您所在的位置: 首頁 >
安全研究 >
安全通告 >
信息安全漏洞周報(bào)(2022年第28期)
根據(jù)國(guó)家信息安全漏洞庫(kù)(CNNVD)統(tǒng)計(jì),本周(2022 年 7 月 4日至 2022 年 7 月 10 日)安全漏洞情況如下:
公開漏洞情況
本周 CNNVD 采集安全漏洞 280 個(gè)。
接報(bào)漏洞情況
本周 CNNVD 接報(bào)漏洞 3834 個(gè),其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)99 個(gè),網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)402 個(gè),漏洞平臺(tái)推送漏洞 3333 個(gè)。
重大漏洞通報(bào)
OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274):成功利用此漏洞的攻擊者,可造成目標(biāo)機(jī)器內(nèi)存損壞,進(jìn)而在目標(biāo)機(jī)器遠(yuǎn)程執(zhí)行代碼。OpenSSL 3.0.4 版本受漏洞影響。目前,OpenSSL 官方已發(fā)布新版本修復(fù)了漏洞,請(qǐng)用戶及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
一、公開漏洞情況
根據(jù)國(guó)家信息安全漏洞庫(kù)(CNNVD)統(tǒng)計(jì),本周新增安全漏洞 280個(gè),漏洞新增數(shù)量有所下降。從廠商分布來看谷歌公司新增漏洞最多,有 36 個(gè);從漏洞類型來看,跨站腳本類的安全漏洞占比最大,達(dá)到7.14%。新增漏洞中,超危漏洞 21 個(gè),高危漏洞 66 個(gè),中危漏洞 178個(gè),低危漏洞 15 個(gè)。相應(yīng)修復(fù)率分別為 52.38%、71.21%、87.08%和100.00%。根據(jù)補(bǔ)丁信息統(tǒng)計(jì),合計(jì) 228 個(gè)漏洞已有修復(fù)補(bǔ)丁發(fā)布,整體修復(fù)率為 81.43%。
(一) 安全漏洞增長(zhǎng)數(shù)量情況
本周 CNNVD 采集安全漏洞 280 個(gè)。
圖 1 近五周漏洞新增數(shù)量統(tǒng)計(jì)圖
(二) 安全漏洞分布情況
從廠商分布來看,谷歌公司新增漏洞最多,有 36 個(gè)。各廠商漏洞數(shù)量分布如表 1 所示。
表 1 新增安全漏洞排名前五廠商統(tǒng)計(jì)表
本周國(guó)內(nèi)廠商漏洞 38 個(gè),中國(guó)聯(lián)發(fā)科技股份有限公司漏洞數(shù)量最多,有 11 個(gè)。國(guó)內(nèi)廠商漏洞整體修復(fù)率為 57.50%。請(qǐng)受影響用戶關(guān)注廠商修復(fù)情況,及時(shí)下載補(bǔ)丁修復(fù)漏洞。
從漏洞類型來看, 跨站腳本類的安全漏洞占比最大,達(dá)到7.14%。漏洞類型統(tǒng)計(jì)如表 3 所示。
表 2 漏洞類型統(tǒng)計(jì)表
(三) 安全漏洞危害等級(jí)與修復(fù)情況
本周共發(fā)布超危漏洞 21 個(gè),高危漏洞 66 個(gè),中危漏洞 178 個(gè),低危漏洞 15 個(gè)。相應(yīng)修復(fù)率分別為 52.38%、71.21%、87.08%和100.00%。根據(jù)補(bǔ)丁信息統(tǒng)計(jì),合計(jì) 228 個(gè)漏洞已有修復(fù)補(bǔ)丁發(fā)布,整體修復(fù)率為 81.43%。詳細(xì)情況如表 3 所示。
表 3 漏洞危害等級(jí)與修復(fù)情況
(四) 本周重要漏洞實(shí)例
本周重要漏洞實(shí)例如表 4 所示。
表 4 本期重要漏洞實(shí)例
1. WordPress plugin nextgen-galery 安全漏洞(CNNVD-202207-557)
WordPress 和 WordPress plugin 都是 WordPress 基金會(huì)的產(chǎn)品。WordPress 是一套使用 PHP 語言開發(fā)的博客平臺(tái)。該平臺(tái)支持在 PHP和 MySQL 的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。WordPress plugin 是一個(gè)應(yīng)用插件。
WordPress plugin nextgen-galery 2.0.77.3 之前版本存在安全漏洞,該漏洞源于程序沒有驗(yàn)證用戶上傳的文件。攻擊者利用該漏洞可以獲得對(duì) Web 應(yīng)用程序的完全訪問權(quán)限。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:https://wpscan.com/vulnerability/c894727a-b779-4583-a860-13c2c27275d4
2. Cloud Mobility for Dell EMC Storage 安全漏洞(CNNVD-202207-617)
Cloud Mobility for Dell EMC Storage 是美國(guó)戴爾(Dell)公司的一款支持訪問公共云的快照備份產(chǎn)品。
Cloud Mobility for Dell EMC Storage 1.3.0 版本及之前版本存在安全漏洞。攻擊者利用該漏洞可以獲得 root 權(quán)限。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:https://www.dell.com/support/kbdoc/en-us/000201258/dsa-2022-182-cloud-mobility-for-dell-emc-storage-security-update-for-a-path-traversal-rce-vulnerability
3. Cisco Smart Software Manager On-Prem 和 Cisco Smart Software Manager 資源管理錯(cuò)誤漏洞(CNNVD-202207-523)
Cisco Smart Software Manager On-Prem(SSM On-Prem)和 CiscoSmart Software Manager 都是美國(guó)思科(Cisco)公司的產(chǎn)品。CiscoSmart Software Manager On-Prem 是一款用于 Cisco 產(chǎn)品許可證管理的組件。Cisco Smart Software Manager 是一個(gè)為用于提供許可證智能管理功能的軟件。該軟件消除了繁瑣的產(chǎn)品激活密鑰(PAK)和許可證文件管理,使許可證節(jié)點(diǎn)不再鎖定到設(shè)備,可以支持在任何兼容的設(shè)備上使用許可證。
Cisco Smart Software Manager On-Prem 存在資源管理錯(cuò)誤漏洞。遠(yuǎn)程攻擊者利用該漏洞可以執(zhí)行拒絕服務(wù)攻擊。
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSe curityAdvisory/cisco-sa-onprem-privesc-tP6uNZOS
二、漏洞平臺(tái)推送情況
本周漏洞平臺(tái)推送漏洞 3333 個(gè)。
三、接報(bào)漏洞情況
本周 CNNVD 接報(bào)漏洞 501 個(gè),其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)99 個(gè),網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)402 個(gè)。
表 5 本周漏洞報(bào)送情況(略)
四、接報(bào)漏洞通報(bào)情況
本周 CNNVD 接報(bào)漏洞通報(bào) 142 份。(詳情略)
五、重大漏洞通報(bào)
CNNVD 關(guān)于 OpenSSL 安全漏洞的通報(bào)
近日,國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于 OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274)情況的報(bào)送。成功利用此漏洞的攻擊者,可造成目標(biāo)機(jī)器內(nèi)存損壞,進(jìn)而在目標(biāo)機(jī)器遠(yuǎn)程執(zhí)行代碼。OpenSSL 3.0.4 版本受漏洞影響。目前,OpenSSL 官方已發(fā)布新版本修復(fù)了漏洞,請(qǐng)用戶及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
. 漏洞介紹
OpenSSL 是 OpenSSL 團(tuán)隊(duì)開發(fā)的一個(gè)開源的能夠?qū)崿F(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫(kù)。該產(chǎn)品支持多種加密算法,包括對(duì)稱密碼、哈希算法、安全散列算法等。該漏洞源于計(jì)算機(jī)上具有 2048 位私鑰的 RSA 實(shí)現(xiàn)不正確,并且在計(jì)算過程中會(huì)發(fā)生內(nèi)存損壞,導(dǎo)致攻擊者可能會(huì)在執(zhí)行計(jì)算的機(jī)器上遠(yuǎn)程執(zhí)行代碼。
. 危害影響
成功利用此漏洞的攻擊者,可造成目標(biāo)機(jī)器內(nèi)存損壞,進(jìn)而在目標(biāo)機(jī)器遠(yuǎn)程執(zhí)行代碼。OpenSSL 3.0.4 版本受漏洞影響。
. 修復(fù)建議
目前,OpenSSL 官方已發(fā)布新版本修復(fù)了漏洞,請(qǐng)用戶及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。官方鏈接如下:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=4d8a88c134df634ba610ff8db1eb8478ac5fd345
來源:國(guó)家信息安全漏洞庫(kù)