信息安全漏洞周报 (2018 年第 26 期总第 430 期 ) 信息安全测评中心 2018 年 7 月 8 日 根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 7 月 2 日至 2018 年 7 月 8 日 ) 安全漏洞情况如下 : 公开漏洞情况 5.74% 本周 CNNVD 采集安全漏洞 279 个, 与上周 (296 个 ) 相比减少了 接报漏洞情况 本周接报漏洞 150 个, 其中信息技术产品漏洞 ( 通用型漏洞 )1 个, 网络信息系统漏洞 ( 事件型漏洞 )149 个 1
一 公开漏洞情况根据国家信息安全漏洞库 (CNNVD) 统计, 本周新增安全漏洞 279 个, 漏洞新增数量有所下降 从厂商分布来看, 其中 IBM 公司新增漏洞最多, 共有 25 个 ; 从漏洞类型来看, 跨站脚本类的安全漏洞占比最大, 达到 13.62% 本周新增漏洞中, 超危漏洞 0 个, 高危漏洞 18 个, 中危漏洞 190 个, 低危漏洞 71 个 相应修复率分别为 0 66.67% 44.21% 以及 64.79% 根据补丁信息统计, 合计 142 个漏洞已有修复补丁发布, 整体修复率为 50.90% 截至 2018 年 7 月 8 日,CNNVD 发布漏洞总量已达 111658 个 ( 一 ) 安全漏洞增长数量情况本周 CNNVD 采集安全漏洞 279 个, 与上周 (296 个 ) 相比减少了 5.74% 图 1 为近五周漏洞新增数量统计图 图 1 近五周漏洞新增数量统计图 ( 二 ) 安全漏洞分布情况从厂商分布来看, 本周 IBM 公司新增漏洞最多, 共 25 个 各厂商漏洞数量分布如表 1 所示 2
表 1 Top 5 厂商新增安全漏洞统计表 序号 厂商名称 漏洞数量 所占比例 1 IBM 25 8.96% 2 Schneider Electric 20 7.17% 3 Mozilla 18 6.45% 4 Linux 10 3.58% 5 ZOHO 7 2.51% 本周国内厂商漏洞共 9 个, 普联 (TP-LINK) 公司漏洞数量最多, 共 4 个 本周国内厂商漏洞整体修复率为 33.33% 请受影响用户关注厂商修复情况, 及时下载补丁修复漏洞 从漏洞类型来看, 本周跨站脚本类的安全漏洞相对占比最大, 达到 13.62% 漏洞类型统计如表 2 所示 表 2 漏洞类型统计表 序号 漏洞类型 漏洞数量 所占比例 1 跨站脚本 38 13.62% 2 数字错误 29 10.39% 3 缓冲区错误 14 5.02% 4 SQL 注入 13 4.66% 5 跨站请求伪造 8 2.87% 6 路径遍历 4 1.43% 7 命令注入 3 1.08% 8 整数错误 3 1.08% 9 操作系统命令注入 2 0.72% 10 访问控制错误 2 0.72% 11 权限许可和访问控制 1 0.36% 12 信息泄露 1 0.36% ( 三 ) 安全漏洞危害等级与修复情况 本周共发布超危漏洞 0 个, 高危漏洞 18 个, 中危漏洞 190 个, 低危漏洞 71 个 相应修复率分别为 0 66.67% 44.21% 以及 64.79% 合计 142 个漏洞已有修复补丁发布, 整体修复率为 50.90% 详细情况如表 3 所示 3
表 3 漏洞危害等级与修复情况 序号 危害等级 漏洞数量 修复数量 修复率 1 超危 0 0 0 2 高危 18 12 66.67% 3 中危 190 84 44.21% 4 低危 71 46 64.79% 合计 279 142 50.90% ( 四 ) 本周重要漏洞实例本周重要漏洞实例如表 4 所示 表 4 本周重要漏洞实例序漏洞漏洞编号厂商漏洞实例号类型多款 Huawei 产品 Common Open Policy 1 缓冲区错误 CNNVD-201807-076 华为 Service Protocol 模块缓冲区错误漏洞 Micro Focus Secure Messaging Gateway Web Micro 2 SQL 注入 CNNVD-201807-018 administration 和 Focus quarantine 组件 SQL 注入漏洞 是否修复是是 危害等级高危高危 1. 多款 Huawei 产品 Common Open Policy Service Protocol 模块缓冲区错误漏洞 (CNNVD-201807-076) Huawei USG6300 等都是中国华为 (Huawei) 公司的产品 Huawei USG6300 是一款防火墙设备 TE30 是一款一体化高清视频会议终端设备 Common Open Policy Service Protocol(COPS) 是其中的一个通用开放策略服务协议 (COPS) 模块 多款 Huawei 产品中的 COPS 模块存在缓冲区溢出漏洞, 该漏洞源于程序没有充分的验证输入 远程攻击者可通过控制对端设备向目标设备发送特制的消息利用该漏洞造成服务异常 以下产品和版本受到 4
影响 : - Huawei USG6300 V100R001C10 版本 - Huawei USG6300 V100R001C20 版本 - Huawei USG6300 V100R001C30 版本 - Huawei USG6300 V500R001C00 版本 - Huawei USG6300 V500R001C20 版本 - Huawei USG6300 V500R001C30 版本 - Huawei USG6300 V500R001C50 版本 - Huawei Secospace USG6500 V100R001C10 版本 - Huawei Secospace USG6500 V100R001C20 版本 - Huawei Secospace USG6500 V100R001C30 版本 - Huawei Secospace USG6500 V500R001C00 版本 - Huawei Secospace USG6500 V500R001C20 版本 - Huawei Secospace USG6500 V500R001C30 版本 - Huawei Secospace USG6500 V500R001C50 版本 - Huawei Secospace USG6600 V100R001C00 版本 - Huawei Secospace USG6600 V100R001C20 版本 - Huawei Secospace USG6600 V100R001C30 版本 - Huawei Secospace USG6600 V500R001C00 版本 - Huawei Secospace USG6600 V500R001C20 版本 - Huawei Secospace USG6600 V500R001C30 版本 - Huawei Secospace USG6600 V500R001C50 版本 5
- Huawei TE30 V100R001C02 版本 - Huawei TE30 V100R001C10 版本 - Huawei TE30 V500R002C00 版本 - Huawei TE30 V600R006C00 版本 - Huawei TE40 V500R002C00 版本 - Huawei TE40 V600R006C00 版本 - Huawei TE50 V500R002C00 版本 - Huawei TE50 V600R006C00 版本 - Huawei TE60 V100R001C01 版本 - Huawei TE60 V100R001C10 版本 - Huawei TE60 V500R002C00 版本 - Huawei TE60 V600R006C00 版本解决措施 : 目前厂商已发布升级补丁以修复漏洞, 补丁获取链接 : https://www.huawei.com/cn/psirt/security-advisories/huaw ei-sa-20180630-01-cops-cn 2. Micro Focus Secure Messaging Gateway Web administration 和 quarantine 组件 SQL 注入漏洞 (CNNVD-201807-018) Micro Focus Secure Messaging Gateway(SMG) 是英国 Micro Focus 公司的一套企业网络和消息系统出 入站保护软件 该产品包括病毒防护 反垃圾邮件 防 DDos 攻击和图像分析等功能 Web administration 是其中的一个基于 Web 的管理组件 ;quarantine 是其中的一个文件隔离组件 6
Micro Focus SMG 471 之前版本中的 Web administration 和 quarantine 组件存在 SQL 注入漏洞 远程攻击者可利用该漏洞执行任意的 SQL 语句并创建管理账户 解决措施 : 目前厂商已发布升级补丁以修复漏洞, 补丁获取链接 : https://support.microfocus.com/kb/doc.php?id=7023132 二 接报漏洞情况 本周接报漏洞 150 个, 其中信息技术产品漏洞 ( 通用型漏洞 )1 个, 网络信息系统漏洞 ( 事件型漏洞 )149 个 序号 1 2 3 4 5 6 报送单位 网神信息技术 ( 北京 ) 股份有限公司北京数字观星科技有限公司上海斗象信息科技有限公司中新网络信息安全股份有限公司任子行信息技术有限公司北京威努特技术有限公司 表 5 本周漏洞报送情况 漏洞总量 通用型漏洞 事件型漏洞 53 0 53 39 0 39 30 0 30 15 0 15 12 0 12 1 1 0 报送总计 150 1 149 三 重大漏洞预警 CNNVD 关于微信支付官方 SDK XXE 漏洞情况的通报 7
近日, 国家信息安全漏洞库 (CNNVD) 收到关于微信支付 SDKXXE (XML External Entity) 漏洞 (CNNVD-201807-083) 情况的报送 成功利用该漏洞的攻击者可以远程读取服务器文件, 获取商户服务器上的隐私数据, 甚至可以支付任意金额购买商品 使用有漏洞的 Java 版本微信支付 SDK 进行支付交易的商家网站可能受此漏洞影响 目前, 微信官方已经发布补丁修复该漏洞, 建议用户及时确认是否受到漏洞影响, 尽快采取修补措施 一 漏洞介绍 微信支付官方 SDK 是微信支付官方的软件工具开发包, 在使用微信支付时, 商家需要向微信提供一个 URL 用来接收异步支付结果的通知, 该接口接受 XML 格式的数据 XML 语言标准支持了与外部进行实体数据交换的特性, 如果程序在解析 XML 时没有限制或关闭该特性, 同时外部又可以传入有恶意代码的 XML 数据就会触发漏洞 微信支付官方提供的 SDK 由于编码遗漏, 未关闭该 XML 特性 商家在其系统中如果使用该版本 SDK, 系统便会受漏洞影响 微信在支付过程中, 其 Java 版本的 SDK 没有关闭该 XML 特性, 导致攻击者在获取了接收通知的 URL 地址的前提下, 可以通过构造恶 意的 XML 数据包发送到该 URL 来窃取商家网站服务器上的隐私数据 二 危害影响 8
成功利用该漏洞的攻击者可以远程读取服务器文件, 获取商户服 务器上的隐私数据, 甚至可以支付任意金额购买商品 使用有漏洞的 Java 版本微信支付 SDK 进行支付交易的商家网站可能受此漏洞影响 三 修复建议 目前, 微信官方已经发布补丁修复该漏洞, 建议用户及时确认是 否受到漏洞影响, 尽快采取修补措施, 具体措施如下 : 1. 如果后台系统使用了官方 SDK, 请更新 SDK 到最新版本, 链接如下 : https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11 _1 2. 如果有系统提供商, 请联系提供商进行核查和升级修复 ; 3. 如果是自研系统, 请联系技术部门按以下指引核查和修复 : XXE 漏洞需要在代码中进行相应的设置, 不同语言设置的内容不 同, 下面提供了几种主流开发语言的设置指引 : PHP libxml_disable_entity_loader(true); JAVA 不同 java 组件修复方案不一样, 请参考 OWASP 修复建议 : 9
https://www.owasp.org/index.php/xml_external_entity_(xxe)_p revention_cheat_sheet#java.net XmlResolver = null Python from lxml import etree xmldata = etree.parse(xmlsource,etree.xmlparser(resolve_e ntities=false)) c/c++( 常用库为 libxml2 libxerces-c) libxml2 : 确保关闭配置选项 :XML_PARSE_NOENT 和 XML_PARSE_DTDLOAD 2.9 版本以上已修复 xxe libxerces-c : 如果用的是 XercesDOMParser: XercesDOMParser *parser = new XercesDOMParser; parser->setcreateentityreferencenodes(false); 如果是用 SAXParser: SAXParser* parser = new SAXParser; parser->setdisabledefaultentityresolution(true); 10
如果是用 SAX2XMLReader: SAX2XMLReader* reader = XMLReaderFactory::createXMLReade r(); parser->setfeature(xmluni::fgxercesdisabledefaultentityreso lution, true); 此外, 针对使用 XML 进行数据交换的网络系统 ( 如 : 第三方支付 平台等 ), 建议相关系统厂商对解析处理 XML 数据的功能代码进行安 全检查, 可参考上述方法修复漏洞, 及时消除漏洞风险 11