尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
本期導讀
漏洞態勢
根據國家信息安全漏洞庫(CNNVD)統計,2018年10月份采集安全漏洞共1495個。
本月接報漏洞共計2066個,其中信息技術產品漏洞(通用型漏洞)62個,網路信息系統漏洞(事件型漏洞)2004個。
重大漏洞預警
1、Oracle WebLogic Server遠程代碼執行漏洞(CNNVD-201810-781):攻擊者可利用該漏洞發送攻擊數據,通過T3協議在WebLogic Server中執行反序列化操作,最終做到遠程代碼執行。WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影響。目前, Oracle官方已經發布了漏洞修復補丁,建議用戶及時確認是否受到漏洞影響,盡快採取修補措施。
2、微軟官方發布了多個安全漏洞的公告,包括Microsoft XML Core Services MSXML parsera安全漏洞(CNNVD-201810-294)、Microsoft Windows Hyper-V 安全漏洞(CNNVD-201810-327)等多個漏洞。成功利用上述漏洞的攻擊者,可以在目標系統上執行任意代碼。微軟多個產品和系統受漏洞影響。目前,微軟官方已發布修復上述漏洞的補丁,建議用戶及時確認是否受到漏洞影響,盡快採取修補措施。
漏洞態勢
一、公開漏洞情況
根據國家信息安全漏洞庫(CNNVD)統計,2018年10月新增安全漏洞共1495個,從廠商分布來看,Oracle公司產品的漏洞數量最多,共發布183個;從漏洞類型來看,跨站腳本類的漏洞占比最大,達到12.31%。本月新增漏洞中,超危漏洞17個、高危漏洞254個、中危漏洞999個、低危漏洞225個,相應修復率分別為82.35%、90.55%、74.67%以及66.67%。合計1140個漏洞已有修復補丁發布,本月整體修復率為76.25%。
截至2018年10月31日,CNNVD采集漏洞總量已達117293個。
1.1 漏洞增長概況
2018年10月新增安全漏洞1495個,與上月(1324個)相比增加了12.92%。根據近6個月來漏洞新增數量統計圖,平均每月漏洞數量達到1374個。
圖1 2018年5月至2018年10月漏洞新增數量統計圖
1.2 漏洞分布情況
1.2.1漏洞廠商分布
10月廠商漏洞數量分布情況如表1所示,Oracle公司達到183個,占本月漏洞總量的12.24%。
表1 2018年10月排名前十廠商新增安全漏洞統計表
1.2.2漏洞產品分布
10月主流操作系統的漏洞統計情況如表2所示。本月Windows系列操作系統漏洞數量共33條,其中桌面操作系統33條,服務器操作系統29條。本月Windows 10漏洞數量最多,達到33個,占主流操作系統漏洞總量的16.67%,排名第一。
表2 2018年10月主流操作系統漏洞數量統計
*由於Windows整體市占率高達百分之九十以上,所以上表針對不同的Windows版本分別進行統計。
*上表漏洞數量為影響該版本的漏洞數量,由於同一漏洞可能影響多個版本操作系統,計算某一系列操作系統漏洞總量時,不能對該系列所有操作系統漏洞數量進行簡單相加。
1.2.3 漏洞類型分布
10月發布的漏洞類型分布如表3所示,其中跨站腳本類漏洞所占比例最大,約為12.38%。
表3 2018年10月漏洞類型統計表
1.2.4 漏洞危害等級分布
根據漏洞的影響範圍、利用方式、攻擊後果等情況,從高到低可將其分為四個危害等級,即超危、高危、中危和低危級別。10月漏洞危害等級分布如圖2所示,其中超危漏洞17條,占本月漏洞總數的1.49%。
圖2 2018年10月漏洞危害等級分布
1.3漏洞修復情況
1.3.1 整體修復情況
10月漏洞修復情況按危害等級進行統計見圖3。其中高危漏洞修復率最高,達到90.55%,低危漏洞修復率最低,比例為66.67%。與上月相比,本月高危漏洞修復率有所上升,超危、中危、低危漏洞修復率有所下降。總體來看,本月漏洞整體修復率上升,由上月的68.71%上升至本月的76.25%。
圖3 2018年10月漏洞修復數量統計
1.3.2 廠商修復情況
10月漏洞修復情況按漏洞數量前十廠商進行統計,其中Oracle、福昕、Adobe等十個廠商共742條漏洞,占本月漏洞總數的49.63%,漏洞修復率為99.33%,詳細情況見表4。多數知名廠商對產品安全高度重視,產品漏洞修復比較及時,其中Oracle、福昕、Adobe、IBM、Qualcomm、微軟、Juniper Networks、Mozilla、Dell、Apache等公司本月漏洞修復率均為100%,共824條漏洞已全部修復。
表4 2018年10月廠商修復情況統計表
1.4 重要漏洞實例
1.4.1 超危漏洞實例
10月超危漏洞共17個,其中重要漏洞實例如表5所示。
表5 2018年10月超危漏洞實例
1.Android 權限許可和訪問控制漏洞(CNNVD-201810-062)
Android是美國Google(Google)公司和開放手持設備聯盟(簡稱OHA)共同開發的一套以Linux為基礎的開源操作系統。
Android 8.0版本和8.1版本中的avrc_pars_tg.cc文件的‘avrc_pars_browsing_cmd’函數存在提權漏洞。遠程攻擊者可通過發送特制的參數利用該漏洞在系統上獲取提升的權限。
解決措施:目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://source.android.com/security/bulletin/2018-10-01
2.NEOJAPAN Denbun POP和Denbun IMAP 緩沖區錯誤漏洞(CNNVD-201810-727)
NEOJAPAN Denbun POP和Denbun IMAP都是日本NEOJAPAN公司的基於Web的電子郵件系統。NEOJAPAN Denbun POP是它的支持POP協議的版本;Denbun IMAP是支持IMAP協議的版本。
NEOJAPAN Denbun POP 3.3P R4.0及之前版本和Denbun IMAP 3.3I R4.0及之前版本中存在基於棧的緩沖區溢出漏洞。遠程攻擊者可利用該漏洞執行任意代碼或造應用程序崩潰。
解決措施:目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://denbun.com/ja/imap/support/security/181003.html
1.4.2 高危漏洞實例
本月高危漏洞共254個,其中重要漏洞實例如表6所示。
表6 2018年10月高危漏洞
1.Cisco Prime Collaboration Provisioning 信任管理漏洞(CNNVD-201810-184)
Cisco Prime Collaboration Provisioning(PCP)是美國思科(Cisco)公司的一套基於Web的下一代通信服務軟件。該軟件對IP電話、語音郵件和統一通信環境提供IP通信服務功能。
Cisco PCP 12.1之前版本中的安裝功能存在信任管理漏洞。遠程攻擊者可借助默認的硬編碼用戶名和密碼利用該漏洞以管理員級別權限訪問管理Web界面。
解決措施:目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-cpcp-password
2.Android download manager 信息泄露漏洞(CNNVD-201810-066)
Android是美國Google(Google)公司和開放手持設備聯盟(簡稱OHA)共同開發的一套以Linux為基礎的開源操作系統。Download Manager是其中的一個下載管理器。
Android中的download manager的content provider存在信息泄露漏洞,該漏洞源於程序沒有執行正確的輸入驗證。本地攻擊者可通過發送特制的請求利用該漏洞獲取敏感信息。以下版本受到影響:
–Android 7.0版本
–Android 7.1.1版本
–Android 7.1.2版本
–Android 8.0版本
–Android 8.1版本
–Android 9版本
解決措施:目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://source.android.com/security/bulletin/2018-10-01
3.Adobe Acrobat和Reader 數字錯誤漏洞(CNNVD-201810-403)
Adobe Acrobat和Reader都是美國奧多比(Adobe)公司的產品。前者是一套PDF文件編輯和轉換工具,後者是一套PDF文檔閱讀軟件。
Adobe Acrobat和Reader中存在整數溢出漏洞。遠程攻擊者可利用該漏洞獲取敏感信息。基於Windows和macOS平台的以下產品和版本受到影響:
–Adobe Acrobat DC(Continuous)2018.011.20063及之前版本
–Adobe Acrobat 2017(Classic 2017)2017.011.30102及之前版本
–Adobe Acrobat DC(Classic 2015)2015.006.30452及之前版本
–Adobe Acrobat Reader DC(Continuous)2018.011.20063及之前版本
–Adobe Acrobat Reader 2017(Classic 2017)2017.011.30102及之前版本
–Adobe Acrobat Reader DC(Classic 2015)2015.006.30452及之前版本
解決措施:目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://helpx.adobe.com/security/products/acrobat/apsb18-30.html
4. Microsoft Windows Kernel 權限許可和訪問控制漏洞(CNNVD-201810-329)
Microsoft Windows Server 2019等都是美國微軟(Microsoft)公司發布的一系列操作系統。Windows Kernel是其中的一個Windows系統內核。
Microsoft Windows Kernel中對內核記憶體處理的方式存在提權漏洞。本地攻擊者可利用該漏洞以提升的權限執行任意代碼。以下系統版本受到影響:
–Microsoft Windows Server 2019
–Microsoft Windows Server 2016
–Microsoft Windows Server版本1803
–Microsoft Windows Server版本1709
–Microsoft Windows 10版本1809
–Microsoft Windows 10版本1803
–Microsoft Windows 10版本1709
–Microsoft Windows 10版本1703
–Microsoft Windows 10版本1607
解決措施:目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8497
5.Oracle GoldenGate 緩沖區錯誤漏洞(CNNVD-201810-973)
Oracle GoldenGate是美國甲骨文(Oracle)公司一個用於在IT環境中進行實時數據集成和復制的綜合軟件包,它支持實時數據集成、事務型變更數據捕獲、數據服務、轉換和驗證功能。
Oracle GoldenGate 12.1.2.1.0版本、12.2.0.2.0版本和12.3.0.1.0版本中的Monitoring Manager子組件存在安全漏洞。攻擊者可利用該漏洞控制組件,影響數據的可用性、保密性和完整性。
解決措施:目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
6.SaltStack Salt 訪問控制錯誤漏洞(CNNVD-201810-1235)
SaltStack Salt(又名SaltStack)是美國SaltStack公司的一套開源的用於管理基礎架構的工具。該工具提供配置管理、遠程執行等功能,能夠管理上萬台服務器,具有快速完成數據傳遞的能力。
SaltStack Salt 2017.7.8之前版本和2018.3.3之前的2018.3.x版本中存在訪問控制錯誤漏洞。遠程攻擊者可借助salt-api(netapi)利用該漏洞繞過身份驗證,執行任意命令。
解決措施:目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://docs.saltstack.com/en/latest/topics/releases/2018.3.3.html
7.Cisco Remote PHY Software 資源管理錯誤漏洞(CNNVD-201810-186)
Cisco Remote PHY Software是美國思科(Cisco)公司的一套基於數字光纖的DOCSIS解決方案。該方案使用以太網PON(EPON)和城域網路等作為傳輸網路。
Cisco Remote PHY Software中的IPv4碎片處理函數存在資源管理錯誤漏洞。遠程攻擊者可通過發送畸形的流量利用該漏洞造成拒絕服務。
解決措施:目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-phy-ipv4-dos
8.Cisco SD-WAN Solution 輸入驗證漏洞(CNNVD-201810-183)
Cisco vEdge 100 Series Routers等都是美國思科(Cisco)公司的不同系列的路由器產品。SD-WAN Solution是運行在其中的一套網路擴展解決方案。
Cisco SD-WAN Solution 17.2.8之前版本和18.3.1之前版本中存在輸入驗證漏洞,該漏洞源於程序沒有正確的驗證證書。遠程攻擊者可通過向受影響的設備提交使用特制證書所簽名的系統鏡像利用該漏洞繞過證書檢測,部署特制的系統鏡像。以下產品受到影響:
-Cisco vBond Orchestrator Software
-Cisco vEdge 100 Series Routers
-Cisco vEdge 1000 Series Routers
-Cisco vEdge 2000 Series Routers
-Cisco vEdge 5000 Series Routers
-Cisco vEdge Cloud Router Platform
-Cisco vManage Network Management Software
-Cisco vSmart Controller Software
解決措施:目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-sd-wan-bypass
9. Cisco Digital Network Architecture Center 配置錯誤漏洞(CNNVD-201810-182)
Cisco Digital Network Architecture Center(DNA Center)是美國思科(Cisco)公司的一套數字網路體系結構解決方案。該方案能夠擴展並保護網路內的設備、應用程序等。
Cisco DNA Center 1.1版本中存在配置錯誤漏洞,該漏洞源於受影響系統中帶有不安全的默認配置。遠程攻擊者可利用該漏洞檢索和修改重要的系統文件。
解決措施:目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-dna-unauth-access
二、接報漏洞情況
本月接報漏洞共計2066個,其中信息技術產品漏洞(通用型漏洞)62個,網路信息系統漏洞(事件型漏洞)2004個。
表7 2018年10月漏洞接報情況
三、重大漏洞預警
3.1 CNNVD關於Oracle WebLogic Server遠程代碼執行漏洞的通報
本月,國家信息安全漏洞庫(CNNVD)收到Oracle WebLogic Server遠程代碼執行漏洞(CNNVD-201810-781、CVE-2018-3245)情況的報送。攻擊者可利用該漏洞發送攻擊數據,通過T3協議在WebLogic Server中執行反序列化操作,最終做到遠程代碼執行。WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影響。目前, Oracle官方已經發布了漏洞修復補丁,建議用戶及時確認是否受到漏洞影響,盡快採取修補措施。
1、漏洞簡介
Oracle WebLogic Server是美國甲骨文(Oracle)公司開發的一款適用於雲環境和傳統環境的應用服務中間件,它提供了一個現代輕型開發平台,支持應用從開發到生產的整個生命周期管理,並簡化了應用的部署和管理。
Oracle WebLogic Server存在遠程代碼執行漏洞(CNNVD-201810-781、CVE-2018-3245)。該漏洞通過JRMP協議利用RMI機制的缺陷達到遠程代碼執行的目的。攻擊者可以在未授權的情況下將payload封裝在T3協議中,通過對T3協議中的payload進行反序列化,從而做到對存在漏洞的WebLogic組件進行遠程攻擊,執行任意代碼,並獲取目標系統的所有權限。
2、漏洞危害
攻擊者可利用漏洞在未授權的情況下發送攻擊數據,通過T3協議在WebLogic Server中執行反序列化操作,最終做到遠程代碼執行。該漏洞涉及了多個版本,具體受影響版本如下:
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 12.1.3.0
Oracle WebLogic Server 12.2.1.2
Oracle WebLogic Server 12.2.1.3
3、修復措施
目前,Oracle官方已經發布補丁修復了漏洞,建議用戶及時確認是否受到漏洞影響,盡快採取修補措施。
(1)Oracle官方更新鏈接如下:
https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
(2)臨時解決方案
通過設置weblogic.security.net.ConnectionFilterImpl默認連接篩選器,對T3/T3s協議的訪問權限進行配置,阻斷漏洞利用途徑。具體如下:
(a)進入WebLogic控制台,在base_domain的配置頁面中,進入「安全」選項卡頁面,點擊「篩選器」,進入連接篩選器配置。
(b)在連接篩選器中輸入:WebLogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:* * 7001 deny t3 t3s
(c)保存後重新啟動即可生效。
3.2 CNNVD關於微軟多個安全漏洞的通報
最近,微軟官方發布了多個安全漏洞的公告,包括MS XML 遠程執行代碼漏洞(CNNVD-201810-294、CVE-2018-8494)、Windows Hyper-V 遠程執行代碼漏洞(CNNVD-201810-327、CVE-2018-8490)等多個漏洞。成功利用上述安全漏洞的攻擊者,可以在目標系統上執行任意代碼。微軟多個產品和系統受漏洞影響。目前,微軟官方已經發布補丁修復了上述漏洞,建議用戶及時確認是否受到漏洞影響,盡快採取修補措施。
1、漏洞介紹
本次漏洞通報涉及Microsoft Edge、Internet Explorer、Microsoft腳本引擎、Windows Hyper-V、Chakra 腳本引擎等Windows平台下應用軟件和組件。漏洞詳情如下:
1、 Internet Explorer 記憶體損壞漏洞(CNNVD-201810-297、CVE-2018-8491)、(CNNVD-201810-300、CVE-2018-8460)
漏洞簡介:Internet Explorer部分版本存在遠程代碼執行漏洞,當Internet Explorer不正確地訪問記憶體中的對象時,可觸發該漏洞。成功利用該漏洞的攻擊者可以獲得與當前用戶相同的用戶權限。
2、 Microsoft Edge 記憶體損壞漏洞(CNNVD-201810-292、CVE-2018-8473)、(CNNVD-201810-302、CVE-2018-8509)
漏洞簡介:當 Microsoft Edge 不正確地訪問記憶體中的對象時會觸發該漏洞。成功利用該漏洞的攻擊者可以獲得與當前用戶相同的用戶權限。
3、 Microsoft Edge 記憶體損壞漏洞(CNNVD-201810-327、CVE-2018-8490)、(CNNVD-201810-328、CVE-2018-8489)
漏洞簡介:當主機服務器上的 Windows Hyper-V 無法正確驗證用戶操作系統上經身份驗證的用戶的輸入時,存在遠程代碼執行會觸發該漏洞。成功利用此漏洞的攻擊者可以執行任意代碼。
4、 Chakra 腳本引擎記憶體損壞漏洞(CNNVD-201810-303、CVE-2018-8500)、(CNNVD-201810-307、CVE-2018-8505)、(CNNVD-201810-309、CVE-2018-8511)、(CNNVD-201810-310、CVE-2018-8510)、(CNNVD-201810-334、CVE-2018-8513)
漏洞簡介:Chakra 腳本引擎在 Microsoft Edge 中處理記憶體中的對象的方式中時存在遠程代碼執行可能觸發漏洞。成功利用該漏洞的攻擊者可以獲得與當前用戶相同的用戶權限。如果當前用戶使用管理用戶權限登錄,攻擊者便可以控制受影響的系統。攻擊者可任意安裝程序、查看、更改或刪除數據、或者創建新帳戶。
5、 MS XML 遠程執行代碼漏洞(CNNVD-201810-294、CVE-2018-8494)
漏洞簡介:當 Microsoft XML Core Services MSXML 分析器處理用戶輸入時,存在代碼遠程執可能觸發該行漏洞。成功利用此漏洞的攻擊者可以遠程運行惡意代碼控制用戶的系統。
2、安全建議
目前,微軟官方已經發布補丁修復了上述漏洞,建議用戶及時確認漏洞影響,盡快採取修補措施。微軟官方鏈接地址如下:
1. Internet Explorer 記憶體損壞漏洞(CNNVD-201810-297、CVE-2018-8491)、(CNNVD-201810-300、CVE-2018-8460)修復補丁鏈接地址:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8491
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8460
2. Microsoft Edge 記憶體損壞漏洞(CNNVD-201810-292、CVE-2018-8473)、(CNNVD-201810-302、CVE-2018-8509)修復補丁鏈接地址:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8473
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8509
3. Windows Hyper-V 遠程執行代碼漏洞(CNNVD-201810-327、CVE-2018-8490)、(CNNVD-201810-328、CVE-2018-8489)修復補丁鏈接地址:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8490
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8489
4. Chakra 腳本引擎記憶體損壞漏洞(CNNVD-201810-303、CVE-2018-8500)、(CNNVD-201810-307、CVE-2018-8505)、(CNNVD-201810-309、CVE-2018-8511)、(CNNVD-201810-310、CVE-2018-8510)、(CNNVD-201810-334、CVE-2018-8513)修復補丁鏈接地址:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8500
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8505
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8511
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8510
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8513
5. MS XML 遠程執行代碼漏洞(CNNVD-201810-294、CVE-2018-8494)修復補丁鏈接地址:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8494
