文章來源:國家互聯(lián)網(wǎng)應急中心CNCERT
本周漏洞態(tài)勢研判情況
本周信息安全漏洞威脅整體評價級別為中����。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞241個����,其中高危漏洞147個、中危漏洞81個���、低危漏洞13個��。漏洞平均分值為7.05�����。本周收錄的漏洞中����,涉及0day漏洞165個(占68%),其中互聯(lián)網(wǎng)上出現(xiàn)“Tenda AC23堆棧溢出漏洞(CNVD-2023-15697)�����、yasm hash函數(shù)拒絕服務漏洞”等零日代碼攻擊漏洞���。本周CNVD接到的涉及企事業(yè)單位等漏洞總數(shù)28859個��,與上周(8956個)環(huán)比增加2.22倍����。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數(shù)按周統(tǒng)計
本周漏洞事件處置情況
本周�,CNVD向銀行、保險�����、能源等重要行業(yè)單位通報漏洞事件28起����,向基礎(chǔ)電信企業(yè)通報漏洞事件92起�����,協(xié)調(diào)CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件505起,協(xié)調(diào)教育行業(yè)應急組織驗證和處置高?���?蒲性核到y(tǒng)漏洞事件210起,向上級信息安全協(xié)調(diào)機構(gòu)上報系統(tǒng)漏洞事件112起�。
本周漏洞按類型統(tǒng)計
本周,CNVD收錄了241個漏洞��。WEB應用94個�����,應用程序82個���,網(wǎng)絡(luò)設(shè)備(交換機��、路由器等網(wǎng)絡(luò)端設(shè)備)58個��,操作系統(tǒng)6個����,數(shù)據(jù)庫1個�。
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了48個電信行業(yè)漏洞���,9個移動互聯(lián)網(wǎng)行業(yè)漏洞�,5個工控行業(yè)漏洞(如下圖所示)。其中���,“Siretta QUARTZ-GOLD緩沖區(qū)溢出漏洞(CNVD-2023-15941)�����、ZTE MF286R命令注入漏洞”等漏洞的綜合評級為“高危”�。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補程序�����,請參照CNVD相關(guān)行業(yè)漏洞庫鏈接��。
本周重要漏洞安全告警
本周�,CNVD整理和發(fā)布以下重要安全漏洞信息。
1����、DELL產(chǎn)品安全漏洞
CNVD收錄的相關(guān)漏洞包括:Dell PowerPath Management Appliance授權(quán)問題漏洞����、Dell PowerScale OneFS資源管理錯誤漏洞、Dell PowerScale OneFS授權(quán)問題漏洞(CNVD-2023-14503)、Dell BIOS輸入驗證錯誤漏洞(CNVD-2023-14507���、CNVD-2023-14506)����、Dell EMC Metro node代碼注入漏洞�����、Dell BIOS緩沖區(qū)溢出漏洞(CNVD-2023-14511)�����、Dell PowerScale OneFS信息泄露漏洞(CNVD-2023-16362)���。其中���,“Dell PowerPath Management Appliance授權(quán)問題漏洞、Dell EMC Metro node代碼注入漏洞”的綜合評級為“高危”��。目前����,廠商已經(jīng)發(fā)布了上述漏洞的修補程序�����。CNVD提醒用戶及時下載補丁更新�����,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件���。
2、Adobe產(chǎn)品安全漏洞
CNVD收錄的相關(guān)漏洞包括:Adobe Experience Manager跨站腳本漏洞(CNVD-2023-15822�、CNVD-2023-15825、CNVD-2023-15824�����、CNVD-2023-15823����、CNVD-2023-15828、CNVD-2023-15827��、CNVD-2023-15826�����、CNVD-2023-15831)�。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序��。CNVD提醒用戶及時下載補丁更新��,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件�����。
3����、Google產(chǎn)品安全漏洞
CNVD收錄的相關(guān)漏洞包括:Google TensorFlow輸入驗證錯誤漏洞(CNVD-2023-15776、CNVD-2023-15775�����、CNVD-2023-15779����、CNVD-2023-15778、CNVD-2023-15777�、CNVD-2023-15781、CNVD-2023-15780)����、Google TensorFlow緩沖區(qū)溢出漏洞(CNVD-2023-15774)���。上述漏洞的綜合評級為“高危”。目前�����,廠商已經(jīng)發(fā)布了上述漏洞的修補程序���。CNVD提醒用戶及時下載補丁更新��,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件���。
4、Siemens產(chǎn)品安全漏洞
CNVD收錄的相關(guān)漏洞包括:Siemens Solid Edge未初始化指針漏洞(CNVD-2023-15413��、CNVD-2023-15420)�����、Siemens Solid Edge內(nèi)存破壞漏洞(CNVD-2023-15415)���、Siemens Tecnomatix Plant Simulation未初始化指針漏洞�、Siemens Tecnomatix Plant Simulation越界寫入漏洞(CNVD-2023-15417)、CNVD-2023-15416���、CNVD-2023-15419、CNVD-2023-15418)�。上述漏洞的綜合評級為“高危”。目前����,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新����,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
