信息安全漏洞周报第192期

资源描述

《信息安全漏洞周报第192期》由会员分享，可在线阅读，更多相关《信息安全漏洞周报第192期（5页珍藏版）》请在金锄头文库上搜索。

1、 1 信息安全漏洞周报（2013 年第 41 期总第 192 期）中国中国信息安全测评中心信息安全测评中心 2012013 3 年年 1010 月月 2525 日日一、一、本周安全漏洞概况本周安全漏洞概况根据中国国家信息安全漏洞库（CNNVD）统计，本周（2013 年 10 月 18 日至 2013 年 10 月 24 日）新增安全漏洞 246 个，与前四周平均增长数量相比,漏洞新增数量有所上升。其中 Oracle 新增漏洞最多，共有 103 个；输入验证类的安全漏洞所占比重最大，达到 10.57%。根据补丁信息统计，本周共有 207 个漏洞被修复，整体修补率为 84.1

2、5%。二、安全漏洞二、安全漏洞分布情况分布情况从厂商分布来看，本周 Oracle 公司产品的漏洞数量最多，共发布 103 个。各厂商漏洞数量分布如表 1 所示。表 1 各大厂商新增安全漏洞统计表序号序号厂商名称厂商名称漏洞数量漏洞数量所占比例所占比例 1 1 Oracle 103 41.87% 2 2 Cisco 12 4.88% 3 3 IBM 8 3.25% 4 4 Google 5 2.03% 5 5 Red Hat 5 2.03% 从漏洞类型来看，本周输入验证类的安全漏洞占比最 2 大，达到 10.57%。漏洞类型统计如表 2 所示。表 2 漏洞类型统计表序号序号

3、漏洞类型漏洞类型漏洞数量漏洞数量所占比例所占比例 1 1 输入验证 26 10.57% 2 2 权限许可和访问控制 18 7.32% 3 3 跨站脚本 16 6.50% 4 4 缓冲区溢出 11 4.47% 5 5 信息泄露 10 4.07% 6 6 资源管理错误 8 3.25% 7 7 代码注入 4 1.63% 8 8 跨站请求伪造 4 1.63% 9 9 SQL 注入 3 1.22% 1010 加密问题 3 1.22% 1111 路径遍历 2 0.81% 1212 数字错误 2 0.81% 1313 操作系统命令注入 1 0.41% 1414 其他 138 56.10% 三、三、安全漏

4、洞危害等级与修复情况安全漏洞危害等级与修复情况本周共发布危急漏洞 14 个，高危漏洞 24 个，中危漏洞 178 个，低危漏洞 30 个。根据补丁信息统计，相应修复率分别为 100.00%、95.83%、81.46%以及 83.33%。合计 207 个漏洞已有修复补丁发布，整体修补率为 84.15%。详细情况如表 3 所示。表 3 漏洞危害等级与修复情况序号序号危害等级危害等级漏洞数量漏洞数量修复数量修复数量修复率修复率 1 危急 14 14 100.00% 2 高危 24 23 95.83% 3 中危 178 145 81.46% 4 低危 30 25 83.33% 合计合

5、计 246 207 84.15% 四、四、本周重要漏洞本周重要漏洞实例实例 3 ( (一一) ) 危急漏洞危急漏洞实例实例本周危急漏洞共 14 个，其中重点漏洞实例如表 4 所示。表 4 本周危急漏洞实例序序号号漏洞类型漏洞类型漏洞编号漏洞编号厂商厂商漏洞实例漏洞实例 1 未知 CNNVD-201310-362 Oracle Oracle Java SE/JRockit/Java SE Embedded Libraries 组件安全漏洞(CNNVD-201310-406) CNNVD-201310-366 CNNVD-201310-367 CNNVD-201310-368 C

6、NNVD-201310-386 CNNVD-201310-391 CNNVD-201310-394 CNNVD-201310-400 CNNVD-201310-405 CNNVD-201310-406 CNNVD-201310-416 CNNVD-201310-417 CNNVD-201310-507 IBM 2 权限许可和访问控制 CNNVD-201310-477 D-Link D-Link/Planex/Alpha Networks 路由器 Web 接口安全漏洞 (CNNVD-201310-477) ( (二二) ) 高危高危漏洞漏洞实例实例本周高危漏洞共 24 个，如表 5 所示。

7、表 5 本周高危漏洞实例序序号号漏洞类型漏洞类型漏洞编号漏洞编号厂商厂商漏洞实例漏洞实例 1 未知 CNNVD-201310-355 Oracle Google Chrome 安全漏洞 (CNNVD-201310-441) CNNVD-201310-357 CNNVD-201310-380 CNNVD-201310-383 CNNVD-201310-384 CNNVD-201310-387 CNNVD-201310-392 CNNVD-201310-408 CNNVD-201310-412 CNNVD-201310-418 CNNVD-201310-420 4 CNNVD-2013

8、10-424 CNNVD-201310-426 CNNVD-201310-441 Google CNNVD-201310-552 SAP 2 缓冲区溢出 CNNVD-201310-478 D-Link D-Link DIR-100 路由器 RuntimeDiagnosticPing 函数基于栈的缓冲区溢出漏洞(CNNVD-201310-478) CNNVD-201310-475 WatchGuard 3 输入验证 CNNVD-201310-551 SAP VMware ESXi 和 ESX hostd-vmdb 服务输入验证漏洞(CNNVD-201310-494) CNNVD-201310

9、-494 VMware 4 资源管理错误 CNNVD-201310-493 Cisco Cisco ASA软件资源管理错误漏洞 (CNNVD-201310-493) 5 跨站请求伪造 CNNVD-201310-461 Juniper Networks Juniper Junos J-Web 跨站请求伪造漏洞 (CNNVD-201310-461) 6 权限许可和访问控制 CNNVD-201310-506 IBM IBM WebSphere DataPower XC10 权限许可和访问控制漏洞 (CNNVD-201310-506) 注：本报根据中国国家信息安全漏洞库（CNNVD）数据整

10、理分析而成。 5 中国国家信息安全漏洞库中国国家信息安全漏洞库中国国家信息安全漏洞库，英文名称“China National Vulnerability Database of Information Security “，简称“CNNVD“，是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能，负责建设运维的国家信息安全漏洞库，为我国信息安全保障提供基础服务。邮箱：vulpro 电话：82341439 中国信息安全测评中心中国信息安全测评中心中国信息安全测评中心成立于 1997 年，是我国专门从事信息技术安全测试和风险评估的权威职能机构。依据中央授权，测评中心的主要职能包括：负责信息技术产品和系统的安全漏洞分析与信息通报；负责党政机关信息网络、重要信息系统的安全风险评估；开展信息技术产品、系统和工程建设的安全性测试与评估；开展信息安全服务和专业人员的能力评估与资质审核；从事信息安全测试评估的理论研究、技术研发、标准研制等。地址：北京市海淀区上地西路 8 号院 1 号楼邮编：100085 电话：82341439 传真：82341100

展开阅读全文