信息安全漏洞月报（2022年8月） - 安全通告 - 安全研究 - 郑州金瀚信息安全技术有限公司官网-工业互联网安全服务商

您所在的位置：首页 > 安全研究 > 安全通告 > 信息安全漏洞月报（2022年8月）

信息安全漏洞月报（2022年8月）

根据国家信息安全漏洞库(CNNVD)统计，2022年8月份采集安全漏洞共2240个。

本月接报漏洞21180个，其中信息技术产品漏洞(通用型漏洞)413个，网络信息系统漏洞(事件型漏洞)20767个，其中漏洞平台推送漏洞20235个。

重大漏洞通报

Apple macOS Monterey安全漏洞(CNNVD-202208-3348、CVE-2022-32894)和Apple macOS Monterey安全漏洞(CNNVD-202208-3345、CVE-2022-32893)：成功利用漏洞的攻击者，并执行任意代码。iOS 15.6.1以下版本、iPadOS 15.6.1以下版本、macOS Monterey 12.5.1以下版本受上述漏洞影响。目前，苹果官方已经发布了版本更新修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

微软官方发布公告更新了Microsoft Windows Point-to-Point Tunneling Protocol安全漏洞(CNNVD-202208-2560、CVE-2022-30133)等多个漏洞：成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

漏洞态势

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计，2022年8月份新增安全漏洞共2240个，从厂商分布来看，Google公司产品的漏洞数量最多，共发布223个;从漏洞类型来看，缓冲区错误类的漏洞占比最大，达到12.99%。本月新增漏洞中，超危漏洞458个、高危漏洞797个、中危漏洞920个、低危漏洞65个，相应修复率分别为56.77%、81.93%、74.35%以及98.46%。合计1661个漏洞已有修复补丁发布，本月整体修复率74.15%。

截至2022年8月31日，CNNVD采集漏洞总量已达191294个。

1.1 漏洞增长概况

2022年8月新增安全漏洞2240个，与上月(1924个)相比增加了16.42%。根据近6个月来漏洞新增数量统计图，平均每月漏洞数量达到2120个。

信息安全漏洞月报（2022年8月）图1

图1 2022年3月至2022年8月漏洞新增数量统计图

1.2 漏洞分布情况

1.2.1 漏洞厂商分布

2022年8月厂商漏洞数量分布情况如表1所示，Google公司漏洞达到223个，占本月漏洞总量的9.96%。

表1 2022年8月排名前十厂商新增安全漏洞统计表

信息安全漏洞月报（2022年8月）表1

1.2.2 漏洞产品分布

2022年8月主流操作系统的漏洞统计情况如表2所示。本月Windows系列操作系统漏洞数量共63个，Android漏洞数量最多，共131个，占主流操作系统漏洞总量的19.58%，排名第一。

表2 2022年8月主流操作系统漏洞数量统计

信息安全漏洞月报（2022年8月）表2

1.2.3 漏洞类型分布

2022年8月份发布的漏洞类型分布如表3所示，其中缓冲区错误类漏洞所占比例最大，约为12.99%。

表3 2022年8月漏洞类型统计表

信息安全漏洞月报（2022年8月）表3

1.2.4 漏洞危害等级分布

根据漏洞的影响范围、利用方式、攻击后果等情况，从高到低可将其分为四个危害等级，即超危、高危、中危和低危级别。2022年8月漏洞危害等级分布如图2所示，其中超危漏洞458条，占本月漏洞总数的20.45%。

信息安全漏洞月报（2022年8月）图2

图2 2022年8月漏洞危害等级分布

1.3漏洞修复情

1.3.1 整体修复情况

2022年8月漏洞修复情况按危害等级进行统计见图3。其中低危漏洞修复率最高，达到98.46%，超危漏洞修复率最低，比例为56.77%。

总体来看，本月整体修复率，由上月的81.13%下降至本月的74.15%。

信息安全漏洞月报（2022年8月）图3

图3 2022年8月漏洞修复数量统计

1.3.2 厂商修复情况

2022年8月漏洞修复情况按漏洞数量前十厂商进行统计，其中Google、WordPress基金会、Microsoft等十个厂商共707条漏洞，占本月漏洞总数的31.56%，漏洞修复率为89.67%，详细情况见表4。多数知名厂商对产品安全高度重视，产品漏洞修复比较及时，其中Microsoft、Dell等公司本月漏洞修复率均为100%，共634条漏洞已全部修复。

表4 2022年8月厂商修复情况统计表

信息安全漏洞月报（2022年8月）表4

1.4 重要漏洞实例

1.4.1 超危漏洞实例

2022年8月超危漏洞共458个，其中重要漏洞实例如表5所示。

表5 2022年8月超危漏洞实例

信息安全漏洞月报（2022年8月）表5-1

信息安全漏洞月报（2022年8月）表5-2

信息安全漏洞月报（2022年8月）表5-3

信息安全漏洞月报（2022年8月）表5-4

信息安全漏洞月报（2022年8月）表5-5

信息安全漏洞月报（2022年8月）表5-6

信息安全漏洞月报（2022年8月）表5-7

1、IBM Sterling B2B Integrator SQL注入漏洞(CNNVD-202208-3150)

IBM Sterling B2B Integrator是美国IBM公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。

IBM Sterling B2B Integrator Standard Edition 6.0.0.0 到6.0.3.5版本、6.1.0.0 到 6.1.0.4版本和 6.1.1.0 到 6.1.1.1版本存在安全漏洞源于可以发送特制的 SQL 语句，攻击者利用该漏洞可以查看、添加、修改或删除后端数据库中的信息。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.ibm.com/support/pages/node/6612505

2、Laravel 代码问题漏洞(CNNVD-202208-3325)

Laravel是Laravel 团队(Laravel)的一个Web 应用程序框架。

Laravel 5.1版本存在代码问题漏洞，该漏洞源于会影响一些未知的处理，操作导致反序列化，攻击可以远程发起，该漏洞利用已向公众披露并可能被使用。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://laravel.com/docs/9.x/installation

3、Synacor Zimbra Collaboration Suite 授权问题漏洞(CNNVD-202208-2850)

Synacor Zimbra Collaboration Suite(ZCS)是美国Synacor公司的一款开源协同办公套件。该产品包括WebMail、日历、通信录等。

Synacor Zimbra Collaboration Suite (ZCS) 8.8.15版本、9.0版本存在安全漏洞。攻击者利用该漏洞可以将任意文件上传到系统，从而导致目录遍历和远程代码执行。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories

4、Cisco Small Business RV Series Routers 操作系统命令注入漏洞(CNNVD-202208-2168)

Cisco Small Business RV Series Routers是美国思科(Cisco)公司的一款RV系列路由器。

Cisco Small Business RV Series Routers 存在安全漏洞，该漏洞源于其对用户输入验证不足导致允许未经身份验证的远程攻击者执行命令注入并执行底层操作系统上具有root权限的命令。以下产品受到影响：RV160、RV260、RV340、RV345。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.auscert.org.au/bulletins/ESB-2022.3837

5、Google Chrome OS 缓冲区错误漏洞(CNNVD-202208-2968)

Google Chrome OS是美国谷歌(Google)公司的一套基于Web的轻量型开源操作系统。

Google Chrome OS 102.0.5005.125之前版本存在安全漏洞，该漏洞源于越界写入。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://chromereleases.googleblog.com/2022/06/stable-channel-update-for-chromeos.html

6、Honeywell Experion LX 访问控制错误漏洞(CNNVD-202208-4445)

Honeywell Experion LX是美国Honeywell公司的一种专门构建的分布式控制系统 (DCS)。

Honeywell Experion LX存在访问控制错误漏洞，该漏洞源于使用没有身份验证功能的EpicMo协议，这可能允许通过网络访问该协议的攻击者操纵固件或导致拒绝服务。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://process.honeywell.com/us/en/support/product-documents-downloads

7、GNU LibreDWG 资源管理错误漏洞(CNNVD-202208-3370)

GNU LibreDWG是GNU社区的一个用于处理DWG文件的C语言库。

LibreDWG v0.12.4.4608版本存在资源管理错误漏洞，该漏洞源于bit_copy_chain 中存在释放后重用情况。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/LibreDWG/libredwg/commit/e95cc1eea8744c40e298208679eda14039b9b5d3

8、Apache Flume 输入验证错误漏洞(CNNVD-202208-3617)

Apache Flume是美国阿帕奇(Apache)基金会的一种分布式、可靠且可用的服务。用于高效收集、聚合和移动大量日志数据。

Apache Flume 1.4.0至1.10.0之前的版本存在安全漏洞，该漏洞源于攻击者控制配置使用带有JNDI LDAP数据源URI的JMS Source的LDAP服务器时容易受到远程代码执行(RCE)攻击。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://lists.apache.org/thread/qkmt4r2t9tbrxrdbjg1m2oczbvczd9zn

1.4.2 高危漏洞实例

2022年8月高危漏洞共797个，其中重要漏洞实例如表6所示。

表6 2022年8月高危漏洞实例

信息安全漏洞月报（2022年8月）表6-1

信息安全漏洞月报（2022年8月）表6-2

信息安全漏洞月报（2022年8月）表6-3

信息安全漏洞月报（2022年8月）表6-4

信息安全漏洞月报（2022年8月）表6-5

信息安全漏洞月报（2022年8月）表6-6

信息安全漏洞月报（2022年8月）表6-7

信息安全漏洞月报（2022年8月）表6-8

1、PostgreSQL JDBC Driver SQL注入漏洞(CNNVD-202208-2126)

PostgreSQL是PostgreSQL组织的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性，例如外键、触发器、视图等。PostgreSQL JDBC Driver是一个用 Pure Java(Type 4)编写的开源 JDBC 驱动程序，用于 PostgreSQL 本地网络协议中进行通信。

PostgreSQL JDBC Driver 42.2.x、42.3.x、42.4.x版本存在SQL注入漏洞，该漏洞源于包含语句终止符的恶意列名，攻击者利用该漏洞可以以应用程序的 JDBC 用户身份执行其他 SQL 命令。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-r38f-c4h4-hqq2

2、Apache Hadoop 代码问题漏洞(CNNVD-202208-3967)

Apache Hadoop是美国阿帕奇(Apache)基金会的一套开源的分布式系统基础架构。该产品能够对大量数据进行分布式处理，并具有高可靠性、高扩展性、高容错性等特点。

Apache Hadoop YARN存在安全漏洞，该漏洞源于其CapacityScheduler可选地使用ZKConfigurationStore时，它将从ZooKeeper获取的数据反序列化而无需验证，导致能够访问ZooKeeper的攻击者可以以YARN用户的身份运行任意命令。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://lists.apache.org/thread/g6vf2h4wdgzzdgk91mqozhs58wotq150

3、Aviatrix Gateway 授权问题漏洞(CNNVD-202208-3114)

Aviatrix Gateway是美国Aviatrix公司的一种用于多云网络的单一通用平台。

Aviatrix Gateway 6.6.5712之前版本和6.7.1376之前的6.7.x版本存在安全漏洞，该漏洞源于API函数对认证处理不当，经过身份验证的VPN用户可以注入任意命令。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://docs.aviatrix.com/HowTos/PSIRT_Advisories.html#aviatrix-controller-and-gateways-unauthorized-access

4、Airspan AirVelocity 1500 操作系统命令注入漏洞(CNNVD-202208-3126)

Airspan AirVelocity 1500是美国Airspan公司的一款革命性的室内高性能小型蜂窝。旨在将公共接入 LTE 网络带入室内空间

Airspan AirVelocity 1500 15.18.00.2511之前的版本存在安全漏洞，该漏洞源于其 eNodeB s web管理UI组件的recoverySubmit.cgi脚本对参数ActiveBank的操作会导致root权限的命令注入。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://helpdesk.airspan.com/browse/TRN3-1690

5、Apple macOS Monterey Safari 缓冲区错误漏洞(CNNVD-202208-3345)

Apple Safari和Apple macOS Monterey都是美国苹果(Apple)公司的产品。Apple Safari是一款Web浏览器，是Mac OS X和iOS操作系统附带的默认浏览器。Apple macOS Monterey是用于麦金塔桌面操作系统macOS的第18个主要版本。

Apple macOS Monterey 12.5.1之前版本和 Safari 15.6.1之前版本存在安全漏洞，该漏洞源于越界写入，处理恶意制作的Web内容可能导致任意代码执行。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://support.apple.com/en-us/HT213413

6、Emerson Proficy Machine Edition 访问控制错误漏洞(CNNVD-202208-3273)

Emerson Proficy Machine Edition是Emerson公司的一个应用软件。一个自动化解决方案。

Emerson Proficy Machine Edition 9.00版本及之前版本存在访问控制错误漏洞，该漏洞源于将项目数据存储在具有不正确访问控制列表的目录中。

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://www.emerson.com/en-us/support/security-notifications

7、Linux kernel 资源管理错误漏洞(CNNVD-202208-2051)

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。

Linux kernel ConnMan 1.41版本存在安全漏洞，该漏洞源于WISPR存在释放后重用问题，攻击者利用该漏洞可以使服务崩溃或代码执行。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://lore.kernel.org/connman/20220801080043.4861-5-wagi@monom.org/

8、Google Android 输入验证错误漏洞(CNNVD-202208-2920)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。

Google Android 13 存在安全漏洞，该漏洞源于在Bluetooth中整数溢出，可能会出现越界写入，这可能会导致通过蓝牙远程执行代码，而无需额外的执行权限，利用时不需要用户交互。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://source.android.com/security/bulletin/android-13

二、漏洞平台推送情况

2022年8月漏洞平台推送漏洞20235个。

表7 2022年8月漏洞平台推送情况表

信息安全漏洞月报（2022年8月）表7

三、接报漏洞情况

2022年8月接报漏洞945个，其中信息技术产品漏洞(通用型漏洞)413个，网络信息系统漏洞(事件型漏洞)532个。

表8 2022年8月接报漏洞情况表（略）

四、重大漏洞通报

4.1 苹果多个安全漏洞的通报

近日，国家信息安全漏洞库(CNNVD)收到关于Apple macOS Monterey安全漏洞(CNNVD-202208-3348、CVE-2022-32894)和Apple macOS Monterey安全漏洞(CNNVD-202208-3345、CVE-2022-32893)情况的报送。成功利用漏洞的攻击者可提升本地权限，并执行任意代码。iOS 15.6.1以下版本、iPadOS 15.6.1以下版本、macOS Monterey 12.5.1以下版本受上述漏洞影响。目前，苹果官方已经发布了版本更新修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施

. 漏洞介绍

Apple macOS Monterey是美国苹果(Apple)公司的用于麦金塔桌面操作系统macOS的第18个主要版本。

Apple macOS Monterey安全漏洞(CNNVD-202208-3348、CVE-2022-32894)：该漏洞是由于系统边界检查问题导致，攻击者可利用该漏洞在获得本地权限的情况下，通过越界读写，提升本地权限至内核权限，最终以内核权限执行任意命令。

Apple macOS Monterey安全漏洞(CNNVD-202208-3345、CVE-2022-32893)：该漏洞是由于系统边界检查问题导致，攻击者可以利用该漏洞构造恶意网页内容，用户使用Safari浏览器打开恶意网页内容时会触发越界读写，最终导致任意代码执行。

. 危害影响

成功利用漏洞的攻击者可提升本地权限，并执行任意代码。iOS 15.6.1以下版本、iPadOS 15.6.1以下版本、macOS Monterey 12.5.1以下版本受上述漏洞影响。

. 修复建议

目前，苹果官方已经发布了版本更新修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方链接如下：

https://support.apple.com/en-us/HT213413

4.2 微软多个安全漏洞的通报

近日，微软官方发布了多个安全漏洞的公告，其中微软产品本身漏洞123个。包括Microsoft Windows Point-to-Point Tunneling Protocol 安全漏洞(CNNVD-202208-2560、CVE-2022-30133)、Microsoft Windows Network File System 安全漏洞(CNNVD-202208-2542、CVE-2022-34715)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

. 漏洞介绍

2022年8月9日，微软发布了2022年8月份安全更新，共123个漏洞的补丁程序，CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows 和 Windows 组件、Microsoft .NET Framework、Microsoft Windows Hello、Microsoft Windows Defender、Microsoft Windows Storage Spaces Controller、Microsoft Excel等。CNNVD对其危害等级进行了评价，其中超危漏洞2个，高危漏洞54个，中危漏洞67个。微软多个产品和系统版本受漏洞影响，具体影响范围可访问：

https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。

. 漏洞详情

此次更新共包括121个新增漏洞的补丁程序，其中超危漏洞2个，高危漏洞53个，中危漏洞66个。

信息安全漏洞月报（2022年8月）表8-1