安全通告2019年第38期

anrey573

一.  漏洞详情

1、本周漏洞统计

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞405个，其中高危漏洞88个、中危漏洞281个、低危漏洞36个。漏洞平均分值为5.68。本周收录的漏洞中，涉及0day漏洞57个（占14%），其中互联网上出现“WordPressquotes-collection插件跨站脚本漏洞、FlameCMS login.php文件SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数2794个，与上周（2276个）环比增长23%。



本周，CNVD收录了405个漏洞。应用程序234个，WEB应用103个，操作系统50个，网络设备（交换机、路由器等网络端设备）10个，数据库5个，安全产品2个，智能设备（物联网终端设备）漏洞1个。

漏洞影响对象类型	漏洞数量
应用程序	234
WEB应用	103
操作系统	50
网络设备（交换机、路由器等网络端设备）	10
数据库	5
安全产品	2
智能设备（物联网终端设备）漏洞	1

CNVD整理和发布的漏洞涉及WordPress、Linux、IBM等多家厂商的产品，部分漏洞数量按厂商统计。

序号	厂商（产品）	漏洞数量	所占比例
1	WordPress	90	22%
2	Linux	39	10%
3	IBM	32	8%
4	Google	24	6%
5	Microsoft	19	5%
6	F5	18	4%
7	Advantech	17	4%
8	Atlassian	15	4%
9	Adobe	11	3%
10	其他	140	34%

二.  重要漏洞告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、Microsoft产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。本周，该产品被披露存在远程代码执行和提权漏洞，攻击者可利用漏洞提升权限，执行任意代码。

CNVD收录的相关漏洞包括：Microsoft WindowsCompatibility Appraiser提权漏洞、Microsoft Windows和Microsoft Windows Server提权漏洞（CNVD-2019-31845、CNVD-2019-31847、CNVD-2019-31851、CNVD-2019-31848）、Microsoft Windows Common Log File System Driver提权漏洞、Microsoft Windows Remote Desktop Client远程代码执行漏洞、Microsoft Windows Winlogon提权漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31844

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31845

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31847

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31851

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31848

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31850

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31859

http://www.cnvd.org.cn/flaw/show/CNVD-2019-31856

2、Advantech产品安全漏洞

AdvantechWebAccess/SCADA是一套基于浏览器架构的SCADA软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过身份验证，上传恶意数据，执行远程代码或导致系统崩溃。

CNVD收录的相关漏洞包括：Advantech WebAccess/SCADA缓冲区溢出漏洞（CNVD-2019-32464、CNVD-2019-32466、CNVD-2019-32472、CNVD-2019-32478）、Advantech WebAccess代码注入漏洞、Advantech WebAccess代码问题漏洞、AdvantechWebAccess/SCADA任意代码执行漏洞、Advantech WebAccess/SCADA授权问题漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32464

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32466

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32467

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32472

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32474

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32473

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32478

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32479

3、IBM产品安全漏洞

IBMSpectrum Protect（前称TivoliStorage Manager）是一套数据保护平台。IBM Emptoris Sourcing是一套基于Web的企业采购流程管理解决方案。IBM Cognos Controller是一套商业智能与计划解决方案。IBM Sterling File Gateway是一套文件传输软件。IBM DB2是一套关系型数据库管理系统。IBM Jazz for Service Management是一款提供对服务管理环境可见性的集成服务管理产品。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞查看、添加、修改或删除后端数据库中的信息，导致拒绝服务（服务器崩溃）等。

CNVD收录的相关漏洞包括：IBM Spectrum Protect信息泄露漏洞（CNVD-2019-32054）、IBM Spectrum Protect Plus信息泄露漏洞、IBM EmptorisSourcing信息泄露漏洞（CNVD-2019-32434）、IBM Cognos Controller信息泄露漏洞（CNVD-2019-32435、CNVD-2019-32437）、IBM Sterling File GatewaySQL注入漏洞、IBM DB2拒绝服务漏洞（CNVD-2019-32450）、IBM Jazz for Service Management信息泄露漏洞（CNVD-2019-32453）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32054

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32057

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32434

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32435

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32437

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32446

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32450

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32453

4、F5产品安全漏洞

F5 BIG-IP是一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP APM是一套访问和安全解决方案。APM Client是一套APM客户端软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行客户端代码，导致服务中断等。

CNVD收录的相关漏洞包括：F5 BIG-IP输入验证错误漏洞（CNVD-2019-32029、CNVD-2019-32030）、F5 BIG-IP ApplicationSecurity Manager资源管理错误漏洞、F5 BIG-IP拒绝服务漏洞（CNVD-2019-32035）、F5 BIG-IP信任管理问题漏洞、F5 BIG-IP跨站脚本漏洞（CNVD-2019-32037）、F5 BIG-IP PEM输入验证错误漏洞、F5 BIG-IP APM和BIG-IPAPM Clients svpn权限提升漏洞。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32029

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32030

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32031

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32035

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32036

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32037

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32038

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32042

5、ZOHOManageEngine Application Manager SQL注入漏洞

ZOHO ManageEngineApplication Manager是一套应用程序监控管理系统。本周，ZOHO ManageEngineApplication Manager被披露存在SQL注入漏洞。攻击者可利用该漏洞执行非法SQL命令。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-32071

更多高危漏洞如表所示，详细信息可根据CNVD编号，在CNVD官网进行查询。

参考链接：

http://www.cnvd.org.cn/flaw/list.htm。

部分重要高危漏洞列表

CNVD编号	漏洞名称	综合评级	修复方式
CNVD-2019-31387	Siemens  SIMATIC TDC CP51M1输入验证错误漏洞	高	厂商已发布了漏洞修复程序，请及时关注更新： https://support.industry.siemens.com/cs/document/27049282/firmware-updates-for-simatic-tdc-cp51m1?dti=0&lc=en-AZ
CNVD-2019-31643	Linux kernel空指针解引用漏洞（CNVD-2019-31643）	高	厂商已发布了漏洞修复程序，请及时关注更新： https://lkml.org/lkml/2019/9/9/487
CNVD-2019-31842	Jenkins Git client插件命令执行漏洞	高	厂商已发布了漏洞修复程序，请及时关注更新： https://github.com/jenkinsci/git-client-plugin
CNVD-2019-32011	Google  Chrome Media资源管理错误漏洞	高	目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://chromereleases.googleblog.com/2019/09/stable-channel-update-for-desktop.html
CNVD-2019-32060	Cisco NX-OS  Software Cisco Fabric Services组件输入验证错误漏洞	高	厂商已发布了漏洞修复程序，请及时关注更新： https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-nxos-fsip-dos
CNVD-2019-32064	Cisco NX-OS  Software资源管理错误漏洞	高	厂商已发布了漏洞修复程序，请及时关注更新： https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-nxos-ntp-dos
CNVD-2019-32079	Aspose.PDF  for C++资源管理错误漏洞	高	厂商已发布了漏洞修复程序，请及时关注更新： https://www.aspose.com
CNVD-2019-32230	Delta  Electronics TPEditor缓冲区溢出漏洞	高	厂商已发布了漏洞修复程序，请及时关注更新： http://www.deltaww.com/services/DownloadCenter2.aspx?secID=8&pid=2&tid=0&CID=06&itemID=060302&typeID=1&downloadID=&title=&dataType=8;&check=1&hl=en-US
CNVD-2019-32334	uriparser整数溢出漏洞	高	目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://github.com/uriparser/uriparser/blob/uriparser-0.9.0/ChangeLog
CNVD-2019-32462	3S-Smart  Software Solutions CODESYS V3 web server缓冲区溢出漏洞	高	厂商已发布了漏洞修复程序，请及时关注更新： https://www.codesys.com/

小结：本周，Microsoft产品被披露存在远程代码执行和提权漏洞，攻击者可利用漏洞提升权限，执行任意代码。此外，Advantech、IBM、F5等多款产品被披露存在多个漏洞，攻击者可利用漏洞查看、添加、修改或删除后端数据库中的信息，绕过身份验证，上传恶意数据，执行远程代码或导致系统崩溃等。另外，ZOHO ManageEngine Application Manager被披露存在SQL注入漏洞。攻击者可利用该漏洞执行非法SQL命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

三、病毒疫情告警
1、   本周病毒分析

2019年8月30日，美国网络安全企业Wootcloud公司安全研究团队发布报告称，新发现一种名为“Ares”的新型物联网（IoT）僵尸网络正在针对基于安卓操作系统的机顶盒进行大规模感染。Ares僵尸网络能够在错误配置ADB接口的安卓机顶盒上安装恶意程序，完全控制机顶盒并实现设备扫描、挖掘比特币、DDoS攻击（分布式拒绝服务攻击）等恶意行为。研究人员表示，目前Ares物联网僵尸网络仍在不断感染更多设备，攻击者大量扫描暴露ADB远程调试接口和具有公开Telnet端口的物联网设备进行暴力破解，使它们成为僵尸网络的一部分。建议我国各级网络安全主管部门和网络安全行业对此次攻击活动给予高度重视，加强监测和预警，同时建议各重要单位及企业第一时间对使用中的物联网设备进行自查，修改物联网设备上的Telnet，Web，SNMP等接口配置密码，禁止非授权设备访问ADB接口，监控进出物联网设备的可疑流量，同时针对对配置物联网设备进行访问控制策略，从而防范类似攻击事件的发生。
2、病毒防范措施

1）、重点单位的计算机用户应及时对系统进行安全扫描，安装系统补丁，修补操作系统和应用软件漏洞。特别是对第三方软件的安装使用要严格管理，对必须使用的第三方软件要保证及时更新。

2）、网站管理者要加强网站的监督管理，定期对上传的Web网页文件进行比对，包括文件的创建、更新时间，文件大小等，及时发现异常的Web网页文件。一旦发现异常文件，应立即删除并更新。定期维护升级网站服务器，检查服务器所存在的漏洞和安全隐患。

3）、对于重点网站，尤其是政府网站和各大媒体网站，很有可能被利用现有的漏洞进行挂马，或跳转到其他恶意网站。我们应急中心采取了相应措施，建立了对重点网站的巡查机制，以便于及时发现问题。

4）、及时下载安装操作系统和系统中应用软件的漏洞补丁程序，阻止各类病毒、木马等恶意程序入侵操作系统。

5）、计算机用户在Web网页时，务必打开计算机系统中防病毒软件的“网页监控”功能。同时，计算机用户应及时下载安装操作系统已安装应用软件的最新漏洞补丁或新版本，防止恶意木马利用漏洞进行入侵感染操作系统。

6）、不要轻易打开来历不明的邮件，尤其是邮件的附件；不要随便登录不明网站。

7）、使用U盘、软盘进行数据交换前，先对其进行病毒检查;同时, 禁用U盘的自动播放功能，避免在插入U盘或移动硬盘时受到病毒感染。

8）、做好系统和重要数据的备份，以便能够在遭受病毒侵害后及时恢复。

9）、发现网络和系统异常，及时与国家计算机病毒应急处理中心或防病毒厂家联系。

四、网络安全资讯

1、郑州将承办2020年国家网络安全宣传周开幕式等重要活动

9月22日，以“网络安全为人民，网络安全靠人民”为主题的2019年国家网络安全宣传周圆满结束，闭幕式在天津梅地亚大剧院举行，这是国家网络安全宣传周连续多年举办以来首次安排闭幕式活动。

在闭幕式上，中央网信办总工程师赵泽良宣布郑州市为2020年国家网络安全宣传周开幕式等重要活动承办城市，天津市副市长姚来英与郑州市委副书记、市长王新伟举行了交接仪式。

2019年国家网络安全宣传周于9月16日至22日在全国同步开展，开幕式等重要活动在天津举行。网安周期间推出了网络安全博览会、网络安全技术高峰论坛、校园日、金融日、电信日、法治日、青少年日、个人信息保护日等主题日活动，得到了社会的热烈响应。

2、工信部回应国庆期间加强VPN管控：合法使用受法律保护

9月20日，国务院新闻办公室举行新闻发布会，其中涉及我国VPN管理相关问题，工业和信息化部新闻发言人、信息通信发展司司长闻库回答称：

VPN就是俗称的虚拟专用网络，是一种通用的网络通信技术。为了维护公平有序的市场秩序，促进行业的健康发展，工信部专门制定了跨境开展经营电信业务活动的规定，主要依据《中华人民共和国电信条例》和《国际通信出入口局管理办法》，规范的对象是未经电信主管部门批准，无国际通信业务经营资质的企业或个人租用专线或VPN违规开展业务。相关规定不会对国内外企业和广大用户开展跨境的互联网访问造成影响，也不会影响他们合规开展各类业务。外贸企业、跨国公司因自己办公的需要，需要用专线的方式开展跨境联网时，可以向经电信主管部门批准、有国际通信业务经营资质的电信业务经营者租用，在中国境内开展生产生活以及其他各类活动的，都应该遵守中国的法律法规，任何合法的经营、合法的使用均受到法律保护。