一点号CNNVD安全动态3天前
php?url=0FblC7HtiG" alt="CNNVD漏洞月报(2017年01月)" />
本期导读
漏洞态势
根据国家信息安全漏洞库(CNNVD)统计,2017年1月份采集安全漏洞共661个,Android平台成为黑客重要攻击目标。
本月接报漏洞共计2131个,其中信息技术产品漏洞(通用型漏洞)55个,网络信息系统漏洞(事件型漏洞)2076个。
重大漏洞预警
1、PHP多个版本存在三个安全漏洞(CNNVD-201612-759, CNNVD-201612-760,CNNVD-201612-761)。攻击者可利用远程拒绝服务漏洞使服务器处理程序陷入无限循环,造成远程拒绝服务。可利用远程代码执行漏洞,修改内存数据,执行任意代码,远程控制服务器。
2、微信Android客户端存在访问控制错误漏洞(CNNVD-201701-100)。拥有普通权限的攻击者可以利用该漏洞通过本地木马或者恶意APP获取该客户端的数据库文件,通过某种方式解密该文件后进而获得用户的隐私信息并上传到远程服务器。CNNVD于第一时间与腾讯安全应急响应中心(TSRC)进行了沟通。TSRC收到漏洞通报后,确认该漏洞存在,并于1月10日确认漏洞已修复。
漏洞态势
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,2017年1月份新增安全漏洞共661个,从厂商分布来看,Oracle公司产品的漏洞数量最多,共发布234个;从漏洞类型来看,信息泄露类的漏洞占比最大,达到10.59%。本月新增漏洞中,超危漏洞25个、高危漏洞128个、中危漏洞431个、低危漏洞77个,相应修复率分别为100.00%、98.44%、93.50%以及98.70%。合计630个漏洞已有修复补丁发布,本月整体修复率95.31%。
截至2017年1月31日,CNNVD收录漏洞总量已达89373个。
1.1 漏洞增长概况
2017年1月新增漏洞数量有所下降,共661个,与上月(854个)相比减少了22.60%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到736个。
图1 2016年8月至2017年1月漏洞新增数量统计图
1.2 漏洞分布情况 1.2.1 漏洞厂商分布1月厂商漏洞数量分布情况如表1所示,Oracle公司达到234个,占本月漏洞总量的35.40%。本月Oracle、Adobe、华为等公司的漏洞数量均有所上升。与之相反,Google、IBM、Cisco等厂商的漏洞数量出现较不同程度的下降。
表1 2017年1月排名前十厂商新增安全漏洞统计表
1.2.2 漏洞产品分布
1月主流操作系统的漏洞统计情况如表2所示,本月windows系列操作系统漏洞数量共1条。本月Android平台漏洞数量最多,达到35个,占主流操作系统漏洞总量的31.25%,排名第一。
表2 2017年1月主流操作系统漏洞数量统计*由于Windows整体市占率高达百分之九十以上,所以可能影响多个版本操作系统,计算某一系列操作系统漏洞总量时,不能对该系列所有操作系统漏洞数量进行简单相加。
*上表漏洞数量为影响该版本的漏洞数量,由于同一漏洞上表针对不同的Windows版本分别进行统计。
1.2.3 漏洞类型分布1月份发布的漏洞类型分布如表3所示,其中信息泄露类漏洞所占比例最大,约为10.59%,排名第一。
表3 2017年1月漏洞类型统计表1.2.4 漏洞危害等级分布
根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。1月漏洞危害等级分布如图3所示,其中超危漏洞25条,占本月漏洞总数的3.78%。本月漏洞危害等级分布如图3所示。
图3 2017年1月漏洞危害等级分布
1.3漏洞修复情况
1.3.1 整体修复情况
1月漏洞修复情况按危害等级进行统计见图4,其中超危漏洞修复率最高,达到100.00%,中危漏洞修复率最低,比例为93.50%,本月超危漏洞修复率不变,高危、中危、低危漏洞修复率均有所上升,导致本月整体修复率上升,由上月的91.21%上升至本月的95.31%,上升了4.1个百分点。
图4 2017年1月漏洞修复数量统计
1.3.2 厂商修复情况1月漏洞修复情况按漏洞数量前十厂商进行统计,多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Oracle、Google、Adobe、IBM、Zimbra、WordPress、华为、EMC、Brocade、Juniper Networks等公司共532条漏洞已全部修复,占本月漏洞的80.48%。详细情况见表4。
表4 2017年1月厂商修复情况统计表1.4 重要漏洞实例
1.4.1 超危漏洞实例
本月超危漏洞共25个,其中重要漏洞实例如表5所示。
表5 2017年1月超危漏洞实例1.Adobe Flash Player 缓冲区错误漏洞(CNNVD-201701-180)
Adobe Flash Player是美国奥多比(Adobe)公司的一款跨平台、基于浏览器的多媒体播放器产品。该产品支持跨屏幕和浏览器查看应用程序、内容和视频。
Adobe Flash Player中存在内存损坏漏洞。攻击者可利用该漏洞执行代码。以下版本受到影响:
-Adobe Flash Player for Windows、Macintosh和linux 24.0.0.186及之前的版本
-Adobe Flash Player for Google Chrome 24.0.0.186及之前的版本
-Adobe Flash Player for Microsoft Edge和Internet Explorer 11 24.0.0.186及之前的版本
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
2.Western Digital MyCloud NAS 命令注入漏洞(CNNVD-201701-007)
Western Digital MyCloud NAS是美国西部数据(Western Digital)公司的一款个人网络云存储设备。
Western Digital MyCloud NAS 2.11.142版本中的index.php页面存在安全漏洞。远程攻击者可借助特制的Cookie头利用该漏洞注入任意命令。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
3.Brocade Network Advisor 路径遍历漏洞(CNNVD-201701-342)
Brocade Network Advisor是美国博科通讯系统(Brocade)公司的一套适用于整个网络生命周期中的管理工具。
Brocade Network Advisor 14.0.2及之前的版本中的FileReceiveServlet存在目录遍历漏洞。远程攻击者可利用该漏洞上传恶意文件。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
4. Splunk Enterprise Splunk Web 权限许可和访问控制漏洞(CNNVD-201701-176)
Splunk是美国Splunk公司的一套数据收集分析软件。该软件主要用于收集、索引和分析机器产生的数据,包括所有IT系统和基础结构(物理、虚拟和云)生成的数据。Splunk Enterprise是一个企业版。Splunk Web是其中的一个提供了以Web方式的图形操作界面。
Splunk Enterprise中的Splunk Web存在安全漏洞。远程攻击者可利用该漏洞实施HTTP请求注入攻击,获取敏感的REST API授权令牌信息。Splunk Enterprise的以下版本受到影响:
- 5.0.17之前的5.0.x版本
-6.0.13之前的6.0.x版本
-6.1.12之前的6.1.x版本
-6.2.12之前的6.2.x版本
-6.3.8之前的6.3.x版本
-6.4.4之前的6.4.x版本
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
5. Android Qualcomm组件输入验证漏洞(CNNVD-201701-079)
Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。Qualcomm是使用在其中的一个美国高通(Qualcomm)公司的设备专用的高通组件。
Android 7.0之前的版本中的Qualcomm组件存在安全漏洞。攻击者可利用该漏洞执行未授权的操作。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
1.4.2 高危漏洞实例本月高危漏洞共128个,其中重点漏洞实例如表6所示。
表6 2017年1月高危漏洞实例1.Android Qualcomm Wi-Fi驱动程序权限许可和访问控制漏洞(CNNVD-201701-130)
Android on Nexus 5X是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套运行于Nexus 5X(智能手机)中并以Linux为基础的开源操作系统。Qualcomm Wi-Fi driver是用于其中的一个美国高通(Qualcomm)公司开发的Wi-Fi驱动组件。
多款Google设备上的Android中的Qualcomm Wi-Fi驱动程序存在提权漏洞。攻击者可借助本地恶意的应用程序利用该漏洞在内核上下文中执行任意代码。以下设备受到影响:
-Google Nexus 5X
-Google Android One
-Google Pixel
-Google Pixel XL
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
2.Silicon Graphics LibTIFF 缓冲区错误漏洞(CNNVD-201701-294)
Silicon Graphics LibTIFF是美国Silicon Graphics公司的一个读写TIFF(标签图像文件格式)文件的库。该库包含一些处理TIFF文件的命令行工具。
Silicon Graphics LibTIFF 4.0.7版本中的tools/tiffcp.c文件存在堆缓冲区溢出漏洞。攻击者可借助特制的‘BitsPerSample’值利用该漏洞造成拒绝服务或执行代码。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
3.Microsoft Windows 输入验证漏洞(CNNVD-201701-172)
Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。Local Security Authority Subsystem Service(LSASS)是其中的一个本地安全认证子系统服务。
Microsoft Windows中的LSASS存在拒绝服务漏洞。攻击者可利用该漏洞造成目标系统的LSASS服务拒绝服务,导致系统自动重启。以下版本受到影响:
-Microsoft Windows Vista SP2
-Windows Server 2008 SP2和R2 SP1
-Windows 7 SP1
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
4.Arista EOS 资源管理错误漏洞(CNNVD-201701-012)
Arista EOS是美国Arista Networks公司的一套为下一代数据中心和云网络业务需求提供基础平台的模块化操作系统。
Arista EOS 4.15.8M之前的4.15版本、4.16.7M之前的4.16版本和4.17.0F之前的4.17版本存在安全漏洞。远程攻击者可通过向控制面板发送特制的数据包利用该漏洞造成拒绝服务(设备重启)。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
5.Oracle GlassFish Server 信息泄露漏洞(CNNVD-201701-574)
Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle GlassFish Server是其中的一个可实现Java Platform、Java EE 6规范的组件。
中的组件的Security子组件存在安全漏洞。攻击者可利用该漏洞未授权读取数据,造成拒绝服务,影响数据的保密性和可用性。以下版本受到影响:Oracle GlassFish Server 2.1.1版本,3.0.1版本,3.1.2版本。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
6.Artifex Software MuJS 数字错误漏洞(CNNVD-201701-360)
Artifex Software MuJS是美国Artifex Software公司的一款轻量级的javascript解释器,它用于嵌入到其他的软件中提供脚本执行功能。
Artifex Software MuJS fa3d30fd18c348bb4b1f3858fb860f4fcd4b2045之前的版本中的regexp.c文件的‘regemit’函数存在整数溢出漏洞。攻击者可利用该漏洞执行代码或造成拒绝服务(缓冲区溢出)。
二、接报漏洞情况
表7 2017年1月漏洞报送三、重大漏洞预警
3.1关于PHP7漏洞情况的通报
本月CNNVD收到多个关于“PHP7”漏洞情况的报送。其中编号为CNNVD-201612-760和CNNVD-201612-761的两个漏洞影响PHP7版本,利用难度较大;编号为CNNVD-201612-759的漏洞同时影响PHP7版本和PHP5版本,利用难度较小。目前多个主流内容管理平台基于PHP5开发,因此漏洞影响范围较广,国家信息安全漏洞库(CNNVD)对上述漏洞进行了跟踪分析,情况如下:
(一) 漏洞简介PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持C、C++进行程序扩展等。
PHP 5.6.26版本和7.0至7.0.13版本中存在远程拒绝服务漏洞(CNNVD-201612-759,CVE-2016-7478)。攻击者可利用该漏洞造成拒绝服务。
PHP 7.0至7.0.13版本中存在拒绝服务漏洞(CNNVD-201612-760,CVE-2016-7479)。攻击者可利用该漏洞造成拒绝服务(无限循环)。
PHP 7.0.12之前的版本中存在远程代码执行漏洞(CNNVD-201612-761,CVE-2016-7480)。远程攻击者可利用SplObjectStorage对象的反序列化函数使用未初始化变量,导致修改内存数据,执行任意代码。
(二) 漏洞危害攻击者可以利用上述漏洞远程控制服务器,或者导致网站瘫痪。此外,目前多个主流内容管理平台基于PHP5开发,攻击者可利用上述漏洞机制对PHP5的主流平台进行攻击,如Magento、vBulletin、Drupal和Joomla!。
(三) 安全建议
PHP官方已提供最新版本的PHP7,新版本中不存在上述漏洞,PHP7最新版本下载链接如下:
http://php.net/downloads.php#php-7.1针对上述编号为CNNVD-201612-759和CNNVD-201612-761的漏洞,Github已提供了修复措施,不方便升级至最新版PHP7的用户可参考如下链接:
本通报由CNNVD技术支撑单位――北京神州绿盟信息安全科技股份有限公司、安天实验室提供支持。
3.2关于微信“藏蛟”漏洞情况的通报本月CNNVD收到关于微信Android客户端访问控制错误漏洞(CNNVD-201701-100)的情况报送,并于第一时间与腾讯安全应急响应中心(TSRC)进行了沟通。TSRC收到漏洞通报后,确认该漏洞存在,并于1月10日确认漏洞已修复。漏洞相关情况如下:
(一) 漏洞简介)是中国腾讯(Tencent)公司的一套跨平台的免费通讯工具。该工具支持发送语音短信、视频、图片和文字等。微信Android客户端是针对于Android系统推出的版本。
微信Android客户端存在访问控制错误漏洞(CNNVD-201701-100)。该漏洞是由于微信客户端收藏功能未做权限校验,使得攻击者可以在普通权限的情况下,通过本地木马或者恶意APP获取该客户端的数据库文件,通过某种方式解密该文件后进而获得用户的隐私信息并上传到远程服务器。
(二) 漏洞危害攻击者可通过本地木马或者恶意利用该漏洞访问微信客户端的任意私有目录,窃取数据库文件并解密,从而得到用户的隐私信息,例如好友列表,聊天记录等。
(三) 安全建议目前,微信官方已在6.5.3及以上版本修复了该漏洞,对于历史版本也以Android热补丁技术修复了该漏洞。
本通报由蚂蚁金服巴斯光年安全实验室(AFLSLab)提供支持。