You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
p<br />
国 家 信 息 安 全 漏 洞 共 享 平 台 (<strong>CNVD</strong>)<br />
信 息 安 全 漏 洞 周 报<br />
2011 年 6 月 13 日 -2011 年 6 月 19 日 2011 年 第 24 期<br />
本 周 漏 洞 基 本 情 况<br />
本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为 高 。<br />
国 家 信 息 安 全 漏 洞 共 享 平 台 ( 以 下 简 称 <strong>CNVD</strong>) 本 周 共 收 集 、 整 理 信 息 安 全 漏 洞 108<br />
个 , 其 中 高 危 漏 洞 73 个 、 中 危 漏 洞 31 个 、 低 危 漏 洞 4 个 。 上 述 漏 洞 中 , 可 利 用 来 实 施 远<br />
程 攻 击 的 漏 洞 有 101 个 。 网 上 已 经 出 现 针 对 “Gogago YouTube Video Converter ActiveX<br />
控 件 'Download()' 方 法 缓 冲 区 溢 出 漏 洞 ”、“Opera Web Browser 拒 绝 服 务 漏 洞 ” 等 的 零 日 攻<br />
击 代 码 , 请 使 用 相 关 产 品 的 用 户 注 意 做 好 防 护 措 施 。 本 周 收 录 的 漏 洞 中 , 已 有 88 个 漏 洞 由<br />
厂 商 提 供 了 修 补 方 案 , 建 议 用 户 及 时 下 载 补 丁 更 新 程 序 , 避 免 遭 受 网 络 攻 击 。<br />
成 员 单 位 报 送 漏 洞 统 计<br />
本 周 , 共 有 5 家 成 员 单 位 报 送 了 本 周 收 录 的 全 部 108 个 漏 洞 , 各 单 位 报 送 情 况 如 表<br />
1 所 示 。 其 中 , 启 明 星 辰 、 绿 盟 科 技 、 恒 安 嘉 新 报 送 的 数 量 较 多 。 另 外 , 知 道 创 宇 公 司<br />
报 送 了 广 东 移 动 网 站 列 目 录 漏 洞 , 该 漏 洞 事 件 转 由 国 家 互 联 网 应 急 中 心 (CNCERT) 纳<br />
入 安 全 事 件 处 置 流 程 , 未 分 配 <strong>CNVD</strong> 漏 洞 编 号 。<br />
报 送 单 位 或 个 人 漏 洞 报 送 数 量 私 有 漏 洞 数 量<br />
启 明 星 辰 102 0<br />
绿 盟 科 技 49 0<br />
恒 安 嘉 新 28 0<br />
东 软 4 0<br />
知 道 创 宇 1 1<br />
总 计 108( 去 重 ) 1<br />
表 1 成 员 单 位 上 报 漏 洞 统 计 表<br />
本 周 ,<strong>CNVD</strong> 整 理 和 发 布 的 漏 洞 涉 及 Microsoft、Adobe、Sun、Siemens、Google 等<br />
多 家 厂 商 的 产 品 , 漏 洞 数 量 按 厂 商 统 计 如 表 2 所 示 。
序 号 厂 商 ( 产 品 ) 漏 洞 数 量 所 占 比 例<br />
1 Microsoft 31 28.7%<br />
2 Adobe 29 26.9%<br />
3 RedHat 10 9.3%<br />
4 Sun 9 8.3%<br />
5 OProfile 3 2.8%<br />
6 IBM 2 1.9%<br />
7 Siemens 2 1.9%<br />
8 ClearSCADA 2 1.9%<br />
9 Joomla! 1 0.9%<br />
10 Google 1 0.9%<br />
11 其 他 18 16.4%<br />
表 2 漏 洞 产 品 涉 及 厂 商 分 类 统 计<br />
本 周 重 要 漏 洞 信 息<br />
本 周 ,<strong>CNVD</strong> 整 理 和 发 布 以 下 重 要 安 全 漏 洞 信 息 。<br />
1、 Siemens SIMATIC S7-1200 安 全 漏 洞<br />
Siemens SIMATIC S7-1200 是 西 门 子 推 出 的 一 款 模 块 化 控 制 器 。 本 周 ,<strong>CNVD</strong> 收 录<br />
了 该 产 品 被 披 露 两 个 漏 洞 。“Siemens SIMATIC S7-1200 控 制 器 指 令 重 放 漏 洞 ” 是 由 于 控<br />
制 器 引 擎 软 件 向 可 编 程 逻 辑 控 制 器 发 送 未 加 密 数 据 , 通 过 发 起 中 间 人 攻 击 重 放 引 擎 软 件<br />
发 送 的 指 令 ; 而 “Siemens SIMATIC S7-1200 控 制 器 拒 绝 服 务 漏 洞 ” 则 是 由 于 WEB 服<br />
务 器 存 在 一 个 未 明 错 误 , 可 触 发 拒 绝 服 务 攻 击 。 上 述 漏 洞 的 综 合 评 级 均 为 “ 高 危 ”。 目 前 ,<br />
厂 商 已 经 发 布 安 全 补 丁 ,<strong>CNVD</strong> 提 醒 相 关 用 户 及 时 获 取 补 丁 程 序 进 行 修 补 。<br />
参 考 链 接 :http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05921<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05920<br />
2、 TurboCMS 产 品 安 全 漏 洞<br />
TurboCMS 是 一 款 企 业 级 内 容 管 理 软 件 平 台 与 整 体 解 决 方 案 。6 月 4 日 ,<strong>CNVD</strong> 接 到<br />
中 国 电 力 科 学 研 究 院 信 息 安 全 实 验 室 报 送 的 TurboCMS 内 容 管 理 系 统 存 在 的 4 个 安 全 漏<br />
洞 。<strong>CNVD</strong> 对 该 漏 洞 进 行 了 验 证 和 测 试 , 确 定 了 漏 洞 的 危 害 程 度 , 并 于 本 周 正 式 发 布 。<br />
攻 击 者 可 以 利 用 漏 洞 进 行 跨 站 脚 本 、SQL 注 入 攻 击 , 或 上 传 脚 本 木 马 获 取 服 务 器 控 制 权<br />
限 。<strong>CNVD</strong> 收 录 的 漏 洞 包 括 :TurboCMS Java 内 容 管 理 系 统 跨 站 脚 本 漏 洞 、TurboCMS<br />
Java 内 容 管 理 系 统 注 入 漏 洞 、TurboCMS Java 内 容 管 理 系 统 上 传 漏 洞 、TurboCMS Java
内 容 管 理 系 统 特 权 提 升 漏 洞 。 除 “TurboCMS Java 内 容 管 理 系 统 跨 站 脚 本 漏 洞 ” 综 合 评<br />
级 为 “ 中 危 ” 外 , 其 余 漏 洞 的 综 合 评 级 均 为 “ 高 危 ”。 根 据 协 调 的 情 况 , 厂 商 将 于 六 月 底<br />
至 七 月 中 旬 陆 续 开 发 完 成 这 些 漏 洞 的 补 丁 程 序 , 建 议 相 关 用 户 根 据 暂 时 通 过 限 制 通 过 互<br />
联 网 访 问 后 台 的 方 式 进 行 安 全 控 制 , 避 免 诱 发 攻 击 事 件 。<br />
参 考 链 接 :http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05702<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05701<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05700<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05699<br />
3、Microsoft 产 品 安 全 漏 洞<br />
6 月 14 日 , 微 软 发 布 了 2011 年 6 月 份 的 月 度 例 行 安 全 公 告 , 共 包 含 16 项 安 全 更 新 。<br />
其 中 ,9 项 更 新 的 综 合 评 级 为 “ 严 重 ”, 另 外 7 项 更 新 的 综 合 评 级 为 “ 重 要 ”。 本 次 发 布<br />
的 安 全 更 新 修 复 了 Windows、.NET Framework、Silverlight、Forefront Threat Manageme<br />
nt Gateway、Internet Explorer、Office、SQL Server 和 Visual Studio 多 个 产 品 中 存 在 的 3<br />
4 个 安 全 漏 洞 , 包 括 近 日 被 披 露 的 影 响 IE 所 有 版 本 的 IE cookie 劫 持 漏 洞 。 攻 击 者 可 以<br />
利 用 这 些 漏 洞 远 程 执 行 任 意 代 码 、 窃 取 敏 感 信 息 、 提 升 特 权 或 进 行 拒 绝 服 务 攻 击 。CNV<br />
D 收 录 的 相 关 漏 洞 包 括 :Microsoft .NET Framework JIT 对 象 校 验 漏 洞 、Microsoft Inter<br />
net Explorer Time 元 素 未 初 始 化 内 存 远 程 代 码 执 行 漏 洞 、Microsoft Windows 'win32k.sy<br />
s' OpenType 字 体 解 析 远 程 代 码 执 行 漏 洞 、Microsoft Windows SMB Server 远 程 拒 绝 服 务<br />
漏 洞 、Microsoft Silverlight 非 法 数 组 偏 移 远 程 代 码 执 行 漏 洞 (CVE-2011-0664)、Microsoft<br />
Forefront Threat Management Gateway (TMG) 防 火 墙 客 户 端 内 存 破 坏 漏 洞 等 。 上 述 漏 洞<br />
的 综 合 评 级 均 为 “ 高 危 ”。<strong>CNVD</strong> 提 醒 广 大 Microsoft 用 户 尽 快 下 载 补 丁 更 新 , 避 免 引 发<br />
漏 洞 相 关 的 网 络 安 全 事 件 。<br />
参 考 链 接 :http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05906<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05874<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05872<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05870<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05862<br />
4、Adobe 产 品 安 全 漏 洞<br />
本 周 ,Adobe 在 官 网 发 布 安 全 公 告 , 修 复 了 Adobe Shockwave Player、LifeCycle D<br />
ata Services、BlazeDS、 Flash Player、ColdFusion 等 多 个 产 品 存 在 的 安 全 漏 洞 。 攻 击 者<br />
可 以 利 用 漏 洞 远 程 执 行 任 意 代 码 、 进 行 拒 绝 服 务 攻 击 或 以 管 理 员 权 限 执 行 恶 意 操 作 。CN<br />
VD 收 录 的 相 关 漏 洞 包 括 :Adobe Shockwave Player 内 存 破 坏 漏 洞 (CVE-2011-2128)、<br />
Adobe LiveCycle Data Services 和 BlazeDS 存 在 多 个 安 全 漏 洞 、Adobe Flash Player 远<br />
程 内 存 破 坏 漏 洞 (CVE-2011-2110)、 Adobe ColdFusion 远 程 拒 绝 服 务 漏 洞 (CVE-2011-2<br />
091)、 Adobe Shockwave Player 缓 冲 区 溢 出 漏 洞 (CVE-2011-2126) 等 。<strong>CNVD</strong> 提 醒 广
大 Adobe 用 户 尽 快 下 载 补 丁 更 新 , 避 免 引 发 漏 洞 相 关 的 网 络 安 全 事 件 。<br />
参 考 链 接 :http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05931<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05905<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05904<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05903<br />
http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05901<br />
5、Gogago YouTube Video Converter ActiveX 控 件 缓 冲 区 溢 出 漏 洞<br />
Gogago YouTube Video Converter 是 一 款 视 频 转 换 工 具 。 本 周 ,Gogago YouTube V<br />
ideo Converter 存 在 一 个 缓 冲 区 溢 出 漏 洞 。 该 漏 洞 是 由 于 用 户 提 供 给 "bsURL" 参 数 的 数 据<br />
在 拷 贝 到 MDIEEx.dll 文 件 中 "Download()" 方 法 缓 冲 区 时 缺 少 充 分 的 边 界 检 查 , 攻 击 者 可<br />
以 构 建 嵌 入 恶 意 代 码 的 网 站 页 面 , 诱 使 用 户 访 问 , 进 而 以 应 用 程 序 上 下 文 执 行 任 意 代 码 。<br />
目 前 , 互 联 网 上 已 经 出 现 针 对 该 漏 洞 的 攻 击 代 码 , 主 要 影 响 Gogago YouTube Video Co<br />
nverter 1.1.6 版 本 。 厂 商 尚 未 发 布 该 漏 洞 的 补 丁 程 序 ,<strong>CNVD</strong> 提 醒 广 大 用 户 随 时 关 注 厂 商<br />
主 页 获 取 最 新 版 本 。<br />
参 考 链 接 :http://www.cnvd.org.cn/vulnerability/<strong>CNVD</strong>-2011-05929<br />
小 结 : 本 周 ,<strong>CNVD</strong> 收 录 了 Siemens SIMATIC S7-1200 控 制 器 存 在 的 两 个 安 全 漏 洞 ,<br />
攻 击 者 可 以 利 用 漏 洞 重 放 控 制 指 令 或 进 行 拒 绝 服 务 攻 击 , 对 使 用 Siemens 该 产 品 的 用 户<br />
构 成 较 为 严 重 的 威 胁 。 根 据 互 联 网 上 公 开 的 信 息 , 漏 洞 报 告 者 对 西 门 子 公 司 发 布 的 官 方<br />
补 丁 有 效 性 存 疑 。<strong>CNVD</strong> 还 发 布 了 本 月 初 收 录 的 中 国 电 力 科 学 研 究 院 信 息 安 全 实 验 室 报<br />
送 的 TurboCMS 内 容 管 理 系 统 存 在 的 4 个 安 全 漏 洞 。Microsoft 和 Adobe 均 发 布 安 全 公 告 ,<br />
修 复 多 个 产 品 安 全 漏 洞 。 此 外 ,Gogago YouTube Video Converter 零 日 漏 洞 也 对 使 用 该<br />
产 品 的 用 户 构 成 较 大 威 胁 。 请 使 用 上 述 软 件 的 相 关 机 构 和 个 人 及 时 采 取 安 全 防 范 措 施 。<br />
本 周 重 要 漏 洞 修 补 信 息<br />
本 周 , <strong>CNVD</strong> 整 理 和 发 布 以 下 重 要 安 全 修 补 信 息 。<br />
1、 Oracle 发 布 升 级 程 序 , 修 补 多 个 产 品 安 全 漏 洞<br />
本 周 ,Oracle 发 布 升 级 程 序 , 修 补 JRE、JDK 等 多 个 产 品 的 安 全 漏 洞 。 远 程 攻 击 者<br />
可 以 利 用 漏 洞 执 行 任 意 代 码 。<strong>CNVD</strong> 已 收 录 相 关 补 丁 , 请 广 大 用 户 及 时 下 载 更 新 , 避 免<br />
引 发 漏 洞 相 关 的 安 全 事 件 。<br />
补 丁 下 载 链 接 :http://www.cnvd.org.cn/patch/4089<br />
http://www.cnvd.org.cn/patch/4098<br />
http://www.cnvd.org.cn/patch/4097<br />
http://www.cnvd.org.cn/patch/4096
本 周 要 闻 速 递<br />
1. 微 软 发 布 2011 年 6 月 安 全 补 丁 公 告<br />
北 京 时 间 6 月 15 日 凌 晨 , 微 软 向 全 球 用 户 发 布 了 16 个 安 全 补 丁 , 用 于 修 复 Windows、<br />
IE、Office、SQL Server 和 其 它 产 品 中 的 多 个 安 全 漏 洞 , 补 丁 规 模 之 大 仅 次 于 4 月 安 全 更<br />
新 。 其 中 , 今 年 刚 刚 亮 相 的 IE 9 浏 览 器 也 将 首 次 接 受 漏 洞 修 复 。 微 软 6 月 安 全 公 告 显 示 ,<br />
本 次 16 个 补 丁 中 有 9 个 被 定 为 “ 高 危 ” 级 别 , 其 他 补 丁 则 被 定 为 “ 重 要 ”。 值 得 关 注 的<br />
是 ,IE 浏 览 器 本 月 需 要 修 复 2 个 “ 高 危 ” 漏 洞 补 丁 , 涉 及 今 年 3 月 中 旬 发 布 的 IE9, 这<br />
也 将 成 为 IE 9 自 问 世 以 来 的 首 个 补 丁 。 安 全 专 家 认 为 :“ 网 络 安 全 是 一 个 长 期 的 攻 防 过 程 。<br />
尽 管 IE9 在 隐 私 保 护 方 面 非 常 出 色 , 但 如 果 用 户 不 慎 打 开 恶 意 网 站 , 黑 客 仍 有 可 能 利 用<br />
漏 洞 窃 取 IE9 浏 览 器 的 cookie, 从 而 获 取 受 害 者 的 重 要 帐 号 登 录 信 息 , 如 邮 箱 、 微 博 等 。<br />
因 此 , 电 脑 及 时 打 补 丁 修 复 漏 洞 才 能 提 升 安 全 防 护 能 力 。 据 悉 , 本 月 微 软 安 全 更 新 除 了<br />
2 个 影 响 IE 的 补 丁 外 , 还 有 10 个 Windows 补 丁 、2 个 Office 补 丁 、1 个 Forefront 安 全<br />
客 户 端 补 丁 , 以 及 1 个 .Net 和 Silverlight 补 丁 , 影 响 所 有 版 本 的 Windows 操 作 系 统 和 相<br />
关 软 件 , 包 括 最 新 的 Windows 7 系 统 。<br />
参 考 链 接 :http://finance.sina.com.cn/20110615/10439994203.shtml<br />
2. Adobe Flash Player 又 曝 高 危 漏 洞 用 户 需 立 即 升 级<br />
Flash Player 近 日 频 频 曝 出 安 全 漏 洞 , 本 周 ,Adobe 再 次 对 Flash 版 本 进 行 了 升 级 ,<br />
主 要 修 复 了 一 个 高 危 漏 洞 , 这 个 内 存 损 坏 (memory corruption) 漏 洞 会 导 致 受 感 染 系 统<br />
被 攻 击 者 控 制 。 幸 运 的 是 , 这 个 问 题 不 影 响 Adobe Reader 和 Acrobat X 产 品 。 受 此 漏 洞<br />
影 响 的 Flash 包 括 :(1)Windows、Mac、Linux 和 Solaris 系 统 上 的 Flash Player 10.3.181.23<br />
及 之 前 版 本 ;(2)Android 系 统 上 的 Flash Player 10.3.185.23 及 之 前 版 本 。Adobe 建 议<br />
Windows、Mac、Linux 和 Solaris 用 户 升 级 至 最 新 的 10.3.181.26。<br />
参 考 链 接 :http://news.newhua.com/news/2011/0615/124869.shtml
关 于 <strong>CNVD</strong><br />
国 家 信 息 安 全 漏 洞 共 享 平 台 (China National Vulnerability Database, 简 称 <strong>CNVD</strong>) 是<br />
CNCERT 联 合 国 内 重 要 信 息 系 统 单 位 、 基 础 电 信 运 营 商 、 网 络 安 全 厂 商 、 软 件 厂 商 和 互<br />
联 网 企 业 建 立 的 信 息 安 全 漏 洞 信 息 共 享 知 识 库 , 致 力 于 建 立 国 家 统 一 的 信 息 安 全 漏 洞 收<br />
集 、 发 布 、 验 证 、 分 析 等 应 急 处 理 体 系 。<br />
关 于 CNCERT<br />
国 家 互 联 网 应 急 中 心 的 全 称 是 国 家 计 算 机 网 络 应 急 技 术 处 理 协 调 中 心 ( 英 文 简 称 是<br />
CNCERT 或 CNCERT/CC) 成 立 于 1999 年 9 月 , 是 工 业 和 信 息 化 部 领 导 下 的 国 家 级 网 络<br />
安 全 应 急 机 构 , 致 力 于 建 设 国 家 级 的 网 络 安 全 监 测 中 心 、 预 警 中 心 和 应 急 中 心 , 以 支 撑<br />
政 府 主 管 部 门 履 行 网 络 安 全 相 关 的 社 会 管 理 和 公 共 服 务 职 能 , 支 持 基 础 信 息 网 络 的 安 全<br />
防 护 和 安 全 运 行 , 支 援 重 要 信 息 系 统 的 网 络 安 全 监 测 、 预 警 和 处 置 ; 国 家 互 联 网 应 急 中<br />
心 在 我 国 大 陆 31 个 省 、 自 治 区 、 直 辖 市 设 有 分 中 心 。<br />
网 址 :www.cert.org.cn<br />
邮 箱 :vreport@cert.org.cn<br />
电 话 :010-82990999
Change language