一点号CNNVD安全动态昨天
php?url=0FQJQ9BvAj" alt="CNNVD漏洞月报(2016年12月)" />
本期导读
漏洞态势
根据国家信息安全漏洞库(CNNVD)统计,2016年12月份采集安全漏洞共854个,Android平台和Mozilla Firefox浏览器成为黑客重要攻击目标。
本月接报漏洞共计3920个,其中信息技术产品漏洞(通用型漏洞)209个,网络信息系统漏洞(事件型漏洞)3711个。
重大漏洞预警
1、linux内核存在竞争条件漏洞(CNNVD-201612-097)。Linux kernel 4.8.12及之前版本的内核代码中存在竞争条件漏洞。本地攻击者可通过恶意篡改套接字版本利用该漏洞获取特权,或造成拒绝服务等攻击。
2、PHPMailer存在输入验证漏洞(CNNVD-201612-675,CNNVD-201612-755)。PHPMailer是一个用于发送电子邮件的PHP类库。PHPMailer 5.2.18之前的版本中存在输入验证漏洞(CNNVD-201612-675),但补丁未能完全修复该漏洞,从而导致新的输入验证漏洞产生(CNNVD-201612-755)。上述漏洞均源于该类库未对用户输入进行有效过滤,远程未授权的攻击者可通过输入恶意构造的参数利用上述漏洞,在使用了该PHP类库的Web服务器中执行任意代码,可导致目标主机被完全控制。
漏洞态势一、公开漏洞情况根据国家信息安全漏洞库(CNNVD)统计,2016年12月份新增安全漏洞共854个,从厂商分布来看,Google公司产品的漏洞数量最多,共发布89个;从漏洞类型来看,信息泄露类的漏洞占比最大,达到11.71%。本月新增漏洞中,超危漏洞25个、高危漏洞74个、中危漏洞658个、低危漏洞97个,相应修复率分别为100.00%、91.89%、90.27%以及94.85%。合计779个漏洞已有修复补丁发布,本月整体修复率91.22%。
截至2016年12月31日,CNNVD收录漏洞总量已达88708个。
1.1 漏洞增长概况2016年12月新增漏洞数量有所上升,共854个,与上月(657个)相比增加了29.98%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到785个。
1.2 漏洞分布情况 1.2.1漏洞厂商分布
12月厂商漏洞数量分布情况如表1所示,Google公司达到89个,占本月漏洞总量的10.42%。本月Apple、Mozilla、Apache等公司的漏洞数量均有所上升。与之相反,Microsoft、NVIDIA、OIC等厂商的漏洞数量出现较不同程度的下降。
表1 2016年12月排名前十厂商新增安全漏洞统计表
1.2.2 漏洞产品分布 1、主流操作系统漏洞
12月主流操作系统的漏洞统计情况如表2所示,本月windows系列操作系统漏洞数量共65条,其中桌面操作系统40条,服务器操作系统25条。本月Android漏洞数量最多,达到67个,占主流操作系统漏洞总量的40.11%,排名第一。
表2 2016年12月主流操作系统漏洞数量统计
*由于Windows整体市占率高达百分之九十以上,所以上表针对不同的Windows版本分别进行统计
*上表漏洞数量为影响该版本的漏洞数量,由于同一漏洞可能影响多个版本操作系统,计算某一系列操作系统漏洞总量时,不能对该系列所有操作系统漏洞数量进行简单相加。
2、Web浏览器漏洞数量统计
下图为12月各主要Web浏览器漏洞数量统计。本月主流浏览器漏洞数量上升,达到93个,是上月(12个)的7倍多。本月Mozilla Firefox漏洞数量最多,达到34个,占主流浏览器漏洞的36.56%。
1.2.3 漏洞类型分布
12月份发布的漏洞类型分布如表3所示,其中信息泄露类漏洞所占比例最大,约为11.71%,排名第一。
表3 2016年12月漏洞类型统计表
根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。12月漏洞危害等级分布如图3所示,其中超危漏洞25条,占本月漏洞总数的2.93%。本月漏洞危害等级分布如图3所示。
1.3漏洞修复情况 1.3.1 整体修复情况
12月漏洞修复情况按危害等级进行统计见图4,其中超危漏洞修复率最高,达到100.00%,中危漏洞修复率最低,比例为90.27%,本月超危、中危、低危漏洞修复率均有所上升,高危漏洞修复率稍有下降,导致本月整体修复率有所上升,由上月的87.80%上升至本月的91.21%,上升了3.4个百分点。
1.3.2 厂商修复情况
12月漏洞修复情况按漏洞数量前十厂商进行统计,多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Google、Apple、IBM、Microsoft、Mozilla、Adobe、Linux、NVIDIA、Cybozu、Huawei等公司共552条漏洞已全部修复,占本月漏洞的64.64%。详细情况见表4。
表4 2016年12月厂商修复情况统计表
1.4 重要漏洞实例 1.4.1 超危漏洞实例
本月超危漏洞共25个,其中重要漏洞实例如表5所示。
表5 2016年12月超危漏洞实例
1.Adobe Flash Player 缓冲区错误漏洞(CNNVD-201612-408)
Adobe Flash Player是美国奥多比(Adobe)公司的一款跨平台、基于浏览器的多媒体播放器产品。该产品支持跨屏幕和浏览器查看应用程序、内容和视频。
Adobe Flash Player中存在缓冲区溢出漏洞。攻击者可利用该漏洞执行任意代码。以下版本受到影响:
-Adobe Flash Player for Windows和Macintosh 23.0.0.207及之前的版本
-Adobe Flash Player for Google Chrome 23.0.0.207及之前的版本
-Adobe Flash Player for Microsoft Edge和Internet Explorer 11 23.0.0.207及之前的版本
-Adobe Flash Player for Linux 11.2.202.644及之前的版本
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
2.VMware vSphere Data Protection信任管理漏洞(CNNVD-201612-630)
VMware vSphere Data Protection(VDP)美国威睿(VMware)公司的一套基于磁盘的备份和恢复解决方案。该方案通过与VMware vCenter Server(服务器和虚拟化管理软件)集成,可用来对备份作业执行集中式管理,同时将备份文件存储在经过重复数据消除的目标存储位置。
VMware VDP 5.5.x版本至6.1.x版本中存在安全漏洞,该漏洞源于程序包含公有密码的SSH私钥。远程攻击者可借助SSH会话利用该漏洞获取登录权限。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
3.Cisco CloudCenter Orchestrator Docker Engine权限许可和访问控制漏洞(CNNVD-201612-622)
Cisco CloudCenter是美国思科(Cisco)公司的一套混合云管理平台解决方案。该方案支持应用迁移、跨众多云环境进行DevOps自动化以及在云中或云间进行动态扩容等。Orchestrator是用于其中的一个编排器组件。Docker Engine是其中的一个容器引擎扩展。
Cisco CloudCenter Orchestrator中的Docker Engine配置存在安全漏洞,该漏洞源于程序没有正确配置文件。远程攻击者可借助提升的权限利用该漏洞在受影响的系统中安装Docker容器。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
4.Adobe Flash Player代码注入漏洞(CNNVD-201612-395)
Adobe Flash Player中存在释放后重用漏洞。攻击者可利用该漏洞执行任意代码。以下版本受到影响:
5.Alcatel-Lucent OmniVista 8770授权问题漏洞(CNNVD-201612-027)
Alcatel-Lucent OmniVista 8770是法国阿尔卡特-朗讯(Alcatel-Lucent)公司的一套网络管理系统。该系统支持基于角色管理提供安全接入和通过单一平台即可完成全部的管理服务、统一管理OmniPCX、OpenTouch关联的本地和远程设备等。
Alcatel-Lucent OmniVista 8770 2.0版本到3.0版本存在安全漏洞。攻击者可通过TCP 30024端口上的GIOP协议利用该漏洞绕过身份验证,以NT AUTHORITY\SYSTEM权限在服务器上执行任意命令。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
本月高危漏洞共74个,其中重点漏洞实例如表6所示。
表6 2016年12月高危漏洞实例
1.Microsoft Internet Explorer和Edge 缓冲区错误漏洞(CNNVD-201612-369)
Microsoft Internet Explorer(IE)和Microsoft Edge都是美国微软(Microsoft)公司开发的Web浏览器。
Microsoft IE 11版本和Edge中的脚本引擎存在远程执行代码漏洞。攻击者可利用该漏洞在当前用户的上下文中执行任意代码,也可能造成拒绝服务(内存损坏)。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
2.Cisco AnyConnect Secure Mobility Client权限许可和访问控制漏洞(CNNVD-201612-205)
Cisco AnyConnect Secure Mobility Client是美国思科(Cisco)公司的一款可通过任何设备安全访问网络和应用的安全移动客户端。
Cisco AnyConnect Secure Mobility Client中存在安全漏洞。本地攻击者可利用该漏洞以提升的权限安装并执行可执行的文件。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
3.Siemens SICAM PAS输入验证漏洞(CNNVD-201611-666)
Siemens SICAM PAS是德国西门子(Siemens)公司的一套用于操作变电站的能源自动化软件。
Siemens SICAM PAS 8.08及之前的版本中存在安全漏洞。远程攻击者可通过向19235/TCP端口发送特制的数据包利用该漏洞在文件系统中上传、下载或删除文件。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
4.MODX Revolution路径遍历漏洞(CNNVD-201612-652)
MODX Revolution是美国MODX公司的一套基于PHP的开源内容管理系统(CMS)。该系统支持在线协作、搜索引擎优化(SEO)、附加组件等。
MODX Revolution 2.5.2-pl之前的版本中的/connectors/index.php文件存在目录遍历漏洞。远程攻击者可借助特制的‘dir’参数利用该漏洞读取inclusion/traversal/manipulation目录下的任意文件。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
5.Linux kernel竞争条件漏洞(CNNVD-201612-097)
Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。
Linux kernel 4.8.12及之前的版本中的net/packet/af_packet.c文件存在竞争条件漏洞。本地攻击者可借助‘CAP_NET_RAW’权限更改套接字版本利用该漏洞获取特权,或造成拒绝服务(释放后重用)。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=84ac7260236a49c79eede91617700174c2c19b0c
6.DotCMS SQL注入漏洞(CNNVD-201612-584)
DotCMS是美国DotCMS公司的一套内容管理系统(CMS)。该系统支持RSS订阅、博客、论坛等模块,并具有易于扩展和构建的特点。REST API是其中的一个支持轻量级REST风格Web脚本的API。
DotCMS 3.3.2之前的版本中的REST API存在SQL注入漏洞。远程攻击者可借助'stName'参数利用该漏洞执行任意SQL命令。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://dotcms.com/security/SI-35二、接报漏洞情况
本月接报漏洞共计3920个,其中信息技术产品漏洞(通用型漏洞)209个,网络信息系统漏洞(事件型漏洞)3711个。
表7 2016年12月漏洞报送情况
三、重大漏洞预警3.1关于Linux 内核漏洞情况的通报
12月,互联网上披露了关于Linux内核存在竞争条件漏洞(CNNVD-201612-097)的相关情况。2016年11月30日,The Linux Kernel Organization已针对该漏洞发布升级版本。由于上述漏洞影响范围广,危害级别高,CNNVD对此进行了跟踪分析,情况如下:
(一)漏洞简介
Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。
Linux kernel 4.8.12及之前版本的net/packet/af_packet.c文件中存在竞争条件漏洞(CNNVD-201612-097,CVE-2016-8655)。本地攻击者可借助‘CAP_NET_RAW’权限更改套接字版本利用该漏洞获取特权,或造成拒绝服务(释放后重用)。
(二)漏洞危害
1、攻击者只需要本地低权限,就能利用该漏洞导致拒绝服务(系统崩溃)或者以管理员权限执行任意代码。
2、若部署在该服务器上的Web应用存在安全漏洞,当远程攻击者利用Web漏洞获取本地权限后,可利用该漏洞提升权限至超级管理员(root),从而完全控制服务器。
(三)修复措施
目前,The Linux Kernel Organization已发布该漏洞的修复补丁,并且该漏洞细节及利用工具已在互联网上公开,请受影响用户尽快升级至最新版Linux Kernel以消除安全风险。官方链接如下:
Linux Kernel git存储库:https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=84ac7260236a49c79eede91617700174c2c19b0c
本通报由CNNVD技术支撑单位――北京知道创宇信息技术有限公司提供支持。
3.2关于PHPMailer漏洞情况的通报12月,CNNVD收到多个关于“PHPMailer”漏洞情况的报送。先是编号为CNNVD-201612-675的“PHPMailer输入验证漏洞”,2016年12月24日,PHPMailer官方针对该漏洞发布修复补丁,但安全人员发现该补丁未能完全修复该漏洞,从而导致新的输入验证漏洞产生(CNNVD-201612-755)。为此,12月28日,PHPMailer官方再次针对新漏洞发布修复补丁。由于上述漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:
(一)漏洞简介
PHPMailer是一个用于发送电子邮件的PHP类库。WordPress、Drupal、1CRM、SugarCRM、Yii、Joomla!、thinkphp等都默认调用了该类库。
PHPMailer 5.2.18之前的版本中存在输入验证漏洞(CNNVD-201612-675,CVE-2016-10033)。该漏洞源于类库未对用户输入进行有效过滤,导致远程攻击者可利用该漏洞在Web服务器中执行任意代码。
PHPMailer 5.2.20之前的版本中存在输入验证漏洞(CNNVD-201612-755,CVE-2016-10045)。该漏洞由于PHPMailer官方针对上述输入验证漏洞(CNNVD-201612-675,CVE-2016-10033)补丁中使用的过滤函数可被绕过,导致远程攻击者可利用该漏洞在Web服务器中执行任意代码。
(二)漏洞危害
远程未授权的攻击者可通过输入恶意构造的参数利用上述漏洞,在使用了该PHP类库的Web服务器中执行任意代码,可导致目标主机被完全控制。
(三)修复措施
目前,PHPMailer官方已针对上述漏洞发布了修复版本,请受影响的用户尽快升级至5.2.20及以上版本以消除漏洞影响。补丁获取链接:https://github.com/PHPMailer/PHPMailer/blob/master/changelog.md
本通报由CNNVD技术支撑单位――北京白帽汇科技有限公司提供支持。