信息安全漏洞周报第425期.doc

信息安全漏洞周报 （2018年第21期 总第425期） 中国信息安全测评中心 2018年6月3日 根据国家信息安全漏洞库（CNNVD）统计，本周（2018年5月28日至2018年6月3日）安全漏洞情况如下： 公开漏洞情况 本周CNNVD采集安全漏洞223个，与上周（286个）相比减少了22.03%。 接报漏洞情况 本周接报漏洞239个，其中信息技术产品漏洞（通用型漏洞）9个，网络信息系统漏洞（事件型漏洞）230个。 一、公开漏洞情况 根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞223个，漏洞新增数量有所下降。从厂商分布来看，其中IBM公司新增漏洞最多，共有18个；从漏洞类型来看，缓冲区错误类的安全漏洞占比最大，达到10.76%。本周新增漏洞中，超危漏洞1个，高危漏洞12个，中危漏洞164个，低危漏洞46个。相应修复率分别为100.00%、75.00%、60.37%以及58.70%。根据补丁信息统计，合计136个漏洞已有修复补丁发布，整体修复率为60.99%。 截至2018年6月3日，CNNVD发布漏洞总量已达109059个。 （一） 安全漏洞增长数量情况 本周CNNVD采集安全漏洞223个，与上周（286个）相比减少了22.03%。图1为近五周漏洞新增数量统计图。 图1 近五周漏洞新增数量统计图 （二） 安全漏洞分布情况 从厂商分布来看，本周IBM公司新增漏洞最多，共18个。各厂商漏洞数量分布如表1所示。 表1 Top 5厂商新增安全漏洞统计表 序号 厂商名称 漏洞数量 所占比例 1 IBM 18 8.07% 2 3 Citrix Systems 7 3.14% 4 Trend Micro 7 3.14% 5 华为 5 2.24% 本周国内厂商漏洞共18个，福昕（Foxit）软件公司漏洞数量最多，共9个。本周国内厂商漏洞整体修复率为77.78%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。 从漏洞类型来看，本周缓冲区错误类的安全漏洞相对占比最大，达到10.76%。漏洞类型统计如表2所示。 表2 漏洞类型统计表 序号 漏洞类型 漏洞数量 所占比例 1 2 跨站脚本 17 7.62% 3 SQL注入 14 6.28% 4 路径遍历 5 2.24% 5 权限许可和访问控制 4 1.79% 6 命令注入 3 1.35% 7 跨站请求伪造 3 1.35% 8 数字错误 2 0.90% （三） 安全漏洞危害等级与修复情况 本周共发布超危漏洞1个，高危漏洞12个，中危漏洞164个，低危漏洞46个。相应修复率分别为100.00%、75.00%、60.37%以及58.70%。合计136个漏洞已有修复补丁发布，整体修复率为60.99%。详细情况如表3所示。 表3 漏洞危害等级与修复情况 序号 危害等级 漏洞数量 修复数量 修复率 1 超危 1 1 100.00% 2 高危 12 9 75.00% 3 中危 164 99 60.37% 4 低危 46 27 58.70% 合计 （四） 本周重要漏洞实例 本周重要漏洞实例如表4所示。 表4 本周重要漏洞实例 序号 漏洞 漏洞编号 厂商 漏洞实例 是否修复 等级 类型 1 CNNVD-201805-792 Dell Dell EMC RecoverPoint和RecoverPoint for Virtual Machines 命令注入漏洞 是 2 缓冲区错误 CNNVD-201805-881 IBM IBM DB2 for Linux、UNIX和Windows 缓冲区错误漏洞 是 Dell EMC RecoverPoint和RecoverPoint for Virtual Machines 命令注入漏洞（CNNVD-201805-792） Dell EMC RecoverPoint和RecoverPoint for Virtual Machines都是美国戴尔（Dell）公司的产品。前者是一套灾难恢复和数据保护软件，后者是一套面向VMware环境的灾难恢复解决方案。 Dell EMC RecoverPoint 5.1.2之前版本和RecoverPoint for Virtual Machines 之前版本中存在命令注入漏洞。远程攻击者可利用该漏洞以root权限在受影响的系统上执行任意命令。 解决措施：目前厂商已发布升级补丁以修复漏洞，补丁获取链接： /bao7uo/dell-emc_recoverpoint/blob/master/EMC_RPT_CVE-2018-1242.md IBM DB2 for Linux、UNIX和Windows 缓冲区错误漏洞（CNNVD-20