情况综述
本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:
收集整理信息安全漏洞1047个,其中高危漏洞409个,中危漏洞575个,低危漏洞63个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有881个。
1.本月漏洞信息1.1重要漏洞信息
本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。
| 序号 | 漏洞名称 | 编号及影响产品信息 | 影响描述 | ||
| 1 | Apple多款产品存在安全漏洞 | CNVD编号 | CNVD-2020-00212、CNVD-2020-00534CNVD-2020-00535、CNVD-2020-00531CNVD-2020-01906、CNVD-2020-01908CNVD-2020-01928、CNVD-2020-03004CNVD-2020-03003、CNVD-2020-03008 | 本月,Apple多款产品存在安全漏洞。攻击者可利用漏洞以系统权限执行任意代码,导致缓冲区溢出或堆溢出等。本月漏洞包括:Apple iOS和Apple watchOS Mail Message Framework组件资源管理错误漏洞、Apple macOS Mojave Application Firewall组件输入验证错误漏洞、多款Apple产品Kernel组件类型混淆漏洞、多款Apple产品AppleFileConduit组件内存破坏漏洞、多款Apple产品sysdiagnose组件内存破坏漏洞、Apple iOS和Apple macOS Mojave Feedback Assistant组件竞争条件漏洞、多款Apple产品Kernel组件越界读取漏洞、Apple iOS IOKit内存破坏漏洞、Apple iOS和Apple macOS Mojave IOKit SCSI组件内存破坏漏洞、Apple macOS Mojave AMD组件内存破坏漏洞等。 | |
| 其他编号 | CVE-2019-8613、CVE-2019-8590CVE-2019-8591、CVE-2019-8593CVE-2019-8574、CVE-2019-8565CVE-2019-8576、CVE-2019-7287CVE-2019-8529、CVE-2019-8635 | ||||
| 发布时间 | 2020/1/6 | ||||
| 影响产品 | Apple macOS MojaveApple watchOSApple tvOSApple IOS | ||||
| 2 | Mozilla多款产品存在安全漏洞 | CNVD编号 | CNVD-2020-01173、CNVD-2020-01174CNVD-2020-01176、CNVD-2020-01177CNVD-2020-01179、CNVD-2020-01180CNVD-2020-01182、CNVD-2020-02149CNVD-2020-02150、CNVD-2020-02976 | 本月,Mozilla多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,执行任意代码,导致缓冲区溢出或堆溢出等。本月漏洞包括:”Mozilla Network Security Services缓冲区溢出漏洞(CNVD-2020-01173)、Mozilla Firefox信息泄露漏洞(CNVD-2020-01174)、Mozilla Firefox和Mozilla Firefox ESR代码注入漏洞、Mozilla Firefox和Mozilla Firefox ESR缓冲区溢出漏洞(CNVD-2020-01177)、Mozilla Firefox和Firefox ESR内存错误引用漏洞(CNVD-2020-01179)、Mozilla Firefox和Firefox ESR栈缓冲区溢出漏洞(CNVD-2020-01180)、Mozilla Firefox缓冲区溢出漏洞(CNVD-2020-01182)、Mozilla Firefox ESR和Mozilla Firefox类型混淆漏洞、Mozilla Firefox和Mozilla Firefox ESR内存错误引用漏洞(CNVD-2020-02150)、Mozilla Firefox代码执行漏洞(CNVD-2020-02976)等。 | |
| 其他编号 | CVE-2019-17006、CVE-2019-17018CVE-2019-17016、CVE-2019-17015CVE-2019-17008、CVE-2019-13722CVE-2019-17013、CVE-2019-17026CVE-2019-17024、CVE-2019-17019 | ||||
| 发布时间 | 2020/1/9 | ||||
| 影响产品 | Mozilla Network Security ServicesMozilla Firefox ESRMozilla Firefox | ||||
| 3 | Cisco多款产品存在安全漏洞 | CNVD编号 | CNVD-2020-00280、CNVD-2020-00281CNVD-2020-00282、CNVD-2020-00283CNVD-2020-00284、CNVD-2020-00285CNVD-2020-00288、CNVD-2020-00289CNVD-2020-00290、CNVD-2020-00299 | 本月,Cisco多款产品存在安全漏洞。攻击者可以利用漏洞获取数据库敏感信息,以管理权限读取、写入任意文件或执行系统中的任意文件等。本月漏洞包括:Cisco Data Center Network Manager SOAP API路径遍历漏洞、Cisco Data Center Network Manager REST API SQL注入漏洞、Cisco Data Center Network Manager SOAP API SQL注入漏洞、Cisco Data Center Network Manager REST API认证绕过漏洞、Cisco Data Center Network Manager SOAP API认证绕过漏洞、Cisco Data Center Network Manager认证绕过漏洞、Cisco Data Center Network Manager REST API命令注入漏洞、Cisco Data Center Network Manager SOAP API命令注入漏洞、Cisco Data Center Network Manager REST API路径遍历漏洞、Cisco Firepower Threat Defense本地权限提升漏洞等。 | |
| 其他编号 | CVE-2019-15981、CVE-2019-15984CVE-2019-15985、CVE-2019-15975CVE-2019-15976、CVE-2019-15977CVE-2019-15978、CVE-2019-15979CVE-2019-15980、CVE-2019-12699 | ||||
| 发布时间 | 2020/1/3 | ||||
| 影响产品 | Cisco Cisco Data Center Network ManagerCisco Firepower Threat Defense | ||||
| 4 | Huawei多款产品存在安全漏洞 | CNVD编号 | CNVD-2020-00215、CNVD-2020-00216CNVD-2020-00217、CNVD-2020-00517CNVD-2020-02948、CNVD-2020-02962CNVD-2020-02964、CNVD-2020-02966CNVD-2020-02967、CNVD-2020-02968 | 本月,Huawei多款产品存在安全漏洞。攻击者可利用漏洞进行未授权的操作,获取信息,执行恶意代码,造成拒绝服务等。本月漏洞包括:Huawei USG9500拒绝服务漏洞(CNVD-2020-00215、CNVD-2020-00216、CNVD-2020-00217)、Huawei M5 lite 10输入验证错误漏洞、多款Huawei产品拒绝服务漏洞(CNVD-2020-02948)、Huawei Mate 20 Pro授权问题漏洞、多款Huawei产品加密问题漏洞、多款Huawei产品路径遍历漏洞、Huawei Gauss100 OLTP数据库缓冲区溢出漏洞、Huawei Honor V30授权问题漏洞等。 | |
| 其他编号 | CVE-2019-5273、CVE-2019-5274CVE-2019-5275、CVE-2019-19398CVE-2020-1785、CVE-2019-5250CVE-2019-19397、CVE-2019-5251CVE-2019-5278、CVE-2020-1788 | ||||
| 发布时间 | 2020/1/21 | ||||
| 影响产品 | Huawei Huawei Mate 20 ProHuawei CampusInsightHuawei Honor 9 LiteHuawei Mate 10 ProHuawei M5 lite 10Huawei Honor V10Huawei Honor 20sHuawei Honor V30Huawei Honor 9iHuawei Honor 10Huawei Mate 20Huawei P30 ProHuawei USG9500Huawei 畅享7SHuawei S12700Huawei Nova 4Huawei S5700Huawei S7700Huawei S9700Huawei S6700Huawei S2700Huawei P30 | ||||
| 5 | Microsoft多款产品存在安全漏洞 | CNVD编号 | CNVD-2020-00490、CNVD-2020-02180CNVD-2020-02182、CNVD-2020-02190CNVD-2020-02187、CNVD-2020-02188CNVD-2020-02189、CNVD-2020-02439CNVD-2020-02446、CNVD-2020-03041 | 本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞提升权限,执行任意代码,导致系统拒绝服务等。本月漏洞包括:Microsoft Windows Windows Printer Service提权漏洞、Microsoft Windows和Microsoft Windows Server权限提升漏洞(CNVD-2020-02180、CNVD-2020-02182)、Microsoft Windows Kerne权限提升漏洞、Microsoft PowerPoint远程执行代码漏洞、Microsoft Word拒绝服务漏洞、Microsoft Windows和Microsoft Windows Server远程代码执行漏洞(CNVD-2020-02189)、Microsoft Internet Explorer远程代码执行漏洞(CNVD-2020-02439)、Microsoft Windows CryptoAPI欺骗漏洞、Microsoft Windows Win32k组件权限提升漏洞(CNVD-2020-03041)等。 | |
| 其他编号 | CVE-2019-1477、CVE-2019-1478CVE-2019-1483、CVE-2019-1392CVE-2019-1462、CVE-2019-1461CVE-2019-1468、CVE-2020-0640CVE-2020-0601、CVE-2019-1458 | ||||
| 发布时间 | 2020/1/14 | ||||
| 影响产品 | Microsoft Windows Server 2019Microsoft Windows Server 2008Microsoft Windows Server 2012Microsoft Windows Server 2016Microsoft Office 365 ProPlusMicrosoft Internet ExplorerMicrosoft PowerPoint 2010Microsoft PowerPoint 2013Microsoft PowerPoint 2016Microsoft Windows ServerMicrosoft Windows RT 8.1Microsoft Office 2010Microsoft Office 2019Microsoft Office 2016Microsoft Windows 8.1Microsoft Windows 10Microsoft Windows 7Microsoft Word 2010Microsoft Word 2013Microsoft Word 2016 | ||||
| 6 | Adobe多款产品存在安全漏洞 | CNVD编号 | CNVD-2020-00492、CNVD-2020-01260CNVD-2020-01261、CNVD-2020-01262CNVD-2020-01264、CNVD-2020-01265CNVD-2020-01267、CNVD-2020-01268CNVD-2020-02997、CNVD-2020-03030 | 本月,Adobe多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,提升权限,执行代码。本月漏洞包括:Adobe Brackets命令注入漏洞、Adobe Acrobat和Reader越界读取漏洞(CNVD-2020-01260、CNVD-2020-01261、CNVD-2020-01262、CNVD-2020-01265、CNVD-2020-01267)、Adobe Illustrator缓冲区溢出漏洞(CNVD-2020-01264)、Adobe Acrobat和Reader权限提升漏洞、Adobe Illustrator CC 2019内存破坏漏洞(CNVD-2020-02997、CNVD-2020-03030)等。 | |
| 其他编号 | CVE-2019-8255、CVE-2019-16458CVE-2019-16456、CVE-2019-16457CVE-2019-8248、CVE-2019-16461CVE-2019-16465、CVE-2019-16444CVE-2020-3712、CVE-2020-3714 | ||||
| 发布时间 | 2020/1/10 | ||||
| 影响产品 | Adobe Acrobat Reader 2017 (Classic 2017)Adobe Acrobat Reader 2015 (Classic 2015)Adobe Acrobat Reader DC (Continuous)Adobe Acrobat 2015 (Classic 2015)Adobe Acrobat 2017 (Classic 2017)Adobe Acrobat DC (Continuous)Adobe Illustrator CC 2019Adobe Brackets | ||||
| 7 | Red Hat多款产品存在安全漏洞 | CNVD编号 | CNVD-2020-01642、CNVD-2020-01654CNVD-2020-01921、CNVD-2020-01938CNVD-2020-01939、CNVD-2020-01941CNVD-2020-01943、CNVD-2020-03177CNVD-2020-03216、CNVD-2020-03215 | 本月,Red Hat多款产品存在安全漏洞。攻击者可利用漏洞实施钓鱼攻击,访问未授权的信息,提升权限,执行任意代码或发起拒绝服务攻击等。本月漏洞包括:Red Hat Ceph Storage拒绝服务漏洞(CNVD-2020-01642)、Red Hat Keycloak开放重定向漏洞、Red Hat OpenShift跨站请求伪造漏洞、Red Hat libvirt权限许可和访问控制问题漏洞、Red Hat libvirt安全绕过漏洞、Red Hat Enterprise Linux资源管理错误漏洞、Red Hat JBoss EAP和JBoss Application Server提权漏洞、Red Hat Fuse信息泄露漏洞、Red Hat 389 Directory Server缓冲区溢出漏洞、Red Hat Undertow信任管理问题漏洞等。 | |
| 其他编号 | CVE-2019-19337、CVE-2014-3652CVE-2013-0196、CVE-2019-10132CVE-2019-3886、CVE-2019-10171CVE-2012-2312、CVE-2019-14860CVE-2019-3883、CVE-2019-3888 | ||||
| 发布时间 | 2020/1/23 | ||||
| 影响产品 | Red Hat Enterprise Linux(RHEL)Red Hat 389 Directory ServerRed Hat JBoss EAPRed Hat Ceph StorageRed Hat OpenShiftRed Hat UndertowRed Hat JBoss ASRed Hat keycloakRed Hat libvirtRed Hat Fuse | ||||
| 8 | F5多款产品存在安全漏洞 | CNVD编号 | CNVD-2020-00236、CNVD-2020-00238CNVD-2020-00237、CNVD-2020-00244CNVD-2020-00245、CNVD-2020-00242CNVD-2020-01191、CNVD-2020-01192CNVD-2020-03033、CNVD-2020-03036 | 本月,F5多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,提升权限,修改配置并执行任意系统命令,造成拒绝服务等。本月漏洞包括:F5 BIG-IP输入验证错误漏洞(CNVD-2020-00236、CNVD-2020-00238、CNVD-2020-00237、CNVD-2020-00244、CNVD-2020-00242、CNVD-2020-01192)、F5 BIG-IP权限提升漏洞、F5 BIG-IP ASM资源管理错误漏洞、F5 BIG-IP Local Traffic Manager输入验证错误漏洞、F5 BIG-IP和F5 BIG-IQ Centralized Management信息泄露漏洞等。 | |
| 其他编号 | CVE-2019-6680、CVE-2019-6666CVE-2019-6684、CVE-2019-6677CVE-2019-6685、CVE-2019-6676CVE-2019-6682、CVE-2019-6678CVE-2019-6686、CVE-2019-6688 | ||||
| 发布时间 | 2020/1/21 | ||||
| 影响产品 | F5 BIG-IP Local Traffic ManagerF5 BIG-IP |
表1 本月重要漏洞信息
1.2漏洞被关注情况
根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与2019年12个月相比,本月网络设备(交换机、路由器等网络端设备)、安全产品和智能设备(物联网终端设备)漏洞的数量处于高位,操作系统、应用程序、WEB应用和数据库的数量处于低位。
图1 漏洞类型分布
1.3漏洞被关注情况
根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。
| 关注度排名 | 漏洞名称 | CNVD编号 | 发布时间 |
| 1 | Apereo CAS反序列化漏洞 | CNVD-2020-00516 | 2020/1/6 |
| 2 | 云锁win_3.1.18.12公有云版本存在sql注入绕过漏洞 | CNVD-2020-02821 | 2020/1/26 |
| 3 | 启明星帮助台系统PC***_ad***.aspx存在SQL注入漏洞 | CNVD-2019-46745 | 2020/1/7 |
| 4 | 健康管理中心报告查询系统存在SQL注入漏洞 | CNVD-2020-02822 | 2020/1/26 |
| 5 | Huawei CloudEngine 12800、S5700和S6700弱算法漏洞 | CNVD-2020-02175 | 2020/1/14 |
表2 本月被关注漏洞TOP5
从表2可以看出,本月用户关注的主要是ApereoCAS反序列化漏洞,其访问量达到2683次以上。攻击者可利用该漏洞执行任意代码。
1.4漏洞趋势
本月,CNVD收集整理信息安全漏洞1047个,与2019年每月平均收录数量1350个相比,处于低位;本月高危漏洞409个,与2019年每月高危漏洞平均收录数量407个相比,处于高位。
本月10日发布的安全漏洞数量最多,都高达157个,主要是因为收录了Adobe、GitLab等多款产品存在的多个漏洞。
2.单位和个人上报漏洞统计
本月报送情况如表3所示。其中,阿里云计算有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、北京神州绿盟科技有限公司、哈尔滨安天科技集团股份有限公司等单位报送公开收集的漏洞数量较多。内蒙古洞明科技有限公司、河南灵创电子科技有限公司、远江盛邦(北京)网络安全科技股份有限公司、山东新潮信息技术有限公司、北京华云安信息技术有限公司、南京众智维信息科技有限公司、北京铭图天成信息技术有限公司、国瑞数码零点实验室、内蒙古奥创科技有限公司、山东云天安全技术有限公司、四川月安客信息技术有限公司、北京冠程科技有限公司、河南信安世纪科技有限公司、北京圣博润高新技术股份有限公司、广州三零卫士信息安全有限公司、山东华鲁科技发展股份有限公司、上海端御信息科技有限公司、北京长亭科技有限公司、山石网科通信技术股份有限公司、长春嘉诚信息技术股份有限公司、厦门靠谱云股份有限公司、北京智游网安科技有限公司、广州美杜莎网络科技有限公司、成都鹏博士电信传媒集团股份有限公司、广州万方计算机科技有限公司、广州市网迅信息技术有限公司、广州厚极信息科技有限公司、京东云安全、四川雾都信息技术有限公司、梧州学院网络与信息安全研究所及其他个人白帽子向CNVD提交了6481个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的4037条原创漏洞信息。
| 单位或个人 | 漏洞上报总数 | 原创漏洞数量 |
| 上海交大 | 2015 | 2015 |
| 斗象科技(漏洞盒子) | 1300 | 1300 |
| 阿里云计算有限公司 | 787 | 0 |
| 奇安信网神(补天平台) | 722 | 722 |
| 北京天融信网络安全技术有限公司 | 508 | 2 |
| 华为技术有限公司 | 479 | 0 |
| 北京神州绿盟科技有限公司 | 391 | 15 |
| 哈尔滨安天科技集团股份有限公司 | 353 | 0 |
| 深信服科技股份有限公司 | 224 | 0 |
| 新华三技术有限公司 | 217 | 0 |
| 恒安嘉新(北京)科技股份公司 | 133 | 0 |
| 北京启明星辰信息安全技术有限公司 | 107 | 3 |
| 厦门服云信息科技有限公司 | 84 | 0 |
| 北京数字观星科技有限公司 | 79 | 0 |
| 中国电信集团系统集成有限责任公司 | 57 | 57 |
| 西安四叶草信息技术有限公司 | 33 | 33 |
| 四川无声信息技术有限公司 | 31 | 31 |
| 浙江大华技术股份有限公司 | 23 | 23 |
| 北京知道创宇信息技术股份有限公司 | 10 | 0 |
| 南京铱迅信息技术股份有限公司 | 2 | 2 |
| 内蒙古洞明科技有限公司 | 272 | 272 |
| 河南灵创电子科技有限公司 | 254 | 254 |
| 远江盛邦(北京)网络安全科技股份有限公司 | 202 | 202 |
| 山东新潮信息技术有限公司 | 127 | 127 |
| 北京华云安信息技术有限公司 | 81 | 81 |
| 南京众智维信息科技有限公司 | 66 | 66 |
| 北京铭图天成信息技术有限公司 | 60 | 60 |
| 国瑞数码零点实验室 | 56 | 56 |
| 内蒙古奥创科技有限公司 | 44 | 44 |
| 杭州迪普科技股份有限公司 | 39 | 0 |
| 山东云天安全技术有限公司 | 31 | 31 |
| 四川月安客信息技术有限公司 | 27 | 27 |
| 北京冠程科技有限公司 | 16 | 16 |
| 河南信安世纪科技有限公司 | 16 | 16 |
| 北京圣博润高新技术股份有限公司 | 10 | 10 |
| 广州三零卫士信息安全有限公司 | 10 | 10 |
| 山东华鲁科技发展股份有限公司 | 6 | 6 |
| 上海端御信息科技有限公司 | 6 | 6 |
| 北京长亭科技有限公司 | 5 | 5 |
| 山石网科通信技术股份有限公司 | 4 | 4 |
| 长春嘉诚信息技术股份有限公司 | 4 | 4 |
| 厦门靠谱云股份有限公司 | 3 | 3 |
| 北京智游网安科技有限公司 | 2 | 2 |
| 广州美杜莎网络科技有限公司 | 2 | 2 |
| 成都鹏博士电信传媒集团股份有限公司 | 1 | 1 |
| 广州万方计算机科技有限公司 | 1 | 1 |
| 广州市网迅信息技术有限公司 | 1 | 1 |
| 广州厚极信息科技有限公司 | 1 | 1 |
| 京东云安全 | 1 | 1 |
| 四川雾都信息技术有限公司 | 1 | 1 |
| 梧州学院网络与信息安全研究所 | 1 | 1 |
| 个人 | 967 | 967 |
| 总计 | 1047(去重) | 6481 |
表3 单位和个人上报漏洞统计
