信息安全漏洞月报(2021年2月)
2021-03-05 18:09:33 Author: sec.thief.one(查看原文) 阅读量:186 收藏

本文来自公众号:CNNVD安全动态   2021.03.05 17:09:33

漏洞态势

根据国家信息安全漏洞库(CNNVD)统计,2021年2月份采集安全漏洞共1536个。

本月接报漏洞6087个,其中信息技术产品漏洞(通用型漏洞)189个,网络信息系统漏洞(事件型漏洞)5898个。

重大漏洞预警

Sonicwall SMA100 SQL 注入漏洞(CNNVD-202102-394、CVE-2021-20016):成功利用漏洞的攻击者可以在未授权的情况下远程控制目标设备。Sonic SMA 10.2.0.5之前的版本均受漏洞影响。目前,SonicWall官方已发布版本更新修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

VMware 多个安全漏洞:包括VMware vSphere Client 安全漏洞(CNNVD-202102-1566、CVE-2021-21972)、VMware ESXi 安全漏洞(CNNVD-202102-1560、CVE-2021-21974)。成功利用漏洞的攻击者可以在目标系统中远程执行恶意代码。目前官方已在最新版本中修复了该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

漏洞态势

一、公开漏洞情况

根据国家信息安全漏洞库( CNNVD )统计, 2021 2 月份新增安全漏洞共 1536 个,从厂商分布来看,思科公司产品的漏洞数量最多,共发布 75 个;从漏洞类型来看,缓冲区错误类的漏洞占比最大,达到 11.33% 。本月新增漏洞中,超危漏洞 220 个、高危漏洞 668 个、中危漏洞 615 个、低危漏洞 33 个,相应修复率分别为 79.55% 90.87% 90.24% 以及 96.97% 。合计 1369 个漏洞已有修复补丁发布,本月整体修复率 89.13%

截至 2021 02 28 日, CNNVD 采集漏洞总量已达 158805 个。

1.1 漏洞增长概况

1 2020 9 月至 2021 2 月漏洞新增数量统计图

2021 2 月新增安全漏洞 1536 个,与上月( 1545 个)相比减少了 0.58% 。根据近 6 个月来漏洞新增数量统计图,平均每月漏洞数量达到 1485 个。

1.2 漏洞分布 情况

1.2.1漏洞厂商分布

2 月厂商漏洞数量分布情况如表 1 所示,思科公司漏洞达到 75 个,占本月漏洞总量的 4.88%

1  2021 2 月排名前十厂商新增安全漏洞统计表

序号

厂商名称

漏洞数量

所占比例

1

思科

75

4.88%

2

苹果

64

4.17%

3

微软

60

3.91%

4

谷歌

60

3.91%

5

Intel

60

3.91%

6

IBM

55

3.58%

7

Adobe

37

2.41%

8

Qualcomm

30

1.95%


Mozilla 基金会

26

1.69%


JetBrains

26

1.69%

1.2.2漏洞产品分布

2 月主流操作系统的漏洞统计情况如表 2 所示。 本月 Android 漏洞数量最多,共 33 个,占主流操作系统漏洞总量的 15.71% ,排名第一。

2 2021 2 月主流操作系统漏洞数量统计

序号

操作系统名称

漏洞数量

1

Android

33

2

Windows  10

27

3

Windows  Server 2019

27

4

Windows  Server 2016

21

5

Windows  Server 2012

16

6

Windows  Server 2012 R2

16

7

Windows  8.1

15

8

Windows  Rt 8.1

14

9

Windows  Server 2008

14

10

Windows  Server 2008 R2

14

11

Windows  7

13

1.2.3 漏洞类型分布

2 月份发布的漏洞类型分布如表 3 所示,其中缓冲区错误类漏洞所占比例最大,约为 11.33%

3 2021 2 月漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

缓冲区错误

174

11.33%

2

跨站脚本

124

8.07%

3

信息泄露

88

5.73%

4

代码问题

86

5.60%

5

资源管理错误

85

5.53%

6

输入验证错误

71

4.62%

7

访问控制错误

68

4.43%

8

信任管理问题

50

3.26%

9

SQL 注入

45

2.93%

10

授权问题

43

2.80%

11

命令注入

40

2.60%

12

路径遍历

36

2.34%

13

操作系统命令注入

29

1.89%

14

跨站请求伪造

25

1.63%

15

注入

23

1.50%

16

权限许可和访问控制问题

21

1.37%

17

安全特征问题

19

1.24%

18

加密问题

14

0.91%

19

代码注入

13

0.85%

20

数据伪造问题

7

0.46%

21

环境问题

5

0.33%

22

数字错误

5

0.33%

23

默认配置问题

5

0.33%

24

竞争条件问题

4

0.26%

25

后置链接

4

0.26%

26

日志信息泄露

4

0.26%

27

参数注入

4

0.26%

28

处理逻辑错误

1

0.07%

29

格式化字符串错误

1

0.06%

30

其他

439

28.58%

1.2.4漏洞危害等级分布

根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。 2 月漏洞危害等级分布如图 2 所示,其中超危漏洞 220 条,占本月漏洞总数的 14.32%

2 2021 2 月漏洞危害等级分布

1.3 漏洞修复情况

1.3.1  整体修复情况

2 月漏洞修复情况按危害等级进行统计见图 3 。其中低危漏洞修复率最高,达到 96.97% ,超危漏洞修复率最低,比例为 79.55% 。总体来看,本月整体修复率,由上月的 88.35% 上升至本月的 89.13%

3 2021 2 漏洞修复数量统计

1.3.2  厂商修复情况

2 月漏洞修复情况按漏洞数量前十厂商进行统计,其中思科、苹果、微软等十个厂商共 493 条漏洞,占本月漏洞总数的 32.10% ,漏洞修复率为 100.00% ,详细情况见表 4 。多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中思科、苹果、微软、谷歌、 Intel IBM Adobe Qualcomm Mozilla 基金会、 JetBrains 等公司本月漏洞修复率均为 100% ,共 493 条漏洞已全部修复。

4  2021 2 月厂商修复情况统计表

序号

厂商名称

漏洞数量(个)

修复率

1

思科

75

100.00%

2

苹果

64

100.00%

3

微软

60

100.00%

4

谷歌

60

100.00%

5

Intel

60

100.00%

6

IBM

55

100.00%

7

Adobe

37

100.00%

8

Qualcomm

30

100.00%

9

Mozilla 基金会

26

1 0 0.00 %

10

JetBrains

26

1 0 0.00 %

1.4 重要漏洞实例

1.4.1 超危漏洞实例

本月超危漏洞共220个,其中重要漏洞实例如表5所示。

表5 2021 2 超危漏洞实例

序号

漏洞类型

厂商

CNNVD 编号

漏洞实例

1

SQL 注入

Accellion

CNNVD-202102-1252

Sonicwall SMA100 SQL 注入漏洞( CNNVD-202102-394

Advantech

CNNVD-202102-805

CASAP 组织

CNNVD-202102-1170

CMS

CNNVD-202102-522

CMSWing

CNNVD-202102-018

CNNVD-202102-016

CNNVD-202102-017

Limesurvey 团队

CNNVD-202102-1133

Magento,Adobe

CNNVD-202102-790

Mutare

CNNVD-202102-1189

Sonicwall

CNNVD-202102-394

Sourcecodester 社区

CNNVD-202102-1292

ThinkJS

CNNVD-202102-015

Wordpress 基金会

CNNVD-202102-575

Yccms

CNNVD-202102-026

个人开发者

CNNVD-202102-1172

CNNVD-202102-523

CNNVD-202102-1223

CNNVD-202102-631

CNNVD-202102-013

CNNVD-202102-014

CNNVD-202102-1171

CNNVD-202102-625

CNNVD-202102-524

CNNVD-202102-1169

CNNVD-202102-521

2

代码问题

Accellion

CNNVD-202102-1250

Accellion FTA 代码问题漏洞( CNNVD-202102-1250

Appspace

CNNVD-202102-1645

Automattic

CNNVD-202102-1454

Fortinet

CNNVD-202102-564

Friendica 社区

CNNVD-202102-1369

JetBrains

CNNVD-202102-278

Magento,Adobe

CNNVD-202102-799

Octobercms

CNNVD-202102-531

Phpgurukul

CNNVD-202102-1307

RZK

CNNVD-202102-005

Soar Cloud

CNNVD-202102-1296

Solarwinds

CNNVD-202102-228

Yccms

CNNVD-202102-027

个人开发者

CNNVD-202102-1018

CNNVD-202102-1490

CNNVD-202102-742

CNNVD-202102-1125

CNNVD-202102-1090

CNNVD-202102-1355

3

授权问题

Cisco

CNNVD-202102-356

多款 Cisco 产品授权问题漏洞( CNNVD-202102-341

CNNVD-202102-345

CNNVD-202102-346

CNNVD-202102-341

DELL

CNNVD-202102-773

HCL

CNNVD-202102-389

个人开发者

CNNVD-202102-1056

CNNVD-202102-1000

4

操作系统命令注入

Accellion

CNNVD-202102-1249

Adobe Magento 操作系统命令注入漏洞( CNNVD-202102-795

Kangtaike

CNNVD-202102-1432

Magento,Adobe

CNNVD-202102-798

CNNVD-202102-795

NCR

CNNVD-202102-572

Netis

CNNVD-202102-1377

Svakom

CNNVD-202102-576

个人开发者

CNNVD-202102-1386

CNNVD-202102-189

5

缓冲区错误

Atomi

CNNVD-202102-1177

Qualcomm Video 缓冲区错误漏洞( CNNVD-202102-045

Cesanta

CNNVD-202102-581

CNNVD-202102-585

Facebook

CNNVD-202102-197

GlobalGENIVI 社区

CNNVD-202102-1005

Google

CNNVD-202102-1281

CNNVD-202102-1282

HPE

CNNVD-202102-753

Hilscher

CNNVD-202102-1204

Mitsubishi Electric

CNNVD-202102-1380

Mozilla 基金会

CNNVD-202102-1352

CNNVD-202102-736

CNNVD-202102-737

QANP

CNNVD-202102-1254

Qualcomm

CNNVD-202102-052

CNNVD-202102-045

Teradici

CNNVD-202102-1062

个人开发者

CNNVD-202102-591

CNNVD-202102-988

CNNVD-202102-1303

台湾摩莎

CNNVD-202102-312

群晖科技

CNNVD-202102-1708

CNNVD-202102-1710

6

访问控制错误

Advantech

CNNVD-202102-813

Apache Shiro 访问控制错误漏洞( CNNVD-202102-238

Apache 基金会

CNNVD-202102-238

Cisco

CNNVD-202102-1561

Rainbowfish

CNNVD-202102-321

威联通

CNNVD-202102-292

CNNVD-202102-295

7

资源管理错误

Google

CNNVD-202102-265

Rust yottadb 资源管理错误漏洞( CNNVD-202102-1351

CNNVD-202102-1279

CNNVD-202102-236

CNNVD-202102-1278

LG

CNNVD-202102-391

Mozilla 基金会

CNNVD-202102-1351

Qualcomm

CNNVD-202102-039

个人开发者

CNNVD-202102-931

8

输入验证错误

Mitsubishi Electric

CNNVD-202102-1373

Qualcomm Data Modem 输入验证错误漏洞( CNNVD-202102-071

Owncloud

CNNVD-202102-878

Qualcomm

CNNVD-202102-071

个人开发者

CNNVD-202102-1019

CNNVD-202102-961

CNNVD-202102-918

1. SonicwallSMA100 SQL 注入漏洞( CNNVD-202102-394

Sonicwall SMA100 是美国 Sonicwall 公司的一款安全访问网关设备。

SonicWall SSLVPN SMA100 product 存在 SQL 注入漏洞,该漏洞允许远程未经身份验证的攻击者执行 SQL 查询访问用户名密码和其他会话相关信息。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001

2. Accellion FTA 代码问题漏洞( CNNVD-202102-1250

Accellion FTA 是美国 Accellion 公司的一个企业内容防火墙。提供了一个防止来自第三方网络风险的数据泄露和违规行为。

Accellion FTA 中存在代码问题漏洞,该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://www.accellion.com/products/fta/

3. 多款 Cisco 产品授权问题漏洞( CNNVD-202102-341

Cisco RV160 等都是美国 Cisco 公司的一款应用于企业环境的路由器。

Cisco Small Business RV160, RV160W,RV260, RV260P, and RV260W VPN Routers 存在授权问题漏洞,该漏洞允许未经身份验证的远程攻击者利用该漏洞作为 root 用户在受影响的设备上执行任意代码。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv160-260-rce-XZeFkNHf

4. Adobe Magento 操作系统命令注入漏洞( CNNVD-202102-795

Adobe Magento 是美国奥多比( Adobe )公司的一套开源的 PHP 电子商务系统。该系统提供权限管理、搜索引擎和支付网关等功能。 Magento Open Source Magento 的开源版本。 MagentoCommerce Magento 的商业版本。

Magento Commerce Magento Open Source editions 中存在操作系统命令注入漏洞,该漏洞源于外部输入数据构造操作系统可执行命令过程中,网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://helpx.adobe.com/security/products/magento/apsb21-08.html

5. Qualcomm Video 缓冲区错误漏洞( CNNVD-202102-045

Qualcomm Video 是美国高通( Qualcomm )公司的一个使用在高通产品中的视频组件。

Qualcomm Video 存在安全漏洞,该漏洞源于在播放 MKV 片段时,由于缺乏输入验证,可能会发生缓冲区溢出。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.qualcomm.com/company/product-security/bulletins/february-2021-bulletin

6. Apache Shiro 访问控制错误漏洞( CNNVD-202102-238

Apache Shiro 是美国阿帕奇( Apache )基金会的一套用于执行认证、授权、加密和会话管理的 Java 安全框架。

Apache Shirobefore 1.7.1 存在访问控制错误漏洞 ,攻击者可利用 该漏发送一个 HTTP 请求绕过身份验证。

目前厂商已发布升级补丁以修复漏洞 补丁获取链接

https://lists.apache.org/thread.html/rce5943430a6136d37a1f2fc201d245fe094e2727a0bc27e3b2d43a39%40%3Cdev.shiro.apache.org%3E

7. Rust yottadb 资源管理错误漏洞( CNNVD-202102-1351

Rust Mozilla 基金会的一款通用、编译型编程语言。

Rust yottadb 中存在资源管理错误漏洞。该漏洞源于内存分配模式的错误导致 ydb_subscript_next_st ydb_subscript_prev_st 用户释放内存后,该内存仍可使用。 以下产品及版本受到影响: Rust yottadb 1.2.0

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://rustsec.org/advisories/RUSTSEC-2021-0022.html

8. Qualcomm DataModem 输入验证错误漏洞( CNNVD-202102-071

Qualcomm Data Modem 是美国高通( Qualcomm )公司的一款数据调制解调器。

Qualcomm Data Modem 存在安全漏洞,该漏洞源于没有检查从 ePDG 服务器接收到的某些参数的输入验证,可能出现缓冲区溢出。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.qualcomm.com/company/product-security/bulletins/february-2021-bulletin

1.4.2 高危漏洞实例

本月高危漏洞共 668 个,其中重点漏洞实例如表 6 所示。

6  2021 2 月高危漏洞实例

序号

漏洞类型

厂商

CNNVD 编号

漏洞实例

1

SQL 注入

Advantech

CNNVD-202102-814

RainbowFish PacsOne Server SQL 注入漏洞( CNNVD-202102-310

CGE

CNNVD-202102-1285

Centreon

CNNVD-202102-1180

Mailtrain 社区

CNNVD-202102-1390

Nedi Consulting

CNNVD-202102-1107

Openemr 社区

CNNVD-202102-1174

CNNVD-202102-1175

CNNVD-202102-1156

CNNVD-202102-1176

PHPSHE

CNNVD-202102-897

Rainbowfish

CNNVD-202102-310

Soar Cloud

CNNVD-202102-1269

Solarwinds

CNNVD-202102-1089

Sourcecodester 社区

CNNVD-202102-1294

ZOHO

CNNVD-202102-520

个人开发者

CNNVD-202102-1293

CNNVD-202102-609

2

代码问题

Apple

CNNVD-202102-107

Apple NetFSFramework 代码问题漏洞( CNNVD-202102-107

CNNVD-202102-094

CNNVD-202102-111

Cloudflare

CNNVD-202102-208

Google

CNNVD-202102-374

CNNVD-202102-131

IBM

CNNVD-202102-818

CNNVD-202102-1119

Intel

CNNVD-202102-993

CNNVD-202102-853

CNNVD-202102-811

Jetbrains

CNNVD-202102-286

Kangtaike

CNNVD-202102-1423

Luxion

CNNVD-202102-400

Mb Connect Line

CNNVD-202102-1215

Micro Focus

CNNVD-202102-1683

Microsoft

CNNVD-202102-1065

MinIO

CNNVD-202102-009

Mobileiron

CNNVD-202102-1058

NetMotion

CNNVD-202102-657

CNNVD-202102-659

CNNVD-202102-655

Owncloud

CNNVD-202102-1411

PHP 社区

CNNVD-202102-409

CNNVD-202102-1087

Rainbowfish

CNNVD-202102-318

Sourcecodester 社区

CNNVD-202102-1291

Teradici

CNNVD-202102-1059

UCOPIA

CNNVD-202102-201

ipTIME

CNNVD-202102-1525

个人开发者

CNNVD-202102-1441

CNNVD-202102-1086

CNNVD-202102-1009

CNNVD-202102-1184

CNNVD-202102-583

3

授权问题

Cisco

CNNVD-202102-330

多款 Cisco 产品授权问题漏洞( CNNVD-202102-330

CNNVD-202102-333

D-Link

CNNVD-202102-1075

DELL

CNNVD-202102-1030

HPE

CNNVD-202102-724

HashiCorp

CNNVD-202102-019

IBM

CNNVD-202102-1014

Intel

CNNVD-202102-809

Microsoft

CNNVD-202102-679

Netgear

CNNVD-202102-1092

SolarWinds

CNNVD-202102-241

个人开发者

CNNVD-202102-1004

CNNVD-202102-964

昌佳

CNNVD-202102-1271

4

操作系统命令注入

Accellion

CNNVD-202102-1251

Belkin LINKSYS WRT160NL 操作系统命令注入漏洞( CNNVD-202102-191

Belkin

CNNVD-202102-191

Cisco

CNNVD-202102-253

DELL

CNNVD-202102-888

Magento,Adobe

CNNVD-202102-797

Nagios

CNNVD-202102-1166

CNNVD-202102-1167

CNNVD-202102-1136

Nedi Consulting

CNNVD-202102-1106

Netgear

CNNVD-202102-1082

Netshield NANO

CNNVD-202102-1446

Nozomi

CNNVD-202102-1451

OpenEMR 社区

CNNVD-202102-573

RACOM

CNNVD-202102-1207

Soliton

CNNVD-202102-1255

Sparkle Motion 组织

CNNVD-202102-188

UCOPIA

CNNVD-202102-198

个人开发者

CNNVD-202102-1202

5

缓冲区错误

ACME 实验室

CNNVD-202102-571

Google Android 缓冲区错误漏洞( CNNVD-202102-158

Accusoft

CNNVD-202102-920

CNNVD-202102-923

CNNVD-202102-921

CNNVD-202102-922

Adobe

CNNVD-202102-729

CNNVD-202102-727

CNNVD-202102-728

CNNVD-202102-756

CNNVD-202102-1659

CNNVD-202102-801

CNNVD-202102-1661

CNNVD-202102-765

CNNVD-202102-730

CNNVD-202102-800

CNNVD-202102-804

CNNVD-202102-772

CNNVD-202102-726

Arch Linux 社区

CNNVD-202102-745

AskF5

CNNVD-202102-1066

Cisco

CNNVD-202102-1563

F5

CNNVD-202102-1055

Facebook

CNNVD-202102-179

Finalwire

CNNVD-202102-1378

Foxit

CNNVD-202102-883

CNNVD-202102-900

CNNVD-202102-910

CNNVD-202102-884

CNNVD-202102-907

CNNVD-202102-911

CNNVD-202102-915

CNNVD-202102-898

CNNVD-202102-916

CNNVD-202102-902

CNNVD-202102-899

CNNVD-202102-904

CNNVD-202102-913

CNNVD-202102-901

CNNVD-202102-905

CNNVD-202102-908

CNNVD-202102-882

CNNVD-202102-909

CNNVD-202102-903

CNNVD-202102-1084

GNOME

CNNVD-202102-1182

Gitea 社区

CNNVD-202102-516

Godot 组织

CNNVD-202102-621

Google

CNNVD-202102-556

CNNVD-202102-1280

CNNVD-202102-158

CNNVD-202102-271

CNNVD-202102-1304

CNNVD-202102-260

CNNVD-202102-1277

CNNVD-202102-147

CNNVD-202102-1283

HPE

CNNVD-202102-580

CNNVD-202102-578

CNNVD-202102-582

Hilscher

CNNVD-202102-1201

Horner Automation

CNNVD-202102-397

Huawei

CNNVD-202102-559

IZArc 社区

CNNVD-202102-1460

Intel

CNNVD-202102-1288

CNNVD-202102-823

CNNVD-202102-976

CNNVD-202102-986

Luxion

CNNVD-202102-404

CNNVD-202102-407

Mobileiron

CNNVD-202102-1206

Qualcomm

CNNVD-202102-060

CNNVD-202102-040

SoftMaker

CNNVD-202102-332

CNNVD-202102-342

CNNVD-202102-347

CNNVD-202102-329

CNNVD-202102-327

CNNVD-202102-349

CNNVD-202102-337

CNNVD-202102-336

Tencent

CNNVD-202102-1022

Torsten Paul

CNNVD-202102-1549

Trend Micro

CNNVD-202102-359

VOICEYE

CNNVD-202102-1570

Wind River Systems

CNNVD-202102-301

siemens

CNNVD-202102-868

CNNVD-202102-869

CNNVD-202102-862

CNNVD-202102-872

CNNVD-202102-871

CNNVD-202102-864

CNNVD-202102-867

CNNVD-202102-861

CNNVD-202102-874

个人开发者

CNNVD-202102-1306

CNNVD-202102-1021

CNNVD-202102-563

CNNVD-202102-633

CNNVD-202102-637

CNNVD-202102-157

CNNVD-202102-1491

CNNVD-202102-1020

CNNVD-202102-1121

CNNVD-202102-634

CNNVD-202102-636

台湾瑞昱

CNNVD-202102-339

CNNVD-202102-230

CNNVD-202102-233

CNNVD-202102-334

CNNVD-202102-344

6

访问控制错误

Adobe

CNNVD-202102-757

Adobe Acrobat Reader 访问控制错误漏洞( CNNVD-202102-757

Cisco

CNNVD-202102-288

CNNVD-202102-246

CNNVD-202102-279

CNNVD-202102-275

CNNVD-202102-296

CNNVD-202102-287

CNNVD-202102-302

CNNVD-202102-322

CNNVD-202102-273

CNNVD-202102-1571

CNNVD-202102-294

CNNVD-202102-270

CNNVD-202102-277

DELL

CNNVD-202102-889

Epikur

CNNVD-202102-513

Google

CNNVD-202102-142

CNNVD-202102-136

CNNVD-202102-144

CNNVD-202102-159

CNNVD-202102-155

CNNVD-202102-129

Kangtaike

CNNVD-202102-1419

MIT

CNNVD-202102-204

Mcafee

CNNVD-202102-969

Mobileiron

CNNVD-202102-1109

Qualcomm

CNNVD-202102-034

Red Hat

CNNVD-202102-656

Siemens

CNNVD-202102-891

TIETEN Acronis Cyber Protect

CNNVD-202102-1444

Tarus Balog

CNNVD-202102-1315

das Klimabündnis

CNNVD-202102-1311

个人开发者

CNNVD-202102-646

CNNVD-202102-1012

群晖科技

CNNVD-202102-1707

7

资源管理错误

Adobe

CNNVD-202102-755

Linux kernel 资源管理错误漏洞( CNNVD-202102-650

CNNVD-202102-762

CNNVD-202102-774

CNNVD-202102-768

CNNVD-202102-771

CNNVD-202102-763

CNNVD-202102-767

CNNVD-202102-761

CNNVD-202102-752

CNNVD-202102-748

Apache 基金会

CNNVD-202102-1099

Apple

CNNVD-202102-078

CNNVD-202102-102

CNNVD-202102-083

CNNVD-202102-149

CNNVD-202102-110

CNNVD-202102-115

CNNVD-202102-088

CNNVD-202102-152

Cisco

CNNVD-202102-249

CNNVD-202102-1275

CNNVD-202102-252

F5

CNNVD-202102-1060

Fasterxml

CNNVD-202102-1356

GE

CNNVD-202102-1063

Google

CNNVD-202102-250

CNNVD-202102-143

CNNVD-202102-1276

CNNVD-202102-145

HPE

CNNVD-202102-592

Http4s 组织

CNNVD-202102-210

CNNVD-202102-211

Huawei

CNNVD-202102-560

IBM

CNNVD-202102-793

Linux 基金会

CNNVD-202102-650

Postgresql 组织

CNNVD-202102-1052

Qualcomm

CNNVD-202102-1737

CNNVD-202102-053

CNNVD-202102-033

Ubiquiti Networks

CNNVD-202102-1504

Wireshark

CNNVD-202102-003

个人开发者

CNNVD-202102-1273

CNNVD-202102-1013

CNNVD-202102-1407

CNNVD-202102-595

CNNVD-202102-1183

CNNVD-202102-1104

CNNVD-202102-1361

CNNVD-202102-662

福泰克

CNNVD-202102-1649

CNNVD-202102-1651

8

输入验证错误

Adobe

CNNVD-202102-766

Intel Graphics Drivers 输入验证错误漏洞( CNNVD-202102-816

Apple

CNNVD-202102-099

CNNVD-202102-113

CNNVD-202102-104

CURIX

CNNVD-202102-1297

FiberHome

CNNVD-202102-998

Godot 组织

CNNVD-202102-620

Intel

CNNVD-202102-984

CNNVD-202102-827

CNNVD-202102-821

CNNVD-202102-830

CNNVD-202102-974

CNNVD-202102-808

CNNVD-202102-828

CNNVD-202102-816

Linux 基金会

CNNVD-202102-1194

Openssl 团队

CNNVD-202102-1235

CNNVD-202102-1200

Private Octopus 组织

CNNVD-202102-643

Qualcomm

CNNVD-202102-061

CNNVD-202102-036

CNNVD-202102-058

CNNVD-202102-066

CNNVD-202102-056

Rashid Ksirov 社区

CNNVD-202102-1388

SoftMaker

CNNVD-202102-353

个人开发者

CNNVD-202102-1105

CNNVD-202102-1027

CNNVD-202102-1057

1. RainbowFishPacsOne Server SQL 注入漏洞( CNNVD-202102-310

Rainbowfish RainbowFish PacsOne Server 是美国彩虹软件( Rainbowfish )公司的一种图片存档和通信系统服务器。该系统应用于保存接收到的图像。

PacsOne Server (PACS Server In One Box) 7.1.1 之前版本存在 SQL 注入漏洞,该漏洞源于基于数据库的应用缺少对外部输入 SQL 语句的验证。攻击者可利用该漏洞执行非法 SQL 命令。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://pacsone.net/download.htmCVE-2021-1636

2. AppleNetFSFramework 代码问题漏洞( CNNVD-202102-107

Apple NetFSFramework 是美国 Apple 公司的一个应用于 Apple 设备中支持网络文件系统的的组件。

Apple NetFSFramework 存在代码问题漏洞,该漏洞源于应用程序未在 macOS NetFSFramework 组件内正确施加安全限制。远程攻击者可以诱骗受害者安装恶意的 Samba 网络共享并在系统上执行任意代码。以下产品或版本存在漏洞: macOS Big Sur 11.0.1,macOS Catalina 10.15.7, and macOS Mojave 10.14.6

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://support.apple.com/en-gb/HT212147

3. 多款 Cisco 产品授权问题漏洞( CNNVD-202102-330

Cisco RV160 等都是美国 Cisco 公司的一款应用于企业环境的路由器。

Cisco Small Business RV160, RV160W, RV260,RV260P, and RV260W VPN Routers 存在授权问题漏洞,该漏洞允许未经身份验证的远程攻击者利用该漏洞进行目录遍历攻击,并覆盖受影响系统上应该受限制的某些文件。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv160-260-filewrite-7x9mnKjn

4. Belkin LINKSYS WRT160NL 操作系统命令注入漏洞( CNNVD-202102-191

Belkin LINKSYS WRT160NL 是美国贝尔金( Belkin )公司的一款无线路由器。

Belkin Linksys WRT160NL1.0.04.002_US_20130619 存在安全漏洞,该漏洞允许远程认证攻击者通过 ui 语言 POST 参数中的 shell 元字符,执行具有 root 权限的系统命令。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://bugzilla.redhat.com/show_bug.cgi?id=1919050

5. Google Android 缓冲区错误漏洞( CNNVD-202102-158

Google Android 是美国谷歌开放手持设备联盟( Google )的一套以 Linux 为基础的开源操作系统。

Google Android 存在安全漏洞,该漏洞可能使本地恶意应用程序绕过用户交互要求,以获取其他权限。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://source.android.com/security/bulletin/2021-02-01

6. Adobe AcrobatReader 访问控制错误漏洞( CNNVD-202102-757

Adobe Acrobat Reader 是美国奥多比( Adobe )公司的一款 PDF 查看器。该软件用于打印,签名和注释 PDF

Acrobat Reader DC 中存在访问控制错误漏洞,该漏洞源于网络系统或产品未正确限制来自未授权角色的资源访问。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://helpx.adobe.com/security/products/acrobat/apsb21-09.html

7. Linux kernel 资源管理错误漏洞( CNNVD-202102-650

Linux kernel 是美国 Linux 基金会的开源操作系统 Linux 所使用的内核。

Linux Kernel 中存在资源管理错误漏洞,该漏洞源于 io_grab_files() 强制使用释放的内存区域,从而触发拒绝服务。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://access.redhat.com/security/cve/cve-2021-20226

8. Intel Graphics Drivers 输入验证错误漏洞( CNNVD-202102-816

Intel Graphics Drivers 是美国英特尔( Intel )公司的一款集成显卡驱动程序。

Intel Graphics Drivers 中存在输入验证错误漏洞,该漏洞源于某些英特尔( R )图形驱动程序中存在不正确的输入验证,这可能会允许有权限的用户通过本地访问来升级权限。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00438.html

二、接报漏洞情况

本月接报漏洞6087个,其中信息技术产品漏洞(通用型漏洞)189个,网络信息系统漏洞(事件型漏洞)5898个。

表7 2021年2月漏洞接报情况

序号

报送单位

漏洞总量

1

上海斗象信息科技有限公司

2598

2

网神信息技术(北京)股份有限公司

1828

3

北京山石网科信息技术有限公司

831

4

北京天地和兴科技有限公司

143

5

山东华鲁科技发展股份有限公司

91

6

北京数字观星科技有限公司

75

7

山东新潮信息技术有限公司

62

8

西安四叶草信息技术有限公司

60

9

广州锦行网络科技有限公司

39

10

山东云天安全技术有限公司

32

11

北京启明星辰信息安全技术有限公司

31

12

西安交大捷普网络科技有限公司

30

13

任子行网络技术股份有限公司

25

14

北京华云安信息技术有限公司

20

15

星云博创科技有限公司

20

16

北京圣博润高新技术股份有限公司

17

17

杭州海康威视数字技术股份有限公司

17

18

深信服科技股份有限公司

15

19

内蒙古奥创科技有限公司

12

20

北京天融信网络安全技术有限公司

10

21

北京云测信息技术有限公司

10

22

南京众智维信息科技有限公司

10

23

天通高新集团有限公司

10

24

远江盛邦(北京)网络安全科技股份有限公司

10

25

广州竞远安全技术股份有限公司

9

26

上海安识网络科技有限公司

9

27

北京梆梆安全科技有限公司

8

28

北京机沃科技有限公司

7

29

绿盟科技集团股份有限公司安全研究部

7

30

北京威努特技术有限公司

6

31

恒安嘉新(北京)科技股份公司

6

32

个人

5

33

河南听潮盛世信息技术有限公司

5

34

中国电信集团系统集成有限责任公司网信安全业务部

4

35

安徽长泰信息安全服务有限公司

3

36

博智安全科技股份有限公司

3

37

浪潮电子信息产业股份有限公司

3

38

中国电信集团系统集成有限责任公司云计算安全与服务事业部

3

39

中兴通讯

3

40

华为技术有限公司未然实验室

2

41

深圳市魔方安全科技有限公司

2

42

北京国舜科技股份有限公司

1

43

北京惠而特科技有限公司

1

44

北京时代新威信息技术有限公司

1

45

北京智游网安科技有限公司

1

46

海南神州希望网络有限公司

1

47

四川虹微技术有限公司

1

报送总计

6087

三、重大漏洞预警

3.1 Sonicwall SMA100 SQL 注入漏洞的预警

近日,国家信息安全漏洞库( CNNVD )收到关于 Sonicwall SMA100 SQL 注入漏洞( CNNVD-202102-394 CVE-2021-20016 )情况的报送。成功利用漏洞的攻击者可以在未授权的情况下远程控制目标设备。 Sonic SMA 10.2.0.5 之前的版本均受漏洞影响。目前, SonicWall 官方已发布版本更新修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

. 漏洞介绍

SonicwallSMA100 是美国 Sonicwall 公司的一款安全访问网关设备。 SonicWall SSLVPN SMA100product 存在 SQL 注入漏洞,该漏洞允许远程未经身份验证的攻击者执行 SQL 查询访问用户名密码和其他会话相关信息,最终完全控制目标设备。

. 危害影响

成功利用漏洞的攻击者可以在未授权的情况下远程控制目标设备。 Sonic SMA 10.2.0.5 之前的版本均受漏洞影响。

. 修复建议

目前, SonicWall 官方已发布版本更新修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001

3.2VMware 多个安全漏洞的预警

近日,国家信息安全漏洞库( CNNVD )收到关于 VMware 多个安全漏洞情况的报送,其中包括 VMware vSphereClient 安全漏洞 (CNNVD-202102-1566 CVE-2021-21972) VMware ESXi 安全漏洞( CNNVD-202102-1560 CVE-2021-21974 )。成功利用漏洞的攻击者可以在目标系统中远程执行恶意代码。 vSphere Client 6.5 vSphere Client 6.7 vSphere Client 7.0 VMware Cloud Foundation vCenter Server 3.x VMware Cloud Foundation vCenter Server 4.x ESXi 6.5 ESXi 6.7 ESXi 7.0 VMwareCloud Foundation (ESXi)3.X VMware Cloud Foundation (ESXi)4.X 均受此漏洞影响。目前官方已在最新版本中修复了该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

. 漏洞介绍

1 VMware vSphereClient 安全漏洞 (CNNVD-202102-1566 CVE-2021-21972)

VMware vSphere Client 是美国威睿( VMware )公司的一个应用软件,提供虚拟化管理。 VMwarevSphere Client 存在一个安全漏洞,未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求,从而在目标系统上远程执行恶意代码。

2 VMware ESXi 安全漏洞( CNNVD-202102-1560 CVE-2021-21974 ):

VMwareESXi 是美国威睿( VMware )公司的一套可直接安装在物理服务器上的服务器虚拟化平台。 VMware ESXi 存在一个安全漏洞,攻击者与 ESXi 处于同一网段且可以访问 427 端口时,可以通过向 427 端口发送恶意请求包触发 OpenSLP 服务中的堆溢出漏洞,最终造成远程代码执行。

. 危害影响

成功利用漏洞的攻击者可以在目标系统中远程执行恶意代码。 vSphere Client 6.5 vSphere Client 6.7 vSphere Client 7.0 VMware Cloud Foundation vCenter Server 3.x VMware Cloud Foundation vCenter Server 4.x ESXi 6.5 ESXi 6.7 ESXi 7.0 VMware Cloud Foundation(ESXi)3.X VMwareCloud Foundation (ESXi)4.X 均受此漏洞影响。

. 修复建议

目前官方已在最新版本中修复了该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:

https://www.vmware.com/security/advisories/VMSA-2021-0002.html


文章来源: https://sec.thief.one/article_content?a_id=3cb82b3290be1c9d69f46e05ffe64906
如有侵权请联系:admin#unsafe.sh