信息安全漏洞周报 (2018 年第 48 期总第 452 期 ) 信息安全测评中心 2018 年 12 月 16 日 根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 12 月 10 日至 2018 年 12 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况 本周 CNNVD 采集安全漏洞 427 个, 与上周 (278 个 ) 相比增加了 53.60% 接报漏洞情况 本周接报漏洞 647 个, 其中信息技术产品漏洞 ( 通用型漏洞 )40 个, 网络信息系统漏洞 ( 事件型漏洞 )607 个 1
一 公开漏洞情况根据国家信息安全漏洞库 (CNNVD) 统计, 本周新增安全漏洞 427 个, 漏洞新增数量有所上升 从厂商分布来看, 其中 Adobe 公司新增漏洞最多, 共有 87 个 ; 从漏洞类型来看, 缓冲区错误类的安全漏洞占比最大, 达到 20.37% 本周新增漏洞中, 超危漏洞 6 个, 高危漏洞 21 个, 中危漏洞 307 个, 低危漏洞 93 个 相应修复率分别为 100.00% 90.48% 91.53% 以及 77.42% 根据补丁信息统计, 合计 378 个漏洞已有修复补丁发布, 整体修复率为 88.52% 截至 2018 年 12 月 16 日,CNNVD 发布漏洞总量已达 119382 个 ( 一 ) 安全漏洞增长数量情况本周 CNNVD 采集安全漏洞 427 个, 与上周 (278 个 ) 相比增加了 53.60% 图 1 为近五周漏洞新增数量统计图 ( 二 ) 安全漏洞分布情况 图 1 近五周漏洞新增数量统计图 从厂商分布来看, 本周 Adobe 公司新增漏洞最多, 共 87 个 各 2
厂商漏洞数量分布如表 1 所示 表 1 新增安全漏洞排名前五厂商统计表 序号 厂商名称 漏洞数量 所占比例 1 Adobe 87 20.37% 2 谷歌 39 9.13% 3 微软 38 8.90% 4 IBM 36 8.43% 5 Infovista 26 6.09% 本周国内厂商漏洞共 9 个, 友讯 (D-Link) 和乔安 (Jooan Technology) 公司漏洞数量最多, 共 4 个 本周国内厂商漏洞整体修复率为 44.44% 请受影响用户关注厂商修复情况, 及时下载补丁修复漏洞 从漏洞类型来看, 本周缓冲区错误类的安全漏洞相对占比最大, 达到 20.37% 漏洞类型统计如表 2 所示 表 2 漏洞类型统计表 序号 漏洞类型 漏洞数量 所占比例 1 缓冲区错误 87 20.37% 2 跨站脚本 63 14.75% 3 信息泄露 26 6.09% 4 权限许可和访问控制 22 5.15% 5 SQL 注入 10 2.34% 6 数字错误 7 1.64% 7 跨站请求伪造 4 0.94% 8 输入验证 4 0.94% 9 路径遍历 3 0.70% 10 加密问题 2 0.47% 11 操作系统命令注入 2 0.47% 12 访问控制错误 2 0.47% 13 代码注入 1 0.23% ( 三 ) 安全漏洞危害等级与修复情况 本周共发布超危漏洞 6 个, 高危漏洞 21 个, 中危漏洞 307 个, 3
低危漏洞 93 个 相应修复率分别为 100.00% 90.48% 91.53% 以及 7 7.42% 合计 378 个漏洞已有修复补丁发布, 整体修复率为 88.52% 详细情况如表 3 所示 表 3 漏洞危害等级与修复情况 序号 危害等级 漏洞数量 修复数量 修复率 1 超危 6 6 100.00% 2 高危 21 19 90.48% 3 中危 307 281 91.53% 4 低危 93 72 77.42% 合计 427 378 88.52% ( 四 ) 本周重要漏洞实例本周重要漏洞实例如表 4 所示 表 4 本周重要漏洞实例 序漏洞漏洞编号厂商漏洞实例号类型 Microsoft Windows 1 资料不足 CNNVD-201812-453 Microsoft Domain Name System 服务器安全漏洞多款 Siemens 产品缓冲区缓冲区错 2 CNNVD-201812-598 Siemens 错误漏洞误 (CNNVD-201812-598) Rockwell 多款 Rockwell Automation 3 资料不足 CNNVD-201812-279 Automatio 产品安全漏洞 n 是否修复是是是 危害等级超危超危高危 1. Microsoft Windows Domain Name System 服务器安全漏洞 (CNNVD-201812-453) Microsoft Windows 10 等都是美国微软 (Microsoft) 公司发布的一系列操作系统 Windows Domain Name System(DNS)Server 是其中的一套域名系统服务器 Microsoft Windows DNS 服务器中存在远程代码执行漏洞 远程 4
攻击者可利用该漏洞在本地系统帐户的上下文中运行任意代码 以下系统版本受到影响 : - Microsoft Windows 10 版本 1607 - Microsoft Windows 10 版本 1709 - Microsoft Windows 10 版本 1803 - Microsoft Windows 10 版本 1809 - Microsoft Windows Server 2012 R2 - Microsoft Windows Server 2016 - Microsoft Windows Server 2019 - Microsoft Windows Server 版本 1709 - Microsoft Windows Server 版本 1803 目前厂商已发布升级补丁以修复漏洞, 补丁获取链接 : https://portal.msrc.microsoft.com/zh-cn/security-guidan ce/advisory/cve-2018-8626 2. 多款 Siemens 产品缓冲区错误漏洞 (CNNVD-201812-598) Siemens SINUMERIK 808D 等都是德国西门子 (Siemens) 公司的数控机床系统控制器 多款 Siemens 产品中存在基于堆的缓冲区溢出漏洞 远程攻击者可通过向集成 Web 服务器的 4842/TCP 端口发送特制的网络请求利用该漏洞执行代码, 影响 Web 服务器的可用性 保密性和完整性 以下产品和版本受到影响 : - Siemens SINUMERIK 808D 4.7 所有版本 5
- Siemens SINUMERIK 808D 4.8 所有版本 - Siemens SINUMERIK 828D 4.7 SP6 HF1 之前的 4.7 所有版本 - Siemens SINUMERIK 840D sl 4.7 SP6 HF5 之前的 4.7 所有版本 - Siemens SINUMERIK 840D sl 4.8 SP3 之前的 4.8 所有版本解决措施 : 目前厂商已发布升级补丁以修复漏洞, 补丁获取链接 : https://cert-portal.siemens.com/productcert/pdf/ssa-170 881.pdf 3. 多款 Rockwell Automation 产品安全漏洞 (CNNVD-201812-279) Rockwell Automation MicroLogix 1400 Controllers Series A 等都是美国罗克韦尔 (Rockwell Automation) 公司的可编程逻辑控制器 多款 Rockwell Automation 产品中存在安全漏洞, 该漏洞源于程序缺少身份验证 攻击者可通过发送 CIP 连接请求, 完成连接后发送新的 IP 配置利用该漏洞修改系统配置并造成设备与系统之间的通信丢失 以下产品和版本受到影响 : - Rockwell Automation MicroLogix 1400 Controllers Series A( 全部版本 ) - Rockwell Automation MicroLogix 1400 Controllers Series Series B 21.003 及之前版本 - Rockwell Automation MicroLogix 1400 Controllers Series Series C 21.003 及之前版本 6
- Rockwell Automation 1756-ENBT( 全部版本 ) - Rockwell Automation 1756-EWEB Series A( 全部版本 ) - Rockwell Automation 1756-EWEB Series B( 全部版本 ) - Rockwell Automation 1756-EN2F Series A( 全部版本 ) - Rockwell Automation 1756-EN2F Series B( 全部版本 ) - Rockwell Automation 1756-EN2F Series C 10.10 及之前版本 - Rockwell Automation 1756-EN2T Series A( 全部版本 ) - Rockwell Automation 1756-EN2T Series B( 全部版本 ) - Rockwell Automation 1756-EN2T Series C( 全部版本 ) - Rockwell Automation 1756-EN2T 10.10 及之前版本 - Rockwell Automation 1756-EN2TR Series A( 全部版本 ) - Rockwell Automation 1756-EN2TR Series B( 全部版本 ) - Rockwell Automation 1756-EN2TR Series C 10.10 及之前版本 - Rockwell Automation 1756-EN3TR Series A( 全部版本 ) - Rockwell Automation 1756-EN3TR Series B 10.10 及之前版本目前厂商已发布升级补丁以修复漏洞, 详情请关注厂商主页 : https://www.rockwellautomation.com 7
二 接报漏洞情况 本周接报漏洞 647 个, 其中信息技术产品漏洞 ( 通用型漏洞 )40 个, 网络信息系统漏洞 ( 事件型漏洞 )607 个 序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 报送单位 上海斗象信息科技有限公司网神信息技术 ( 北京 ) 股份有限公司内蒙古奥创科技有限公司中新网络信息安全股份有限公司北京数字观星科技有限公司新华三技术有限公司广州锦行网络科技有限公司北京天融信科技有限公司国发中新 ( 北京 ) 科技发展有限公司中国科学院软件研究所北京江南天安科技有限公司厦门服云信息科技有限公司山东华鲁科技发展股份有限公司安徽锋刃信息科技有限公司北京圣博润高新技术股份有限公司 表 5 本周漏洞报送情况 漏洞总量 通用型漏洞 事件型漏洞 243 0 243 218 0 218 51 1 50 43 0 43 30 0 30 20 20 0 18 3 15 8 8 0 6 0 6 2 2 0 2 2 0 1 1 0 1 1 0 1 1 0 1 0 1 16 天懋信息 1 0 1 8
17 个人 1 0 1 报送总计 647 40 607 三 重大漏洞预警 (1)CNNVD 关于微软多个安全漏洞的通报近日, 微软官方发布了多个安全漏洞的公告, 包括 Microsoft Internet Explorer 安全漏洞 (CNNVD-201812-458 CVE-2018-8619) Microsoft Excel 安全漏洞 (CNNVD-201812-466 CVE-2018-8597) 等多个漏洞 成功利用上述漏洞可以在目标系统上执行任意代码 微软多个产品和系统受漏洞影响 目前, 微软官方已经发布漏洞修复补丁, 建议用户及时确认是否受到漏洞影响, 采取修补措施. 漏洞介绍本次漏洞公告涉及 Microsoft Internet Explorer Microsoft Outlook Microsoft Excel Microsoft PowerPoint Microsoft VBScript Chakra 脚本引擎.NET Framework Microsoft 文本到语音转换等 Windows 平台下应用软件和组件 漏洞详情如下 : 1 Internet Explorer 安全漏洞 ( CNNVD-201812-458 CVE-2018-8619) 漏洞简介 :Internet Explorer 部分版本存在远程代码执行漏洞, 当 Internet Explorer VBScript 执行策略未正确限制 VBScript 时, 可触发该漏洞 成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限 9
2 Microsoft Outlook 安全漏洞 (CNNVD-201812-469 CVE-2018-8587) 漏洞简介 : 当 Microsoft Outlook 软件无法正确处理内存中的对象时, 就会触发该漏洞 攻击者可以向目标系统发送经过特殊设计的文件, 从而在当前用户权限下执行恶意代码 3 Microsoft Excel 安全漏洞 (CNNVD-201812-466 CVE-2018-8597) (CNNVD-201812-446 CVE-2018-8636) 漏洞简介 : 当 Microsoft Excel 软件无法正确处理内存中的对象时, 就会触发该漏洞 攻击者必须诱使用户使用 Microsoft Excel 打开经特殊设计的文件, 才能利用此漏洞 成功利用此漏洞的攻击者可以在当前用户权限下执行恶意代码 4 Microsoft PowerPoint 安全漏洞 ( CNNVD-201812-451 CVE-2018-8628) 漏洞简介 : 当 Microsoft PowerPoint 软件无法正确处理内存中的对象时, 就会触发该漏洞 攻击者必须诱使用户使用 Microsoft PowerPoint 打开经特殊设计的文件, 才能利用此漏洞 成功利用此漏洞的攻击者可以在当前用户权限下执行恶意代码 5 Microsoft VBScript 安全漏洞 ( CNNVD-201812-454 CVE-2018-8625) 漏洞简介 : 当 Microsoft VBScript 引擎无法正确处理内存中的对象时, 就会触发该漏洞 攻击者必须诱使用户使用 Microsoft Internet Explorer 打开经特殊设计的网页或诱使用户使用 10
Microsoft Office 打开嵌入经特殊设计的 ActiveX 控件的文档等, 才能利用此漏洞 成功利用此漏洞的攻击者可以在当前用户权限下执行恶意代码 6 Microsoft.NET Framework 安全漏洞 (CNNVD-201812-472 CVE-2018-8540) 漏洞简介 : 当 Microsoft.NET Framework 处理不受信任的输入时可能会触发该漏洞 成功利用漏洞的攻击者可以控制受影响的系统 攻击者可任意安装程序 查看 更改或删除数据 或者创建新帐户等 7 Microsoft 文本到语音转换程序安全漏洞 (CNNVD-201812-448 CVE-2018-8634) 漏洞简介 : 当 Microsoft 文本到语音转换程序无法正确处理内存中的对象时, 可能就会触发该漏洞 成功利用漏洞的攻击者可以控制受影响的系统 攻击者可任意安装程序 查看 更改或删除数据 或者创建新帐户等 8 Chakra 脚本引擎安全漏洞 (CNNVD-201812-450 CVE-2018-8629) ( CNNVD-201812-455 CVE-2018-8624 ) ( CNNVD-201812-459 CVE-2018-8618 ) ( CNNVD-201812-460 CVE-2018-8617 ) (CNNVD-201812-470 CVE-2018-8583) 漏洞简介 :Chakra 脚本引擎在 Microsoft Edge 中处理内存中的对象的时可能触发该漏洞 成功利用该漏洞的攻击者可以获得与当 11
前用户相同的用户权限 如果当前用户使用管理权限登录, 攻击者便可以任意安装程序 查看 更改或删除数据 9 Windows 权限提升漏洞 (CNNVD-201812-442 CVE-2018-8641) ( CNNVD-201812-443 CVE-2018-8639 ) ( CNNVD-201812-462 CVE-2018-8611) 漏洞简介 : 当 Windows 内核无法正确处理内存中的对象时, 可能就会触发该漏洞 攻击者首先必须登录到系统 然后运行一个经特殊设计的应用程序, 才能利用此漏洞 成功利用漏洞的攻击者可以在内核模式中运行任意代码 攻击者可任意安装程序 查看 更改或删除数据 或者创建新帐户等 若要利用此漏洞,. 修复建议目前, 微软官方已经发布补丁修复了上述漏洞, 建议用户及时确认漏洞影响, 采取修补措施 微软官方链接地址如下 : 序号漏洞名称官方链接 Internet Explorer 安全漏洞 1 ( CNNVD-201812-458 dvisory/cve-2018-8619 CVE-2018-8619) Microsoft Outlook 安全漏洞 2 ( CNNVD-201812-469 dvisory/cve-2018-8587 CVE-2018-8587) Microsoft Excel 安全漏洞 3 ( CNNVD-201812-466 dvisory/cve-2018-8597 CVE-2018-8597 ) ( CNNVD-201812-446 dvisory/cve-2018-8636 CVE-2018-8636) Microsoft PowerPoint 安全漏洞 4 ( CNNVD-201812-451 dvisory/cve-2018-8628 CVE-2018-8628) Microsoft VBScript 安全漏洞 5 ( CNNVD-201812-454 dvisory/cve-2018-8625 CVE-2018-8625) 12
6 7 8 9 Microsoft.NET Framework 安 全 漏 洞 ( CNNVD-201812-472 CVE-2018-8540) Microsoft 文本到语音转换程 序 安 全 漏 洞 ( CNNVD-201812-448 CVE-2018-8634) Chakra 脚本引擎安全漏洞 CNNVD-201812-450 CVE-2018-8629 ) ( CNNVD-201812-455 CVE-2018-8624 ) ( CNNVD-201812-459 CVE-2018-8618 ) ( CNNVD-201812-460 CVE-2018-8617 ) ( CNNVD-201812-470 CVE-2018-8583) Windows 权限提升漏洞 ( CNNVD-201812-442 CVE-2018-8641 ) ( CNNVD-201812-443 CVE-2018-8639 ) ( CNNVD-201812-462 CVE-2018-8611) dvisory/cve-2018-8540 dvisory/cve-2018-8634 dvisory/cve-2018-8617 dvisory/cve-2018-8618 dvisory/cve-2018-8624 dvisory/cve-2018-8629 dvisory/cve-2018-8583 dvisory/cve-2018-8641 dvisory/cve-2018-8639 dvisory/cve-2018-8611 (2)CNNVD 关于 ThinkPHP 远程代码执行漏洞情况的通 报 近日, 国家信息安全漏洞库 (CNNVD) 收到关于 ThinkPHP 远程代码执行漏洞 (CNNVD-201812-617) 情况的报送 成功利用此漏洞的攻击者可以对目标系统进行远程代码执行攻击 ThinkPHP 的 5.0.x 版和 5.1.x 版等多个版本均受此漏洞影响 目前, 该漏洞的部分漏洞验证代码已经公开, 同时 ThinkPHP 官方已经发布更新修复了该漏洞, 建议受该漏洞影响的 ThinkPHP 用户尽快采取修补措施 13
. 漏洞介绍 ThinkPHP 是一个免费开源的, 快速简单的面向对象的轻量级 PHP 开发框架 该框架常被用来进行二次开发, 国内应用非常广泛 该漏洞形成的原因是 ThinkPHP 在获取控制器名时未对用户提交 的参数进行严格的过滤, 在没有开启强制路由的情况下, 攻击者可以 通过输入 \ 字符的方式调用任意方法, 从而实现远程代码执行. 危害影响 成功利用此漏洞的攻击者可以对目标系统进行远程代码执行攻 击 目前, 该漏洞的部分漏洞验证代码已在互联网上公开, 近期被利 用的可能性较大 受漏洞影响版本如下 : ThinkPHP 5.0.x 5.1.x. 修复建议 目前,ThinkPHP 官方已经发布更新修复了该漏洞, 请用户及时 检查产品版本, 如确认受到漏洞影响, 可按以下措施进行防护 1 升级 ThinkPHP 版本 : ThinkPHP5.0.X 版本, 升级至最新的 5.0.23 版本 : 核心版 :http://www.thinkphp.cn/down/1279.html 完整版 :http://www.thinkphp.cn/down/1278.html 14
ThinkPHP5.1.X 版本, 升级至最新的 5.1.31 版本 : 完整版 :https://github.com/top-think/framework/tree/v5.1.31 2 若用户无法立即升级版本, 临时缓解方案 : 开启强制路由, 在 application/config.php( 默认配置文件 ) 文件中配置以下参数 : 'url_route_on' 'url_route_must' => true, => true, 15