国家信息安全漏洞共享平台（CNVD）信息安全漏洞周报会.PDFVIP

本周漏洞基本情况 本周信息安全漏洞威胁整体评价级别为低。 国家信息安全漏洞共享平台（以下简称 CNVD）本周共收集、整理信息安全漏洞 1 31 个，其中高危漏洞 43 个、中危漏洞 82 个、低危漏洞 6 个。上述漏洞中，可利用来实 施远程攻击的漏洞有 126 个。本周收录的漏洞中，已有 119 个漏洞由厂商提供了修补方 案，建议用户及时下载补丁更新程序，避免遭受网络攻击。其中互联网上出现“pbm21 2030 缓冲区溢出漏洞”、“724CMS 存在多个信息泄露漏洞”等零日漏洞，请使用相关产 品的用户注意加强防范。 重要漏洞处置情况 本周，CNVD 重点协调处置了涉及西安三才科技实业有限公司、深圳市河辰通讯技 术有限公司、北京易龙天网科技有限公司、南京南软科技有限公司、中国铁建股份有限 公司、上海泛微网络科技股份有限公司、迅雷公司、深圳市图美电子技术有限公司、湖 南中科博华科技有限公司、华平信息技术股份有限公司、微软(中国)有限公司、上海斐 讯数据通信技术有限公司、深圳市友信君德科技有限公司、深圳市惠尔顿信息技术有限 公司、沈阳东软系统集成工程有限公司、浙江大华技术股份有限公司、药监局、全峰快 递集团、中国国家博物馆、北京市建华实验学校、中国国际广播电台、国家超级计算天 津中心、全国音乐等级考试服务平台、首旅集团网站、中国智慧城市网、中国科学技术 协会、法治中国法治观察网、中国工业网、北京省际客运信息网等单位软件产品或网站 信息系统存在的信息泄露、弱口令、SQL 注入、未授权访问、任意文件上传和下载、远 程代码执行等漏洞。攻击者利用上述漏洞可获取用户敏感信息，上传和下载任意文件， 进行未授权操作或执行任意代码。 成员单位报送漏洞统计 国家信息安全漏洞共享平台(CNVD) 信息安全漏洞周报会 员 版 2015 年 03 月 30 日-2015 年 04 月 05 日 2015年第14期 本周，共 4 家成员单位、合作伙伴及个人报送了本周收录的全部 131 个漏洞。报送 情况如表 1 所示。其中，天融信、启明星辰、恒安嘉新等单位报送数量较多。此外， CNCERT 各分中心、乌云、漏洞盒子及白帽子向 CNVD 提交了 401 个原创漏洞。 报送单位或个人 漏洞报送数量 原创漏洞数量 天融信 180 27 启明星辰 115 0 恒安嘉新 71 0 安天实验室 65 0 乌云 331 331 漏洞盒子 20 20 CNCERT 福建分中心 6 6 CNCERT 甘肃分中心 4 4 CNCERT 宁夏分中心 1 1 CNCERT 河南分中心 1 1 个人 11 11 报送总计 805 401 录入总计 131（去重） 401 表 1成员单位上报漏洞统计表 CNVD 整理和发布的漏洞涉及 Cisco、Websense、PHP 等多家厂商的产品，部分漏 洞数量按厂商统计如表 2 所示。 序号 厂商（产品） 漏洞数量 所占比例 1 Cisco 21 16% 2 Websense 21 16% 3 PHP 7 5% 4 Drupal 7 5% 5 Inductive Automation 6 5% 6 McAfee 4 3% 7 Schneider 4 3% 8 Hospira 4 3% 9 Mozilla 4 3% 10 其他 53 41% 表 2 漏洞产品涉及厂商分布统计表 漏洞按影响类型统计 本周，CNVD 收录了 131 个漏洞。其中应用程序漏洞 84 个，WEB 应用漏洞 21 个， 网络设备漏洞 19 个，安全产品 5 个，操作系统漏洞 1 个，数据库漏洞 1 个。 漏洞影响对象类型 漏洞数量 应用程序漏洞 84 WEB 应用漏洞 21 网络设备漏洞 19 安全产品漏洞 5 操作系统漏洞 1 数据库漏洞 1 表 3漏洞按影响类型统计表 图 1 本周漏洞按影响类型分布 本周行业漏洞信息 本周，CNVD 收录了 21 个电信行业漏洞，2 个移动互联网行业漏洞，11 个工控系 统行业漏洞（如下图表所示）。其中，“IBM DB2 Universal Database DAS 缓冲区溢出 漏洞、Cisco IOS XE high-speed logging (HSL) 超大 IP 报文处理拒绝服务漏洞、Cisco IOS/IOS XE 畸形 AN 消息处理拒绝服务漏洞(CNVD-2015-02086、CNVD-2015-02085)、 Cisco IOS/IOS XE 畸形 ANRA 应答报文限制绕过拒绝服务漏洞、Cisco IOS Service D isc