您所在的位置: 首页 >
安全研究 >
安全通告 >
信息安全漏洞周报(2023年第15期)
根据国家信息安全漏洞库(CNNVD)统计,本周(2023年4月10日至2023年4月16日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞683个。
接报漏洞情况
本周CNNVD接报漏洞5667个,其中信息技术产品漏洞(通用型漏洞)196个,网络信息系统漏洞(事件型漏洞)76个,漏洞平台推送漏洞5395个。
重大漏洞通报
微软多个安全漏洞:Microsoft Message Queuing 安全漏洞(CNNVD-202304-852、CVE-2023-21554)、Microsoft Windows PGM 安全漏洞(CNNVD-202304-844、CVE-2023-28250)。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞683个,漏洞新增数量有所上升。从厂商分布来看微软公司新增漏洞最多,有98个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到8.05%。新增漏洞中,超危漏洞65个,高危漏洞225个,中危漏洞381个,低危漏洞12个。
(一)安全漏洞增长数量情况
本周CNNVD采集安全漏洞683个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,微软公司新增漏洞最多,有98个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
本周国内厂商漏洞42个,紫光展锐公司漏洞数量最多,有11个。国内厂商漏洞整体修复率为85.71%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到8.05%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞65个,高危漏洞225个,中危漏洞381个,低危漏洞12个。相应修复率分别为78.46%、88.89%、79.00%和100.00%。根据补丁信息统计,合计564个漏洞已有修复补丁发布,整体修复率为82.58%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
1.Apache Linkis 代码问题漏洞(CNNVD-202304-618)
Apache Linkis是美国阿帕奇(Apache)基金会的一款中间件产品,可以在上层应用和底层数据引擎之间建立起有效的连接。
Apache Linkis 1.3.1版本及之前版本存在代码问题漏洞,该漏洞源于程序缺乏对参数的有效过滤。攻击者利用该漏洞可以使用MySQL数据源和恶意参数触发数据反序列化,导致远程代码执行。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://lists.apache.org/thread/18vv0m32oy51nzk8tbz13qdl5569y55l
2. Microsoft Windows Network Load Balancing 安全漏洞(CNNVD-202304-858)
Microsoft Windows是美国微软(Microsoft)公司的一套个人设备使用的操作系统。
Microsoft Windows Network Load Balancing存在安全漏洞。以下产品和版本受到影响:Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation),Windows Server 2019,Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2019 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation),Windows Server 2008 for 32-bit Systems Service Pack 2,Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation),Windows Server 2008 for x64-based Systems Service Pack 2,Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation),Windows Server 2008 R2 for x64-based Systems Service Pack 1,Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation)。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28240
3. Linux kernel 安全漏洞(CNNVD-202304-1200)
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。
Linux kernel存在安全漏洞,该漏洞源于程序没有对用户提供的数据进行正确验证。攻击者可以利用该漏洞可以提升权限并在内核环境中执行任意代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://github.com/torvalds/linux/commit/05b252cccb2e5c3f56119d25de684b4f810ba4
二、漏洞平台推送情况
本周CNNVD接收漏洞平台推送漏洞5395个。
三、接报漏洞情况
本周CNNVD接报漏洞272个,其中信息技术产品漏洞(通用型漏洞)196个,网络信息系统漏洞(事件型漏洞)76个。
(详情略)
四、收录漏洞通报情况
本周CNNVD收录漏洞通报163份。
(详情略)
五、重大漏洞通报
CNNVD关于微软多个安全漏洞的通报
近日,微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞101个,影响到微软产品的其他厂商漏洞1个。包括Microsoft Message Queuing 安全漏洞(CNNVD-202304-852、CVE-2023-21554)、Microsoft Windows PGM 安全漏洞(CNNVD-202304-844、CVE-2023-28250)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
1、漏洞介绍
2023年4月11日,微软发布了2023年4月份安全更新,共102个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows 和 Windows 组件、Microsoft Windows Secure Channel、Microsoft Defender、Microsoft Windows Boot Manager、Microsoft OLE DB Provider for SQL Server、Microsoft Windows ALPC等。CNNVD对其危害等级进行了评价,其中超危漏洞3个,高危漏洞68个,中危漏洞31个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问微软官方网站查询:
https://portal.msrc.microsoft.com/zh-cn/security-guidance
2、危害影响
此次更新共包括97个新增漏洞的补丁程序,其中超危漏洞2个,高危漏洞66个,中危漏洞29个。
(详情略)
此次更新共包括4个更新漏洞的补丁程序,其中超危漏洞1个,高危漏洞2个,中危漏洞1个。
此次更新共包括1个影响微软产品的其他厂商漏洞的补丁程序,其中中危漏洞1个。
3、修复建议
目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:
https://msrc.microsoft.com/update-guide/en-us
来源:CNNVD安全动态