文章來(lái)源:國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT
本周漏洞態(tài)勢(shì)研判情況
本周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。
國(guó)家信息安全漏洞共享平臺(tái)(以下簡(jiǎn)稱CNVD)本周共收集���、整理信息安全漏洞241個(gè)����,其中高危漏洞147個(gè)����、中危漏洞81個(gè)、低危漏洞13個(gè)�����。漏洞平均分值為7.05�����。本周收錄的漏洞中�����,涉及0day漏洞165個(gè)(占68%)�,其中互聯(lián)網(wǎng)上出現(xiàn)“Tenda AC23堆棧溢出漏洞(CNVD-2023-15697)����、yasm hash函數(shù)拒絕服務(wù)漏洞”等零日代碼攻擊漏洞�。本周CNVD接到的涉及企事業(yè)單位等漏洞總數(shù)28859個(gè)���,與上周(8956個(gè))環(huán)比增加2.22倍�����。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數(shù)按周統(tǒng)計(jì)
本周漏洞事件處置情況
本周���,CNVD向銀行、保險(xiǎn)����、能源等重要行業(yè)單位通報(bào)漏洞事件28起,向基礎(chǔ)電信企業(yè)通報(bào)漏洞事件92起��,協(xié)調(diào)CNCERT各分中心驗(yàn)證和處置涉及地方重要部門漏洞事件505起��,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗(yàn)證和處置高??蒲性核到y(tǒng)漏洞事件210起,向上級(jí)信息安全協(xié)調(diào)機(jī)構(gòu)上報(bào)系統(tǒng)漏洞事件112起�����。
本周漏洞按類型統(tǒng)計(jì)
本周,CNVD收錄了241個(gè)漏洞�����。WEB應(yīng)用94個(gè)���,應(yīng)用程序82個(gè)�����,網(wǎng)絡(luò)設(shè)備(交換機(jī)��、路由器等網(wǎng)絡(luò)端設(shè)備)58個(gè)�,操作系統(tǒng)6個(gè)�,數(shù)據(jù)庫(kù)1個(gè)。
本周行業(yè)漏洞收錄情況
本周��,CNVD收錄了48個(gè)電信行業(yè)漏洞�,9個(gè)移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞,5個(gè)工控行業(yè)漏洞(如下圖所示)���。其中�����,“Siretta QUARTZ-GOLD緩沖區(qū)溢出漏洞(CNVD-2023-15941)����、ZTE MF286R命令注入漏洞”等漏洞的綜合評(píng)級(jí)為“高危”����。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補(bǔ)程序,請(qǐng)參照CNVD相關(guān)行業(yè)漏洞庫(kù)鏈接���。
本周重要漏洞安全告警
本周�����,CNVD整理和發(fā)布以下重要安全漏洞信息��。
1���、DELL產(chǎn)品安全漏洞
CNVD收錄的相關(guān)漏洞包括:Dell PowerPath Management Appliance授權(quán)問(wèn)題漏洞、Dell PowerScale OneFS資源管理錯(cuò)誤漏洞�、Dell PowerScale OneFS授權(quán)問(wèn)題漏洞(CNVD-2023-14503)、Dell BIOS輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2023-14507�����、CNVD-2023-14506)、Dell EMC Metro node代碼注入漏洞�����、Dell BIOS緩沖區(qū)溢出漏洞(CNVD-2023-14511)��、Dell PowerScale OneFS信息泄露漏洞(CNVD-2023-16362)����。其中,“Dell PowerPath Management Appliance授權(quán)問(wèn)題漏洞�����、Dell EMC Metro node代碼注入漏洞”的綜合評(píng)級(jí)為“高危”��。目前��,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序�����。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新����,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件���。
2、Adobe產(chǎn)品安全漏洞
CNVD收錄的相關(guān)漏洞包括:Adobe Experience Manager跨站腳本漏洞(CNVD-2023-15822���、CNVD-2023-15825���、CNVD-2023-15824�、CNVD-2023-15823、CNVD-2023-15828�、CNVD-2023-15827、CNVD-2023-15826�����、CNVD-2023-15831)���。目前���,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新�,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件�����。
3��、Google產(chǎn)品安全漏洞
CNVD收錄的相關(guān)漏洞包括:Google TensorFlow輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2023-15776�����、CNVD-2023-15775�、CNVD-2023-15779���、CNVD-2023-15778��、CNVD-2023-15777��、CNVD-2023-15781����、CNVD-2023-15780)�、Google TensorFlow緩沖區(qū)溢出漏洞(CNVD-2023-15774)。上述漏洞的綜合評(píng)級(jí)為“高危”���。目前�����,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序��。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新���,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件�。
4���、Siemens產(chǎn)品安全漏洞
CNVD收錄的相關(guān)漏洞包括:Siemens Solid Edge未初始化指針漏洞(CNVD-2023-15413�����、CNVD-2023-15420)、Siemens Solid Edge內(nèi)存破壞漏洞(CNVD-2023-15415)���、Siemens Tecnomatix Plant Simulation未初始化指針漏洞����、Siemens Tecnomatix Plant Simulation越界寫(xiě)入漏洞(CNVD-2023-15417)�、CNVD-2023-15416、CNVD-2023-15419���、CNVD-2023-15418)��。上述漏洞的綜合評(píng)級(jí)為“高危”���。目前��,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序��。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新��,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件��。
