国家信息安全漏洞共享平台（cnvd）信息安全漏洞周报

《国家信息安全漏洞共享平台（cnvd）信息安全漏洞周报》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2017年04月10日-2017年04月16日2017年第16期本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为高。国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞209个，其中高危漏洞88个、中危漏洞114个、低危漏洞7个。漏洞平均分值为6.27。本周收录的漏洞中，涉及0day漏洞50个（占24%），其中互联网上出现“MicrosoftWindows本地权限提升漏洞（CNVD-2017-04425）、Joomlacom_kide插件'view'参数SQL注入漏洞”零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数597个，与上周（641个）环比下降7%。此外，本周由于互联网上披露了方程式黑客组织使用的多个漏洞利用工具，使得Windows服务器主机以及一些应用广泛的邮件服务器出现大规模攻击威胁，因此本周整体评价级别为高。图1CNVD收录漏洞近10周平均分值分布图本周漏洞报送情况统计本周，共15家成员单位、合作伙伴及企业用户、个人用户报送了本周收录的全部209个漏洞。报送情况如表1所示。其中，安天实验室、H3C、启明星辰、中国电信集团 系统集成有限责任公司等单位报送数量较多。漏洞盒子、安徽新华博信息技术股份有限公司、江苏君立华域信息安全技术股份有限公司、杭州朔方信息技术有限公司、广西鑫瀚科技有限公司、山东安云信息技术有限公司、清远职业技术学院、北京山石网科信息技术有限公司、河北网信智安信息技术有限公司及其他个人白帽子向CNVD提交了597个以事件型漏洞为主的原创漏洞。报送单位或个人漏洞报送数量原创漏洞数量360网神284284安天实验室1280H3C1100启明星辰1041中国电信集团系统集830成有限责任公司华为技术有限公司750绿盟科技710天融信631安全狗292杭州安恒信息技术有280限公司阿里云计算有限公司120恒安嘉新110北京数字观星科技有50限公司深圳市深信服电子科11技有限公司西安四叶草信息技术11有限公司漏洞盒子127127安徽新华博信息技术1616股份有限公司江苏君立华域信息安55全技术股份有限公司杭州朔方信息技术有55 限公司广西鑫瀚科技有限公44司山东安云信息技术有44限公司清远职业技术学院44北京山石网科信息技33术有限公司河北网信智安信息技11术有限公司CNCERT湖南分中心77CNCERT广东分中心55CNCERT宁夏分中心22CNCERT上海分中心22CNCERT新疆分中心11CNCERT内蒙古分中11心CNCERT吉林分中心11CNCERT河北分中心11CNCERT北京分中心11个人117117报送总计1312597录入总计209（去重）597表1漏洞报送情况统计表本周漏洞按类型和厂商统计本周，CNVD收录了209个漏洞。其中应用程序漏洞122个，web应用漏洞51个，网络设备漏洞16个，安全产品漏洞12个，操作系统漏洞8个。漏洞影响对象类型漏洞数量应用程序漏洞122web应用漏洞51 网络设备漏洞16安全产品漏洞12操作系统漏洞8表2漏洞按影响类型统计表图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Mozilla、Joomla、ImageMagick等多家厂商的产品，部分漏洞数量按厂商统计如表3所示。序号厂商（产品）漏洞数量所占比例1Mozilla2010%2Joomla157%3ImageMagick115%4Adobe105%5PoDoFo105%6Ntp94%7Microsoft73%8GNU52%9Cisco42%10其他11857%表3漏洞产品涉及厂商分布统计表本周行业漏洞收录情况 本周，CNVD收录了7个电信行业漏洞，2个移动互联网行业漏洞，2个工控系统行业漏洞（如下图所示）。其中，“AndroidQualcommWi-Fi权限提升漏洞”的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序，请参照CNVD相关行业漏洞库链接。电信行业漏洞链接：http://telecom.cnvd.org.cn/移动互联网行业漏洞链接：http://mi.cnvd.org.cn/工控系统行业漏洞链接：http://ics.cnvd.org.cn/图3电信行业漏洞统计图4移动互联网行业漏洞统计 图5工控系统行业漏洞统计本周重要漏洞安全告警本周，CNVD整理和发布以下重要安全漏洞信息。1、Adobe产品安全漏洞AdobeFlashPlayer是美国Adobe公司开发的一款广泛使用的、专有的多媒体程序播放器。AdobeAcrobatReader是用于打开和使用在AdobeAcrobat中创建的AdobePDF的工具。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。CNVD收录的相关漏洞包括：AdobeAcrobat和Reader内存破坏漏洞（CNVD-2017-04423）、AdobeFlashPlayer代码执行漏洞（CNVD-2017-04422、CNVD-2017-04298、CNVD-2017-04299、CNVD-2017-04301、CNVD-2017-04300、CNVD-2017-04303）、AdobeFlashPlayer缓冲区溢出漏洞（CNVD-2017-04304）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2017-04423http://www.cnvd.org.cn/flaw/show/CNVD-2017-04422http://www.cnvd.org.cn/flaw/show/CNVD-2017-04298http://www.cnvd.org.cn/flaw/show/CNVD-2017-04299http://www.cnvd.org.cn/flaw/show/CNVD-2017-04301http://www.cnvd.org.cn/flaw/show/CNVD-2017-04300http://www.cnvd.org.cn/flaw/show/CNVD-2017-04303http://www.cnvd.org.cn/flaw/show/CNVD-2017-043042、NTP产品安全漏洞NTP是网络时间协议(NetworkTimeProtocol)，是用来同步网络中各个计算机的时间的协议。本周，上述产品被披露存在拒绝服务和缓冲区溢出漏洞，攻击者可利用漏洞发起拒绝服务攻击或执行任意代码。 CNVD收录的相关漏洞包括：NTP本地拒绝服务漏洞（CNVD-2017-04410、CNVD-2017-04411、CNVD-2017-04413）、NTP本地栈缓冲区溢出漏洞、NTP缓冲区溢出漏洞（CNVD-2017-04230）、NTP拒绝服务漏洞（CNVD-2017-04414、CNVD-2017-04415、CNVD-2017-04247）。其中“NTP本地拒绝服务漏洞（CNVD-2017-04411）、NTP拒绝服务漏洞（CNVD-2017-04247）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2017-04410http://www.cnvd.org.cn/flaw/show/CNVD-2017-04411http://www.cnvd.org.cn/flaw/show/CNVD-2017-04413http://www.cnvd.org.cn/flaw/show/CNVD-2017-04412http://www.cnvd.org.cn/flaw/show/CNVD-2017-04230http://www.cnvd.org.cn/flaw/show/CNVD-2017-04414http://www.cnvd.org.cn/flaw/show/CNVD-2017-04415http://www.cnvd.org.cn/flaw/show/CNVD-2017-042473、Microsoft产品安全漏洞MicrosoftWindows是美国微软（Microsoft）公司发布的一系列操作系统。PDFlibrary是其中的一个PDF库。IISServer是其中的一个运行于其中的互联网基本服务。MicrosoftOffice是一款微软开发的流行的办公软件套件。MicrosoftEdge是一款Web浏览器。MicrosoftInternetExplorer是一款流行的WEB浏览器。MicrosoftExchangeServer是一款微软开发的邮件服务程序。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升特权、执行任意代码和执行跨站脚本攻击等。CNVD收录的相关漏洞包括：MicrosoftOfficeWordOLE对象代码执行漏洞、MicrosoftWindows本地权限提升漏洞（CNVD-2017-04425）、MicrosoftWindowsPDF内存破坏漏洞、MicrosoftWindowsServerMessageBlock任意代码执行漏洞、MicrosoftInternet信息服务器（IIS）Web跨站脚本漏洞、MicrosoftExchangeServer远程特权提升漏洞、MicrosoftInternetExplorer和Edge欺骗漏洞。除“MicrosoftInternet信息服务器（IIS）Web跨站脚本漏洞、MicrosoftExchangeServer远程特权提升漏洞、MicrosoftInternetExplorer和Edge欺骗漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了除“MicrosoftWindows本地权限提升漏洞（CNVD-2017-04425）”外漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2017-04293http://www.cnvd.org.cn/flaw/show/CNVD-2017-04425http://www.cnvd.org.cn/flaw/show/CNVD-2017-04244http://www.cnvd.org.cn/flaw/show/CNVD-2017-04243http://www.cnvd.org.cn/flaw/show/CNVD-2017-04245 http://www.cnvd.org.cn/flaw/show/CNVD-2017-04249http://www.cnvd.org.cn/flaw/show/CNVD-2017-042484、Mozilla产品安全漏洞MozillaFirefox是美国Mozilla基金会开发的一款开源Web浏览器。Thunderbird是由Mozilla浏览器的邮件功能部件所改造的邮件工具。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制执行未授权操作，获取敏感信息，执行任意脚本代码等。CNVD收录的相关漏洞包括：MozillaFirefoxMFSA存在多个漏洞、MozillaFirefoxMFSA存在多个漏洞（CNVD-2017-04171、CNVD-2017-04172）、MozillaFirefoxMFSA内存错误引用漏洞、MozillaFirefox内存错误引用漏洞（CNVD-2017-04176）、MozillaFirefox/Thunderbird存在多个漏洞、MozillaFirefox/Thunderbird存在多个漏洞（CNVD-2017-04251、CNVD-2017-04250）。除“MozillaFirefox/Thunderbird存在多个漏洞（CNVD-2017-04250）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2017-04173http://www.cnvd.org.cn/flaw/show/CNVD-2017-04171http://www.cnvd.org.cn/flaw/show/CNVD-2017-04172http://www.cnvd.org.cn/flaw/show/CNVD-2017-04175http://www.cnvd.org.cn/flaw/show/CNVD-2017-04176http://www.cnvd.org.cn/flaw/show/CNVD-2017-04253http://www.cnvd.org.cn/flaw/show/CNVD-2017-04251http://www.cnvd.org.cn/flaw/show/CNVD-2017-042505、多个Avira产品DLL加载本地代码注入漏洞AviraTotalSecuritySuite等都是德国小红伞（Avira）公司的杀毒软件。本周，Avira被披露存在DLL加载本地代码注入漏洞，本地攻击者可利用此漏洞在受影响程序中运行的系统的上下文中执行任意代码，获取受影响程序的完全控制权限。目前，互联网上已经出现了针对该漏洞的攻击代码，厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2016-04262更多高危漏洞如表4所示，详细信息可根据CNVD编号，在CNVD官网进行查询。参考链接:http://www.cnvd.org.cn/flaw/list.htmCNVD编综合漏洞名称修复方式号评级CNVD-201MoodleSQL注入漏洞用户可联系供应商获得补丁信息：高7-04275（CNVD-2017-04275）https://moodle.org/ 用户可参考如下厂商提供的安全补CNVD-201ImageMagick函数拒绝服务漏洞高丁以修复该漏洞：7-04295http://www.imagemagick.org厂商已发布了漏洞修复程序，请及时CNVD-201关注更新：OxygenOS代码执行漏洞高7-04307https://securityresear.ch/2017/02/08/oneplus3-bootloader-vulns/厂商已发布了漏洞修复程序，请及时CNVD-201关注更新：OxygenOS权限提升漏洞高7-04308https://securityresear.ch/2017/02/08/oneplus3-bootloader-vulns/厂商已发布了漏洞修复程序，请及时CNVD-201关注更新：Zammad安全绕过漏洞高7-04312https://zammad.com/de/news/security-advisory-zaa-2017-01厂商已发布了漏洞修复程序，请及时CNVD-201Zammad安全绕过漏洞关注更新：高7-04305（CNVD-2017-04305）https://zammad.com/de/news/security-advisory-zaa-2017-01厂商已发布了漏洞修复程序，请及时CNVD-201AndroidQualcommWi-Fi权限提关注更新：高7-04313升漏洞https://source.android.com/security/bulletin/2017-03-01.html目前厂商已经发布了升级补丁以修CNVD-201phplistSQL注入漏洞复这个安全问题，请到厂商的主页下高7-04334（CNVD-2017-04334）载：https://www.phplist.org/用户可参考如下厂商提供的安全补CNVD-201CommvaultEdge栈缓冲区溢出丁以修复该漏洞：高7-04357漏洞http://kb.commvault.com/article/SEC0013CNVD-201FortiClientSSLVPN特权提升漏用户可联系供应商获得补丁信息：高7-04454洞https://www.fortinet.com/表4部分重要高危漏洞列表小结：本周，Adobe被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。此外，NTP、Microsoft、Mozilla等多款产品被披露存在多个漏洞，攻击者利用漏洞可执行任意代码、绕过安全限制、提升权限或发起拒绝服务攻击等。另外，Avira被披露存在DLL加载本地代码注入漏洞，本地攻击者可利用此漏洞在受影响程序中运行的系统的上下文中执行任意代码，获取受影响程序的完全控制权限。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。本周漏洞要闻速递 1.Linux内核ipv4/udp.c远程任意代码执行(CVE-2016-10229)Linuxkernel是美国Linux基金会发布的操作系统Linux所使用的内核。Linuxkernel4.5之前的版本中的udp.c文件存在安全漏洞，Linux内核中的udp.c允许远程攻击者通过UDP流量执行任意代码，这些流量会在执行具有MSG_PEEK标志的recv系统调用时触发不安全的第二次校验和计算，远程攻击者可精心构造数据执行任意代码，进一步导致本地提权，属于高危漏洞。但由于现实情况中，基于UDP协议的服务时MSG_PEEK标志在实际使用的情况较少，受该远程命令执行漏洞危害影响群体范围有限。参考链接：http://www.freebuf.com/vuls/131907.html2.Word曝0day漏洞：无需启用宏，打开文档就自动安装恶意程序研究员表示，他们在一封邮件中发现了恶意Word文档附件，该文件包含OLE2link对象。一旦打开文件，文件中的利用代码就会执行，随后连接到一台由攻击者所控制的远程服务器，并从服务器上下载伪装成RFT文档的HTML应用文件（HTA）。HTA文件自动执行，攻击者就能实现目标设备之上的任意代码执行了，随后开始从”其他知名恶意软件家族“下载额外的payload，这些payload感染目标PC，并关闭该恶意Word文件。通过OfficeProtectedView（受保护视图）特性查看这种恶意文档就可让攻击失效，因此我们建议Windows用户在查看Office文档时开启此特性。参考链接：http://www.freebuf.com/vuls/131586.html关于CNVD国家信息安全漏洞共享平台（ChinaNationalVulnerabilityDatabase，简称CNVD）是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。关于CNCERT国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文简称是CNCERT或CNCERT/CC），成立于2002年9月，为非政府非盈利的网络安全技术中心，是我国网络安全应急体系的核心协调机构。作为国家级应急中心，CNCERT的主要职责是：按照“积极预防、及时发现、快速响应、力保恢复”的方针，开展互联网网络安全事件的预防、发现、预警和协调处置等工作，维护国家公共互联网安全，保障基础信息网络和重要信息系统的安全运行。网址：www.cert.org.cn邮箱：vreport@cert.org.cn电话：010-82990999