国家信息安全漏洞共享平台(CNVD) - 国家互联网应急中心
国家信息安全漏洞共享平台(CNVD) - 国家互联网应急中心
国家信息安全漏洞共享平台(CNVD) - 国家互联网应急中心
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
p<br />
国 家 信 息 安 全 漏 洞 共 享 平 台 (<strong>CNVD</strong>)<br />
信 息 安 全 漏 洞 周 报<br />
会 员 版<br />
2011 年 4 月 11 日 -2011 年 4 月 17 日 2011 年 第 15 期<br />
本 周 漏 洞 基 本 情 况<br />
本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为 高 。<br />
国 家 信 息 安 全 漏 洞 共 享 平 台 ( 以 下 简 称 <strong>CNVD</strong>) 本 周 共 收 集 、 整 理 信 息 安 全 漏 洞 101<br />
个 , 其 中 高 危 漏 洞 59 个 、 中 危 漏 洞 31 个 、 低 危 漏 洞 11 个 。 上 述 漏 洞 中 , 可 利 用 来 实 施 远<br />
程 攻 击 的 漏 洞 有 89 个 。 网 上 已 经 出 现 针 对 “Microsoft Host Integration Server 存 在 多 个 拒<br />
绝 服 务 漏 洞 ”、“MIT Kerberos kadmind 版 本 字 符 串 处 理 远 程 拒 绝 服 务 漏 洞 ”、“Winamp '.m<br />
3u8' 文 件 远 程 缓 冲 区 溢 出 漏 洞 ” 等 的 零 日 攻 击 代 码 , 请 使 用 相 关 产 品 的 用 户 注 意 做 好 防 护 措<br />
施 。 本 周 收 录 的 漏 洞 中 , 已 有 78 个 漏 洞 由 厂 商 提 供 了 修 补 方 案 , 建 议 用 户 及 时 下 载 补 丁 更<br />
新 程 序 , 避 免 遭 受 网 络 攻 击 。<br />
成 员 单 位 上 报 漏 洞 统 计<br />
本 周 , 共 有 6 家 成 员 单 位 报 送 了 本 周 收 录 的 全 部 101 个 漏 洞 , 各 单 位 报 送 情 况 如 表 1<br />
所 示 。 其 中 , 启 明 星 辰 报 送 数 量 较 多 。<br />
成 员 单 位 漏 洞 上 报 总 数 私 有 漏 洞 数 量<br />
启 明 星 辰 100 0<br />
绿 盟 科 技 5 0<br />
东 软 5 0<br />
安 氏 领 信 1 0<br />
安 天 1 0<br />
恒 安 嘉 新 1 0<br />
总 计 101( 去 重 ) 0<br />
表 1 成 员 单 位 上 报 漏 洞 统 计 表<br />
本 周 ,<strong>CNVD</strong> 整 理 和 发 布 的 漏 洞 涉 及 Microsoft、Computer Associates、HP、Linux、SAP、<br />
Google 等 多 家 厂 商 的 产 品 , 漏 洞 数 量 按 厂 商 统 计 如 表 2 所 示 。
序 号 厂 商 ( 产 品 ) 漏 洞 数 量 所 占 比 例<br />
1 Microsoft 37 36.63%<br />
2<br />
Computer<br />
Associates<br />
8 7.92%<br />
3 HP 4 3.96%<br />
4 Linux 4 3.96%<br />
5 SAP 4 3.96%<br />
6 Google 3 2.97%<br />
7 NullSoft 2 1.98%<br />
8 Fiberhome 2 1.98%<br />
9 Novell 1 0.99%<br />
10 其 他 36 35.65%<br />
表 2 漏 洞 产 品 涉 及 厂 商 分 类 统 计<br />
本 周 重 要 漏 洞 信 息<br />
本 周 ,<strong>CNVD</strong> 整 理 和 发 布 以 下 重 要 安 全 漏 洞 信 息 。<br />
1、 Microsoft 发 布 安 全 公 告 , 修 复 多 个 产 品 安 全 漏 洞<br />
本 周 , 微 软 发 布 了 2011 年 4 月 份 的 月 度 例 行 安 全 公 告 , 共 包 含 17 项 安 全 更 新 , 其 中 9<br />
项 更 新 的 综 合 评 级 为 “ 严 重 ”, 其 余 8 项 更 新 的 综 合 评 级 为 “ 重 要 ”。 本 次 发 布 的 安 全 更 新<br />
修 复 了 包 含 Windows 操 作 系 统 、Office 软 件 、IE 浏 览 器 、 服 务 器 软 件 、 开 发 工 具 等 产 品 的<br />
多 个 安 全 漏 洞 。 攻 击 者 可 以 利 用 这 些 漏 洞 发 起 攻 击 , 攻 击 一 旦 成 功 则 可 在 受 害 主 机 上 执 行<br />
任 意 代 码 , 窃 取 敏 感 信 息 或 提 升 特 权 。<strong>CNVD</strong> 收 录 的 相 关 漏 洞 包 括 :Microsoft Excel 整 数<br />
下 溢 漏 洞 、Microsoft Excel 缓 冲 区 溢 出 漏 洞 (CVE-2011-0098、CVE-2011-0104、CVE-201<br />
1-0105)、 Microsoft Excel 任 意 代 码 执 行 漏 洞 (CVE-2011-0101、CVE-2011-0978、CVE-201<br />
1-0979)、 Microsoft Excel 内 存 破 坏 漏 洞 (CVE-2011-0103)、 Microsoft Windows/Office GD<br />
I+ 整 数 溢 出 漏 洞 、Microsoft HTML Help '.chm' 文 件 栈 缓 冲 区 溢 出 漏 洞 、Microsoft Internet<br />
Explorer 绕 过 域 限 制 漏 洞 、Microsoft Internet Explorer 处 理 帧 标 签 对 象 存 在 安 全 漏 洞 等 。C<br />
NVD 提 醒 广 大 Microsoft 用 户 及 时 下 载 补 丁 程 序 进 行 修 补 。 除 上 述 公 告 提 到 的 漏 洞 外 ,Mi<br />
crosoft Host Integration Server 被 披 露 存 在 多 个 拒 绝 服 务 漏 洞 。Microsoft Host Integration<br />
Server 是 一 款 主 机 平 台 互 连 互 通 解 决 方 案 。 攻 击 者 可 以 利 用 漏 洞 发 起 拒 绝 服 务 攻 击 , 导 致<br />
服 务 异 常 终 止 , 该 漏 洞 的 综 合 评 级 为 “ 高 危 ”。 目 前 , 互 联 网 上 已 经 出 现 该 漏 洞 的 攻 击 代 码 ,<br />
且 微 软 尚 未 发 布 其 补 丁 程 序 ,<strong>CNVD</strong> 建 议 用 户 及 时 关 注 厂 商 主 页 , 以 获 取 补 丁 程 序 或 最 新
版 本 。<br />
参 考 链 接 :http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05003<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05004<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05005<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05006<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05007<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05008<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05009<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05010<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05012<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05013<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05014<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05015<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-04979<br />
2、 Computer Associates Total Defense 安 全 漏 洞<br />
Computer Associates Total Defense 是 由 CA 公 司 提 供 用 于 防 范 常 见 网 络 攻 击 的 安 全 软<br />
件 。 本 周 ,Computer Associates Total Defense 出 现 了 一 个 远 程 代 码 执 行 漏 洞 和 多 个 SQL<br />
注 入 漏 洞 。 远 程 攻 击 者 可 以 利 用 漏 洞 操 作 数 据 库 或 以 数 据 库 上 下 文 执 行 任 意 代 码 。<strong>CNVD</strong><br />
收 录 的 相 关 漏 洞 包 括 :Computer Associates Total Defense \'UNCSW\' 服 务 远 程 代 码 执 行 漏<br />
洞 、Computer Associates Total Defense 中 UnAssignFunctionalUsers 存 储 过 程 安 全 漏 洞 、Co<br />
mputer Associates Total Defense 中 RegenerateReport 存 储 过 程 安 全 漏 洞 、Computer Associ<br />
ates Total Defense 中 UnassignAdminRoles 存 储 过 程 安 全 漏 洞 、Computer Associates Total<br />
Defense 中 DeleteFilter 存 储 过 程 安 全 漏 洞 、Computer Associates Total Defense 中 NonAssig<br />
nedUserList 存 储 过 程 安 全 漏 洞 、Computer Associates Total Defense 中 DeleteReportLayout<br />
存 储 过 程 安 全 漏 洞 、Computer Associates Total Defense 中 DeleteReports 存 储 过 程 安 全 漏 洞 。<br />
上 述 漏 洞 的 综 合 评 级 均 为 “ 高 危 ”。 厂 商 已 经 发 布 这 些 漏 洞 的 补 丁 程 序 ,<strong>CNVD</strong> 提 醒 相 关 用<br />
户 及 时 获 取 补 丁 程 序 进 行 修 补 。<br />
参 考 链 接 :http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05037<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05038<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05039<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05040<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05041<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05043<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05044<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05045
3、 Adobe Flash Player 'SWF' 文 件 远 程 内 存 破 坏 漏 洞<br />
本 周 ,HP 的 产 品 Photosmart 打 印 机 和 HP-UX 操 作 系 统 存 在 多 个 安 全 漏 洞 。<strong>CNVD</strong> 收<br />
录 的 相 关 漏 洞 包 括 :HP Photosmart 打 印 机 敏 感 信 息 泄 露 漏 洞 (CVE-2011-1531)、 HP<br />
Photosmart 打 印 机 webscan 组 件 信 息 泄 露 漏 洞 (CVE-2011-1532)、 HP Photosmart 打 印 机<br />
SNMP 组 件 信 息 泄 露 漏 洞 (CVE-2011-1533)、 HP-UX 未 明 远 程 拒 绝 服 务 漏 洞 。 攻 击 者 可 以<br />
利 用 漏 洞 发 起 跨 站 脚 本 或 拒 绝 服 务 攻 击 , 获 得 敏 感 信 息 或 劫 持 目 标 用 户 会 话 。 目 前 ,HP 已<br />
经 发 布 了 补 丁 程 序 ,<strong>CNVD</strong> 提 醒 广 大 用 户 及 时 下 载 修 复 。<br />
参 考 链 接 :http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-04993<br />
4、HP 产 品 安 全 漏 洞<br />
本 周 ,HP 的 产 品 Photosmart 打 印 机 和 HP-UX 操 作 系 统 存 在 多 个 安 全 漏 洞 。<strong>CNVD</strong> 收<br />
录 的 相 关 漏 洞 包 括 :HP Photosmart 打 印 机 敏 感 信 息 泄 露 漏 洞 (CVE-2011-1531)、 HP Phot<br />
osmart 打 印 机 webscan 组 件 信 息 泄 露 漏 洞 (CVE-2011-1532)、HP Photosmart 打 印 机 SNMP<br />
组 件 信 息 泄 露 漏 洞 (CVE-2011-1533)、 HP-UX 未 明 远 程 拒 绝 服 务 漏 洞 。 攻 击 者 可 以 利 用 漏<br />
洞 发 起 跨 站 脚 本 或 拒 绝 服 务 攻 击 , 获 得 敏 感 信 息 或 劫 持 目 标 用 户 会 话 。 目 前 ,HP 已 经 发 布<br />
了 补 丁 程 序 ,<strong>CNVD</strong> 提 醒 广 大 用 户 及 时 下 载 修 复 。<br />
参 考 链 接 :http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-04995<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-04996<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-04997<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-04998<br />
5、NullSoft Winamp 缓 冲 区 溢 出 漏 洞<br />
Winamp 是 一 款 流 行 的 媒 体 播 放 器 程 序 。 本 周 ,Winamp 出 现 了 两 个 综 合 评 级 为 “ 高 危 ”<br />
的 缓 冲 区 溢 出 漏 洞 , 远 程 攻 击 者 可 以 利 用 漏 洞 在 受 影 响 的 程 序 中 执 行 任 意 代 码 。<strong>CNVD</strong> 收<br />
录 的 漏 洞 包 括 :Winamp '.wlz' 文 件 远 程 缓 冲 区 溢 出 漏 洞 、Winamp '.m3u8' 文 件 远 程 缓 冲 区 溢<br />
出 漏 洞 。 目 前 , 互 联 网 上 已 经 出 现 针 对 这 两 个 漏 洞 的 攻 击 代 码 , 主 要 影 响 NullSoft Winamp<br />
5.6.1 版 本 。 厂 商 尚 未 发 布 这 两 个 漏 洞 的 补 丁 ,<strong>CNVD</strong> 建 议 用 户 及 时 关 注 厂 商 主 页 , 以 获 取<br />
补 丁 程 序 或 最 新 版 本 。<br />
参 考 链 接 :http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05035<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05036<br />
小 结 : 本 周 ,Microsoft 发 布 安 全 公 告 , 修 复 了 包 含 Windows 操 作 系 统 ,Office 软 件 ,IE<br />
浏 览 器 , 服 务 器 软 件 , 开 发 工 具 等 产 品 在 的 多 个 安 全 漏 洞 。 攻 击 者 可 以 利 用 这 些 漏 洞 发 起 攻 击 ,<br />
攻 击 一 旦 成 功 则 可 在 受 害 主 机 上 执 行 任 意 代 码 , 窃 取 敏 感 信 息 或 提 升 特 权 , 对 广 大 微 软 用 户 构<br />
成 较 严 重 威 胁 。Computer Associates Total Defense 出 现 多 个 高 危 安 全 漏 洞 , 允 许 攻 击 者 利 用 漏 洞<br />
操 作 数 据 库 或 以 数 据 库 上 下 文 执 行 任 意 代 码 。 此 外 ,Adobe 应 用 产 品 、HP 应 用 产 品 和 Winamp<br />
播 放 器 也 出 现 了 多 个 安 全 漏 洞 , 一 些 漏 洞 的 攻 击 代 码 也 随 即 在 互 联 网 上 公 开 , 对 使 用 上 述 产 品
的 用 户 构 成 较 大 威 胁 。 请 使 用 上 述 软 件 的 相 关 机 构 和 个 人 及 时 采 取 安 全 防 范 措 施 。<br />
本 周 重 要 漏 洞 修 补 信 息<br />
本 周 , <strong>CNVD</strong> 整 理 和 发 布 以 下 重 要 安 全 修 补 信 息 。<br />
1、 Linux 发 布 升 级 程 序 , 修 补 Kernel 多 个 安 全 漏 洞<br />
本 周 ,Linux 发 布 升 级 程 序 , 修 补 了 Linux Kernel( 内 核 ) 存 在 的 多 个 安 全 漏 洞 。 攻 击<br />
者 利 用 漏 洞 可 以 发 起 拒 绝 服 务 攻 击 , 使 内 核 崩 溃 。<strong>CNVD</strong> 已 收 录 相 关 补 丁 , 请 广 大 用 户 及<br />
时 下 载 更 新 , 避 免 引 发 漏 洞 相 关 的 安 全 事 件 。<br />
补 丁 下 载 链 接 : http://www.cnvd.org.cn/patch/3496<br />
http://www.cnvd.org.cn/patch/3481<br />
http://www.cnvd.org.cn/patch/3482<br />
本 周 要 闻 速 递<br />
1. 甲 骨 文 19 日 推 出 重 要 安 全 补 丁<br />
4 月 17 日 消 息 , 据 国 外 媒 体 报 道 , 甲 骨 文 提 前 宣 布 将 于 下 周 二 (19 日 ) 推 出 4 月 重 要<br />
安 全 补 丁 更 新 , 解 决 25 种 产 品 的 73 个 安 全 问 题 。 涉 及 的 产 品 有 甲 骨 文 数 据 库 11g,Fusion<br />
中 间 件 , 应 用 程 序 服 务 器 和 People Enterprise 平 台 等 。 甲 骨 文 数 据 库 服 务 器 这 次 会 进 行 6<br />
个 漏 洞 的 更 新 , 其 中 2 个 可 能 导 致 黑 客 无 需 使 用 用 户 名 登 录 , 就 可 以 对 数 据 进 行 远 程 控 制 。<br />
Fusion 中 间 件 更 新 包 含 了 9 个 补 丁 , 其 中 6 个 也 可 以 被 黑 客 用 于 远 程 控 制 。Sun 产 品 此 次<br />
共 计 更 新 18 个 漏 洞 , 甲 骨 文 表 示 其 中 7 个 都 是 涉 及 远 程 控 制 的 。 甲 骨 文 此 次 更 新 的 推 出 可<br />
谓 是 迎 合 了 最 近 安 全 更 新 的 大 趋 势 , 微 软 日 前 刚 刚 推 出 了 多 个 漏 洞 的 补 丁 。 苹 果 iOS、Saf<br />
ari 和 MacOS X 也 推 出 了 更 新 包 ,Adobe 即 将 推 出 针 对 Flash Player 的 漏 洞 更 新 。<br />
参 考 链 接 :http://news.ccidnet.com/art/1032/20110417/2365155_1.html<br />
2. 苹 果 公 司 推 出 iOS 系 统 最 新 版<br />
苹 果 公 司 于 北 京 时 间 2011 年 4 月 15 日 , 正 式 推 出 iOS 系 统 的 最 新 版 iOS 4.3.2, 用 户<br />
可 以 将 自 己 的 iOS 设 备 通 过 iTunes 进 行 升 级 。iOS 4.3.2 修 复 了 3G 连 接 、Facetime 等 功 能<br />
中 的 问 题 。iOS 4.3.2 适 用 于 iPhone 3GS、iPhone 4、iPod Touch 3 和 4、iPad 以 及 iPad 2。 苹<br />
果 公 司 放 出 iOS 4.3.2 升 级 仅 几 个 小 时 , 即 有 黑 客 放 出 了 iOS 4.3.2 的 越 狱 方 法 。 黑 客 针 对<br />
iPhone 采 用 的 越 狱 工 具 是 Redsn0w 0.9.6, 针 对 iPod Touch 和 iPad 则 是 使 用 的 PwnageTool,<br />
适 用 于 Windows 和 Mac 平 台 。<br />
参 考 链 接 :http://www.hackbase.com/news/2011-04-15/54742.html
关 于 <strong>CNVD</strong><br />
国 家 信 息 安 全 漏 洞 共 享 平 台 (China National Vulnerability Database, 简 称 <strong>CNVD</strong>) 是<br />
CNCERT 联 合 国 内 重 要 信 息 系 统 单 位 、 基 础 电 信 运 营 商 、 网 络 安 全 厂 商 、 软 件 厂 商 和 互 联<br />
网 企 业 建 立 的 信 息 安 全 漏 洞 信 息 共 享 知 识 库 , 致 力 于 建 立 国 家 统 一 的 信 息 安 全 漏 洞 收 集 、<br />
发 布 、 验 证 、 分 析 等 应 急 处 理 体 系 。<br />
关 于 CNCERT<br />
国 家 互 联 网 应 急 中 心 的 全 称 是 国 家 计 算 机 网 络 应 急 技 术 处 理 协 调 中 心 ( 英 文 简 称 是<br />
CNCERT 或 CNCERT/CC) 成 立 于 1999 年 9 月 , 是 工 业 和 信 息 化 部 领 导 下 的 国 家 级 网 络 安<br />
全 应 急 机 构 , 致 力 于 建 设 国 家 级 的 网 络 安 全 监 测 中 心 、 预 警 中 心 和 应 急 中 心 , 以 支 撑 政 府<br />
主 管 部 门 履 行 网 络 安 全 相 关 的 社 会 管 理 和 公 共 服 务 职 能 , 支 持 基 础 信 息 网 络 的 安 全 防 护 和<br />
安 全 运 行 , 支 援 重 要 信 息 系 统 的 网 络 安 全 监 测 、 预 警 和 处 置 ; 国 家 互 联 网 应 急 中 心 在 我 国<br />
大 陆 31 个 省 、 自 治 区 、 直 辖 市 设 有 分 中 心 。<br />
网 址 :www.cert.org.cn<br />
邮 箱 :vreport@cert.org.cn<br />
电 话 :010-82990999