無線路由器。ASUS RT-AC86U是中國(guó)華碩(ASUS)公司的一款雙頻Wi-Fi路由器。ASUS RT-AC56U是中國(guó)華碩(ASUS)公司的一款雙頻Wi-Fi路由器。MyASUS是中國(guó)華碩(ASUS)公司的一個(gè)華碩官方PC應(yīng)用程序。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞注入任意SQL代碼來讀取、修改和刪除數(shù)據(jù)庫(kù),執(zhí)行任意代碼,執(zhí)行任意操作或中斷服務(wù)等。
CNVD收錄的相關(guān)漏洞包括:ASUS RT-AX56U update_json函數(shù)路徑遍歷漏洞、ASUS RT-AC56U堆緩沖區(qū)溢出漏洞、ASUS RT-AC86U輸入驗(yàn)證錯(cuò)誤漏洞、ASUS RT-AX56U堆棧緩沖區(qū)溢出漏洞、ASUS RT-AX56U SQL注入漏洞、ASUS RT-AX56U update_PLC/PORT文件路徑遍歷漏洞、ASUS MyASUS權(quán)限提升漏洞、ASUS RT-AC86U命令注入漏洞。其中,“ASUS MyASUS權(quán)限提升漏洞”漏洞的綜合評(píng)級(jí)為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31516
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31521
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31520
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31519
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31518
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31517
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31525
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31522
3、ZOHO產(chǎn)品安全漏洞
ZOHO ManageEngine ServiceDesk Plus(SDP)是美國(guó)卓豪(ZOHO)公司的一套基于ITIL架構(gòu)的IT服務(wù)管理軟件。該軟件集成了事件管理、問題管理、資產(chǎn)管理IT項(xiàng)目管理、采購(gòu)與合同管理等功能模塊。ZOHO ManageEngine Adaudit Plus是美國(guó)Zoho Corporation公司的用于簡(jiǎn)化審計(jì)、證明合規(guī)性和檢測(cè)威脅。ZOHO ManageEngine Netflow Analyzer是美國(guó)卓豪(ZOHO)公司的一套基于Web的帶寬監(jiān)控工具。該產(chǎn)品主要用于帶寬監(jiān)控和流量分析。ZOHO ManageEngine SharePoint Manager Plus是美國(guó)卓豪(ZOHO)公司的一個(gè)完整管理和審計(jì)解決方案。ZOHO ManageEngine Desktop Central(DC)是美國(guó)卓豪(ZOHO)公司的一套桌面管理解決方案。該方案包含軟件分發(fā)、補(bǔ)丁管理、系統(tǒng)配置、遠(yuǎn)程控制等功能模塊,可對(duì)桌面機(jī)以及服務(wù)器管理的整個(gè)生命周期提供支持。ZOHO ManageEngine Key Manager Plus是卓豪(ZOHO)公司的一套基于WEB的SSH秘鑰管理解決方案。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞獲取供應(yīng)商貨幣詳細(xì)信息,在集成產(chǎn)品上進(jìn)行經(jīng)過身份驗(yàn)證的權(quán)限提升,進(jìn)行遠(yuǎn)程代碼執(zhí)行等。
CNVD收錄的相關(guān)漏洞包括:ZOHO ManageEngine ServiceDesk Plus信息泄露漏洞(CNVD-2022-29863)、Zoho ManageEngine ADAudit Plus遠(yuǎn)程代碼執(zhí)行漏洞、Zoho ManageEngine ADAudit Plus權(quán)限提升漏洞、Zoho ManageEngine Netflow Analyzer Professional跨站腳本漏洞、ZOHO ManageEngine SharePoint Manager Plus權(quán)限提升漏洞、ZOHO ManageEngine SharePoint Manager Plus授權(quán)問題漏洞、ZOHO ManageEngine Desktop Central信息泄露漏洞(CNVD-2022-29876)、ZOHO ManageEngine Key Manager Plus信息泄露漏洞。其中,“Zoho ManageEngine ADAudit Plus遠(yuǎn)程代碼執(zhí)行漏洞、ZOHO ManageEngine SharePoint Manager Plus權(quán)限提升漏洞、ZOHO ManageEngine SharePoint Manager Plus授權(quán)問題漏洞”漏洞的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29863
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29866
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29864
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29867
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29874
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29873
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29876
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29875
4、Oracle產(chǎn)品安全漏洞
Oracle MySQL是美國(guó)甲骨文(Oracle)公司的一套開源的關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)。MySQL Server是其中的一個(gè)數(shù)據(jù)庫(kù)服務(wù)器組件。MySQL Connectors是其中的一個(gè)連接使用MySQL的應(yīng)用程序的驅(qū)動(dòng)程序。Oracle Commerce是美國(guó)甲骨文(Oracle)公司的一套電子商務(wù)解決方案。Oracle Virtualization和Oracle VM VirtualBox都是美國(guó)甲骨文(Oracle)公司的產(chǎn)品。Oracle Virtualization是一套虛擬化解決方案。該產(chǎn)品用于統(tǒng)一管理從應(yīng)用程序到磁盤的整個(gè)硬件和軟件體系,可實(shí)現(xiàn)從桌面到數(shù)據(jù)中心的虛擬化。VM VirtualBox是其中的一個(gè)虛擬機(jī)組件。Oracle VM VirtualBox是一款虛擬機(jī)管理軟件。Oracle Solaris是美國(guó)甲骨文(Oracle)公司的一套UNIX操作系統(tǒng)。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞導(dǎo)致MySQL Server掛起或頻繁重復(fù)崩潰(完全 DOS),執(zhí)行Oracle VM VirtualBox的基礎(chǔ)設(shè)施來破壞Oracle VM VirtualBox等。
CNVD收錄的相關(guān)漏洞包括:Oracle MySQL輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-31681、CNVD-2022-31688、CNVD-2022-31687、CNVD-2022-31686)、Oracle Virtualization和Oracle VM VirtualBox輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-31685)、Oracle Commerce輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-31684)、Oracle Virtualization和Oracle VM VirtualBox輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-31683)、Oracle Solaris拒絕服務(wù)漏洞(CNVD-2022-31682)。其中,“Oracle Commerce輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-31684)”的綜合評(píng)級(jí)為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31681
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31684
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31683
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31682
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31686
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31685
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31688
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31687
5、Linux kernel資源管理錯(cuò)誤漏洞(CNVD-2022-31767)
Linux kernel是美國(guó)Linux基金會(huì)的開源操作系統(tǒng)Linux所使用的內(nèi)核。本周,Linux kernel被披露存在資源管理錯(cuò)誤漏洞。攻擊者可利用該漏洞造成拒絕服務(wù)。目前,廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。CNVD提醒廣大用戶隨時(shí)關(guān)注廠商主頁,以獲取最新版本。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-31767
更多高危漏洞如表4所示,詳細(xì)信息可根據(jù)CNVD編號(hào),在CNVD官網(wǎng)進(jìn)行查詢。參考鏈接:http://www.cnvd.org.cn/flaw/list.htm
表4 部分重要高危漏洞列表
小結(jié):本周,Google產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞訪問敏感信息,升級(jí)系統(tǒng)上的權(quán)限,執(zhí)行任意代碼等。此外,ASUS、ZOHO、Oracle等多款產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞注入任意SQL代碼來讀取、修改和刪除數(shù)據(jù)庫(kù),執(zhí)行任意代碼,執(zhí)行任意操作或中斷服務(wù)等。另外,Linux kernel被披露存在資源管理錯(cuò)誤漏洞。攻擊者可利用該漏洞造成拒絕服務(wù)。建議相關(guān)用戶隨時(shí)關(guān)注上述廠商主頁,及時(shí)獲取修復(fù)補(bǔ)丁或解決方案。
文章來源:CNVD漏洞平臺(tái) ,作者CNVD