0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 2022年CNVD漏洞周报第29期

2022年CNVD漏洞周报第29期

(2022年07月18日-2022年07月24日)


本周漏洞态势研判情况


本周信息安全漏洞威胁整体评价级别为中。


国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞347个,其中高危漏洞130个、中危漏洞180个、低危漏洞37个。漏洞平均分值为6.16。本周收录的漏洞中,涉及0day漏洞280个(占81%),其中互联网上出现“Tenda M3 formSetStoreWeb函数缓冲区溢出漏洞、政机关和企事业单位的事件型漏洞总数10876个,与上周(6909个)环比增加57%。

金瀚信安:2022年CNVD漏洞周报第29期 图1


图1 CNVD收录漏洞近10周平均分值分布图


本周漏洞事件处置情况


本周,CNVD向银行、保险、能源等重要行业单位通报漏洞事件40起,向基础电信企业通报漏洞事件13起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件1367起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件190起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件115起。


此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:(略)


本周,CNVD发布了《Oracle发布2022年7月的安全公告》。详情参见CNVD网站公告内容。

https://www.cnvd.org.cn/webinfo/show/7916


本周漏洞报送情况统计


本周报送情况如表1所示。其中,深信服科技股份有限公司、北京神州绿盟科技有限公司、新华三技术有限公司、北京数字观星科技有限公司、北京天融信网络安全技术有限公司等单位报送公开收集的漏洞数量较多。北京华顺信安科技有限公司、贵州泰若数字科技有限公司、奇安星城网络安全运营服务(长沙)有限公司、杭州迪普科技股份有限公司、河南东方云盾信息技术有限公司、北京山石网科信息技术有限公司、苏州棱镜七彩信息科技有限公司、河南灵创电子科技有限公司、平安银河实验室、北京远禾科技有限公司、山石网科通信技术股份有限公司、统信软件技术有限公司、浙江木链物联网科技有限公司、中能融合智慧科技有限公司攻防实验室、快页信息技术有限公司、山东新潮信息技术有限公司、北京冠程科技有限公司、广州易东信息安全技术有限公司、上海纽盾科技股份有限公司、任子行网络技术股份有限公司、墨菲未来科技(北京)有限公司、广东唯顶信息科技股份有限公司、河南信安世纪科技有限公司、北京安盟信息技术股份有限公司、长春嘉诚信息技术股份有限公司、浙江安腾信息技术有限公司、南京深安科技有限公司、思而听网络科技有限公司、上海观安信息技术股份有限公司、广电奇安网络科技(重庆)有限公司、福建省海峡信息技术有限公司、江苏耘和计算机系统工程有限公司、华堡天建(天津)信息技术有限公司、腾讯安全天马实验室、博智安全科技股份有限公司、河北千诚电子科技有限公司、江西和尔惠信息技术有限公司、北京东方通科技股份有限公司、北京升鑫网络科技有限公司、北京华云安信息技术有限公司、广州安亿信软件科技有限公司及其他个人白帽子向CNVD提交了10876个以事件型漏洞为主的原创漏洞,其中包括斗象科技(漏洞盒子)、上海交大、奇安信网神(补天平台)和三六零数字安全科技集团有限公司向CNVD共享的白帽子报送的8920条原创漏洞信息。


表1 漏洞报送情况统计表(略)


本周漏洞按类型和厂商统计


本周,CNVD收录了347个漏洞。WEB应用138个,网络设备(交换机、路由器等网络端设备)76个,应用程序63个,操作系统38个,智能设备(物联网终端设备)24个,数据库7个,安全产品1个。


表2 漏洞按影响类型统计表

金瀚信安:2022年CNVD漏洞周报第29期 表2

金瀚信安:2022年CNVD漏洞周报第29期 图2


图2 本周漏洞按影响类型分布


CNVD整理和发布的漏洞涉及Google、新华三技术有限公司、Oracle等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。


表3 漏洞产品涉及厂商分布统计表

金瀚信安:2022年CNVD漏洞周报第29期 表3


本周行业漏洞收录情况


本周,CNVD收录了57个电信行业漏洞,28个移动互联网行业漏洞,7个工控行业漏洞(如下图所示)。其中,“Google Android资源管理错误漏洞(CNVD-2022-52275)、Google Android任意代码执行漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。


电信行业漏洞链接:http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接:http://mi.cnvd.org.cn/

工控系统行业漏洞链接:http://ics.cnvd.org.cn/

金瀚信安:2022年CNVD漏洞周报第29期 图3


图3 电信行业漏洞统计

金瀚信安:2022年CNVD漏洞周报第29期 图4


图4 移动互联网行业漏洞统计

2022年CNVD漏洞周报第29期 图5


图5 工控系统行业漏洞统计


本周重要漏洞安全告警


本周,CNVD整理和发布以下重要安全漏洞信息。


1、Adobe产品安全漏洞

Adobe Character Animator是美国奥多比(Adobe)公司的一款动作捕捉和动画制作工具。Adobe Photoshop是美国奥多比(Adobe)公司的一套图片处理软件。该软件主要用于处理图片。Adobe Media Encoder是美国奥多比(Adobe)公司的一款音、视频编码应用程序。Adobe Acrobat是一套PDF文件编辑和转换工具。Adobe Reader是一套PDF文档阅读软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致敏感内存泄露,在当前用户的上下文中执行任意代码等。

CNVD收录的相关漏洞包括:Adobe Character Animator越界写入漏洞、Adobe Photoshop越界写入漏洞(CNVD-2022-52087)、Adobe Media Encoder内存破坏漏洞(CNVD-2022-52098)、多款Adobe资源管理错误漏洞(CNVD-2022-52291)、多款Adobe产品缓冲区溢出漏洞(CNVD-2022-52922)、多款Adobe产品越界写入漏洞(CNVD-2022-52921)、多款Adobe产品资源管理错误漏洞(CNVD-2022-52920)、多款Adobe产品越界读取漏洞(CNVD-2022-52924)。其中,除“多款Adobe产品越界读取漏洞(CNVD-2022-52924)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52081

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52087

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52098

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52291

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52922

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52921

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52920

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52924


2、Huawei产品安全漏洞

Huawei MindSpore Community是中国华为(Huawei)公司的开源深度学习框架。HUAWEI EMUI是中国华为(HUAWEI)公司的一款基于Android开发的移动端操作系统。HUAWEI HarmonyOS是中国华为(HUAWEI)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Honor Magic Ui是中国Honor公司的一款基于Android开发的移动端操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,导致设备崩溃等。

CNVD收录的相关漏洞包括:Huawei MindSpore Community SparseToDense信息泄露漏洞、Huawei MindSpore Community Transpose信息泄露漏洞、HUAWEI EMUI信息泄露漏洞、HUAWEI HarmonyOS缓冲区溢出漏洞(CNVD-2022-52823)、HUAWEI HarmonyOS拒绝服务漏洞、HUAWEI HarmonyOS安全模块授权问题漏洞、HUAWEI HarmonyOS SystemUI模块权限管理漏洞、Huawei Emui和Honor Magic Ui缓冲区溢出漏洞(CNVD-2022-52826)。其中,“HUAWEI HarmonyOS拒绝服务漏洞、Huawei Emui和Honor Magic Ui缓冲区溢出漏洞(CNVD-2022-52826)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52099

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52100

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52818

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52823

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52822

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52821

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52820

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52826


3、Google产品安全漏洞

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致本地权限升级。

CNVD收录的相关漏洞包括:Google Android权限提升漏洞(CNVD-2022-52264、CNVD-2022-52265、CNVD-2022-52268、CNVD-2022-52267、CNVD-2022-52271、CNVD-2022-52270)、Google Android缓冲区溢出漏洞(CNVD-2022-52274)、Google Android输入验证错误漏洞(CNVD-2022-52273)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52264

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52265

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52268

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52267

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52271

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52270

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52274

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52273


4、Oracle产品安全漏洞

Oracle PeopleSoft Enterprise PRTL Interaction Hub是美国甲骨文(Oracle)公司的一个企业门户交互中心组件。Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle Access Manager是美国甲骨文(Oracle)公司的提供创新的新服务来补充传统的访问管理功能。Oracle Database Server是美国甲骨文(Oracle)公司的一套关系数据库管理系统。该数据库管理系统提供数据管理、分布式处理等功能。Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞破坏或删除数据,导致拒绝服务,执行任意代码等。

CNVD收录的相关漏洞包括:Oracle MySQL输入验证错误漏洞(CNVD-2022-52562)、Oracle PeopleSoft Enterprise PRTL Interaction Hub访问控制错误漏洞、Oracle Fusion Middleware Helidon输入验证错误漏洞、Oracle Access Manager存在输入验证错误漏洞、Oracle Database Server输入验证错误漏洞(CNVD-2022-52564)、Oracle WebLogic Server输入验证错误漏洞(CNVD-2022-52566)、Oracle MySQL输入验证错误漏洞(CNVD-2022-53246、CNVD-2022-53249)。其中“Oracle WebLogic Server存在拒绝服务漏洞、Oracle WebLogic Server输入验证错误漏洞(CNVD-2022-52566)、Oracle MySQL输入验证错误漏洞(CNVD-2022-53246)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52562

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52561

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52560

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52565

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52564

https://www.cnvd.org.cn/flaw/show/CNVD-2022-52566

https://www.cnvd.org.cn/flaw/show/CNVD-2022-53246

https://www.cnvd.org.cn/flaw/show/CNVD-2022-53249


5、Juniper Networks Junos OS输入验证错误漏洞(CNVD-2022-53250)

Juniper Networks Junos OS是美国瞻博网络(Juniper Networks)公司的一套专用于该公司的硬件设备的网络操作系统。该操作系统提供了安全编程接口和Junos SDK。本周,Juniper Networks Junos OS被披露存在输入验证错误漏洞。攻击者利用该漏洞通过MPLS IPv6 Packet引起Jonos OS的致命错误导致其拒绝服务。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-53250


更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。参考链接:http://www.cnvd.org.cn/flaw/list.htm


表4 部分重要高危漏洞列表

2022年CNVD漏洞周报第29期 表4


小结:本周,Adobe产品被披露存在多个漏洞,攻击者可利用漏洞导致敏感内存泄露,在当前用户的上下文中执行任意代码等。此外,Huawei、Google、Oracle等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,导致设备崩溃,执行任意代码等。另外,Juniper Networks Junos OS被披露存在输入验证错误漏洞。攻击者可利用漏洞通过MPLS IPv6 Packet引起Jonos OS的致命错误导致其拒绝服务。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

(编辑:CNVD)

来源:国家信息安全漏洞共享平台

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号