漏洞态势
一、采集漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,2018年2月份新增安全漏洞共722个,从厂商分布来看,Google公司产品的漏洞数量最多,共发布62个;从漏洞类型来看,跨站脚本类的漏洞占比最大,达到12.60%。本月新增漏洞中,超危漏洞12个、高危漏洞44个、中危漏洞569个、低危漏洞97个,相应修复率分别为50.00%、65.91%、79.44%以及79.38%。合计564个漏洞已有修复补丁发布,本月整体修复率78.12%。
截至2018年2月28日,CNNVD采集漏洞总量已达105438个。
1.1 漏洞增长概况
2018年2月新增安全漏洞722个,与上月(1113个)相比减少了35.13%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到962个。
图1 2017年9月至2018年2月漏洞新增数量统计图
1.2 漏洞分布情况
1.2.1漏洞厂商分布
2月厂商漏洞数量分布情况如表1所示,Google公司达到62个,占本月漏洞总量的8.59%。本月Adobe、IBM、Atlassian等公司的漏洞数量均有所上升。
表1 2018年2月排名前十厂商新增安全漏洞统计表
1.2.2 漏洞产品分布
2月主流操作系统的漏洞统计情况如表2所示。本月Windows系列操作系统漏洞数量共44条,其中桌面操作系统44条,服务器操作系统38条。本月Microsoft Windows 10漏洞数量最多,达到36个,占主流操作系统漏洞总量的18.75%,排名第一。
表2 2018年2月主流操作系统漏洞数量统计
*由于Windows整体市占率高达百分之九十以上,所以上表针对不同的Widows版本分别进行统计
*上表漏洞数量为影响该版本的漏洞数量,由于同一漏洞可能影响多个版本操作系统,计算某一系列操作系统漏洞总量时,不能对该系列所有操作系统漏洞数量进行简单相加。
1.2.3 漏洞类型分布
2月份发布的漏洞类型分布如表3所示,其中跨站脚本类漏洞所占比例最大,约为12.60%。
表3 2018年2月漏洞类型统计表
1.2.4 漏洞危害等级分布
根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。2月漏洞危害等级分布如图3所示,其中超危漏洞12条,占本月漏洞总数的1.66%。
图2 2018年2月漏洞危害等级分布
1.3漏洞修复情况
1.3.1 整体修复情况
2月漏洞修复情况按危害等级进行统计见图4。其中中危漏洞修复率最高,达到79.44%,超危漏洞修复率最低,比例为50.00%,本月中危漏洞修复率有所上升,超危、高危、低危漏洞修复率有所下降,导致本月整体修复率上升,由上月70.70%上升至本月的78.12%,上升了7.42%。
图3 2018年2月漏洞修复数量统计
1.3.2 厂商修复情况
2月漏洞修复情况按漏洞数量前十厂商进行统计,多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Google、Adobe、IBM、Trend Micro、Atlassian、HPE、Apache、Extreme Networks、华为、CloudBees等公司共295条漏洞已全部修复,占本月漏洞的40.86%。详细情况见表4。
表4 2018年2月厂商修复情况统计表
1.4 重要漏洞实例
1.4.1 超危漏洞实例
本月超危漏洞共12个,其中重要漏洞实例如表5所示。
表5 2018年2月超危漏洞实例
1. Extreme Networks ExtremeWireless WiNG缓冲区错误漏洞(CNNVD-201802-116)
Extreme Networks ExtremeWireless WiNG是美国极进网络(Extreme Networks)公司的一款无线接入解决方案。
Extreme Networks ExtremeWireless WiNG 5.8.6.9之前的5.x版本和5.9.1.3之前的5.9.x版本中的root shell访问密码的产生存在安全漏洞。攻击者可利用该漏洞提升权限。
解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://gtacknowledge.extremenetworks.com/articles/Vulnerability_Notice/VN-2018-003
2. Quest NetVault Backup输入验证漏洞(CNNVD-201802-257)
Quest NetVault Backup是美国Quest Software公司的一套数据备份软件。
Quest NetVault Backup 11.2.0.13版本中的nvwsworker.exe文件存在输入验证漏洞,该漏洞源于程序没有正确的验证用户提交数据的长度,导致复制数据的大小超过了基于栈的缓冲区空间。攻击者可利用该漏洞执行任意代码。
解决措施:目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.quest.com/
1.4.2 高危漏洞实例
本月高危漏洞共44个,其中重点漏洞实例如表6所示。
表6 2018年2月高危漏洞实例
1. Trend Micro Control Manager授权问题漏洞(CNNVD-201802-332)
Trend Micro Control Manager(TMCM)是美国趋势科技(Trend Micro)公司的一套集成了威胁检测和数据保护的管理中心软件。
TMCM 6.0版本中存在身份验证绕过漏洞。远程攻击者可利用该漏洞绕过身份验证。
解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://success.trendmicro.com/solution/1119158
2. Huawei AR3200 数字错误漏洞(CNNVD-201802-462)
Huawei AR3200是中国华为(Huawei)公司的一款AR3200系列企业路由器产品。
Huawei AR3200中存在整数溢出漏洞,该漏洞源于程序没有充分的验证SCTP消息中的字段。远程攻击者可通过向设备发送特制的SCTP消息利用该漏洞造成系统重启。以下版本受到影响:
- Huawei AR3200 V200R006C10版本
- Huawei AR3200 V200R006C11版本
- Huawei AR3200 V200R007C00版本
- Huawei AR3200 V200R007C01版本
- Huawei AR3200 V200R007C02版本
- Huawei AR3200 V200R008C00版本
- Huawei AR3200 V200R008C10版本
- Huawei AR3200 V200R008C20版本
- Huawei AR3200 V200R008C30版本
解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20171129-01-sctp-cn
3. IBM Remote Control权限许可和访问控制漏洞(CNNVD-201801-1134)
IBM Remote Control是美国IBM公司的一款远程控制管理程序。该程序能够远程管理并控制大量服务器或PC。
IBM Remote Control 9.1.4版本中存在安全漏洞。本地攻击者可利用该漏洞以Local System或root权限执行文件。
解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg22011765
4. Microsoft Internet Explorer 缓冲区错误漏洞(CNNVD-201802-242)
Microsoft Internet Explorer(IE)是美国微软(Microsoft)公司开发的一款Web浏览器,是Windows操作系统附带的默认浏览器。
Microsoft IE 11中存在内存损坏漏洞。远程攻击者可借助特制的网站利用该漏洞执行任意代码或造成拒绝服务。
解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-051
5. Cisco Aggregation Services Router 9000 Series Cisco IOS XR Software 输入验证漏洞(CNNVD-201801-1118)
Cisco Aggregation Services Router(ASR)9000 Series是美国思科(Cisco)公司的9000系列无线控制器产品。Cisco IOS XR Software是其中的一套模块化、分布式的网络操作系统。
Cisco Aggregation Services Router (ASR) 9000 Series中的Cisco IOS XR Software 5.3.4版本的IPv6子系统存在拒绝服务漏洞,该漏洞源于程序没有正确的处理IPv6数据包。当路由器安装有基于Trident的线卡并配置有IPv6,远程攻击者可通过发送IPv6数据包利用该漏洞造成拒绝服务(重启)。
解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvg46800
二、接报漏洞情况
本月接报漏洞共计1030个,其中信息技术产品漏洞(通用型漏洞)39个,网络信息系统漏洞(事件型漏洞)991个。
表7 2018年2月漏洞接报情况
声明:本文来自CNNVD安全动态,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
