关于我们
信息安全漏洞周报(2017年第43期)
来源: | 作者:王永刚 | 发布时间: 2017-11-06 | 23 次浏览 | 分享到:
根据国家信息安全漏洞库(CNNVD)统计,本周(2017年10月30日至2017年11月5日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞338个,与上周(316个)相比增加了6.96%。
接报漏洞情况
本周接报漏洞264个,其中信息技术产品漏洞(通用型漏洞)21个,网络信息系统漏洞(事件型漏洞)243个。
重要漏洞预警
本周CNNVD收到关于WordPress存在SQL注入漏洞(CNNVD-201711-001)情况的报送。部署4.8.2及之前版本WordPress平台的网站存在SQL注入漏洞,攻击者可能利用该漏洞获取用户重要数据。目前,WordPress官方针对该漏洞发布修复补丁,且漏洞POC已在互联网上公开,请部署该平台的用户及时检查并采取防范措施。
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞338个,漏洞新增数量有所上升。从厂商分布来看,其中IBM公司新增漏洞最多,共有25个;从漏洞类型来看,缓冲区错误类的安全漏洞占比最大,达到23.96%。本周新增漏洞中,高危漏洞11个,中危漏洞306个,低危漏洞21个,无超危漏洞。相应修复率分别为100.00%、56.86%以及76.19%。根据补丁信息统计,合计201个漏洞已有修复补丁发布,整体修复率为59.47%。
截至2017年11月5日,CNNVD发布漏洞总量已达101995个。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞338个,与上周(316个)相比增加了6.96%。图1为近五周漏洞新增数量统计图。

图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,本周IBM公司新增漏洞最多,共25个。各厂商漏洞数量分布如表1所示。
表1 Top 5厂商新增安全漏洞统计表

从漏洞类型来看,本周缓冲区错误类的安全漏洞相对占比最大,达到23.96%。漏洞类型统计如表2所示。本周国内厂商漏洞共7个,联想(Lenovo)公司漏洞数量最多,共3个。本周漏洞整体修复率为57.14%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
表2 漏洞类型统计表

(三) 安全漏洞危害等级与修复情况 
本周共发布高危漏洞11个,中危漏洞306个,低危漏洞21个,无超危漏洞。相应修复率分别为100.00%、56.86%以及76.19%。合计201个漏洞已有修复补丁发布,整体修复率为59.47%。详细情况如表3所示。
表3 漏洞危害等级与修复情况

(四) 本周重要漏洞实例 
本周高危漏洞11个,其中重要漏洞实例如表4所示。
表4 本周重要漏洞实例

1. Lenovo Fingerprint Manager 权限许可和访问控制漏洞(CNNVD-201710-448) 
Lenovo Fingerprint Manager是中国联想(Lenovo)公司的一套针对Thinkpad系列而开发的指纹识别传感器驱动程序。
Lenovo Fingerprint Manager 8.01.42之前版本中存在提权漏洞,该漏洞源于Services和files中带有不正确的访问控制列表(ACL)。本地攻击者可通过以管理员权限运行可执行性文件利用该漏洞使本地检测失效,提升权限。
解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.lenovo.com/us/zh/product_security/lenovo_fpr
2. Cisco IOS和IOS XE Internet Key Exchange模块资源管理错误漏洞(CNNVD-201709-1297)
Cisco IOS和IOS XE都是美国思科(Cisco)公司为其网络设备开发的操作系统。Internet Key Exchange Version 2 (IKEv2) module是其中的一个密钥交换协议模块。
Cisco IOS 15.0版本至15.6版本和IOS XE 3.5版本至16.5版本中的IKEv2模块存在资源管理错误漏洞。远程攻击者可通过向受影响的设备发送特定的IKEv2数据包利用该漏洞造成拒绝服务(CPU大量消耗和设备重新加载)。
解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-ike
二、重要漏洞预警
本周CNNVD收到关于WordPress存在SQL注入漏洞(CNNVD-201711-001)情况的报送。部署4.8.2及之前版本WordPress平台的网站存在SQL注入漏洞,攻击者可能利用该漏洞获取用户重要数据。目前,WordPress官方针对该漏洞发布修复补丁,且漏洞POC已在互联网上公开,请部署该平台的用户及时检查并采取防范措施。
(一)漏洞简介
WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。
WordPress 4.8.2及之前版本中存在SQL注入漏洞(CNNVD-201711-001)。该漏洞是由于WordPress的prepare()函数对用户输入过滤不严格,攻击者可通过构造恶意字符串,提交恶意查询语句,获取数据库相关信息,窃取用户数据。
(二)漏洞危害
该漏洞一旦被攻击者利用,可能导致用户重要信息泄露,可进一步造成其他影响。
(三)修复措施
目前,WordPress官方已针对该漏洞发布安全公告。请用户及时检查是否受到漏洞影响。如确认受到相关漏洞影响,可将WordPress升级至最新版本 4.8.3: