2017年5月疫情分析-信息技术中心

网络安全

2017年5月疫情分析

发布时间：2017-05-26 阅读次数：317

Microsoft 产品安全漏洞

Microsoft Edge是美国微软（Microsoft）公司开发的一款 Web浏览器，是 Windows 10 操作系统附带的默认浏览器。Scripting Engine是其中的一个 JavaScript 引擎组件。本月，上述产品被披露存在内存破坏漏洞，攻击者可利用漏洞执行任意代码。

CNVD 收录的相关漏洞包括：Microsoft Edge脚本引擎内存破坏漏洞（CNVD-2017-03366、CNVD-2017-03367、CNVD-2017-03368、CNVD-2017-03369、CNVD-2017-03370、CNVD-2017-03371、CNVD-2017-03372、CNVD-2017-03373）。上述漏洞的综合评级为“高危” 。目前，厂商已经发布了上述漏洞的修补程序。请用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2017-03366

http://www.cnvd.org.cn/flaw/show/CNVD-2017-03367

http://www.cnvd.org.cn/flaw/show/CNVD-2017-03368

http://www.cnvd.org.cn/flaw/show/CNVD-2017-03369

http://www.cnvd.org.cn/flaw/show/CNVD-2017-03370

http://www.cnvd.org.cn/flaw/show/CNVD-2017-03371

http://www.cnvd.org.cn/flaw/show/CNVD-2017-03372

http://www.cnvd.org.cn/flaw/show/CNVD-2017-03373

Cisco产品安全漏洞

Cisco IOS、 Cisco IOx Software和 IOS XE Software都是美国思科公司为其网络设备开发的操作系统。Cisco Mobility Express 1800 Access Points 是基于 Mobility Express 解决方案的无线产品。Cisco Wireless LAN Controller 是一款无线局域网控制器。本月，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制、执行任意代码或发起拒绝服务攻击等。

CNVD 收录的相关漏洞包括：Cisco IOS DHCP 拒绝服务漏洞、Cisco IOS XE Software L2TP 报文拒绝服务漏洞、 Cisco IOS XE Software for Cisco ASR 920 Series Routers拒绝服务漏洞、多个 Cisco产品栈缓冲区溢出漏洞、Cisco IOS 和 IOS XE Software ANI IPv6 报文拒绝服务漏洞、Cisco IOS 和 IOS XE Software ANI 注册功能拒绝服务漏洞、Cisco Mobility Express 1800 Access Point Series 身份验证绕过漏洞、Cisco Wireless LAN Controller 远程安全绕过漏洞。除“Cisco IOS 和 IOS XE Software ANI注册功能拒绝服务漏洞”外，其余漏洞的综合评级为“高危” 。目前，厂商已经发布了上述漏洞的修补程序。请用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2017-04006

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04004

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04003

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04002

http://www.cnvd.org.cn/flaw/show/CNVD-2017-03847

http://www.cnvd.org.cn/flaw/show/CNVD-2017-03848

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04106

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04111

Mozilla 产品安全漏洞

Mozilla Firefox 是美国 Mozilla基金会开发的一款开源 Web浏览器。 Thunderbird是由 Mozilla 浏览器的邮件功能部件所改造的邮件工具。本月，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制执行未授权操作，获取敏感信息，执行任意脚本代码等。

CNVD 收录的相关漏洞包括：Mozilla Firefox MFSA 存在多个漏洞、Mozilla Firefox MFSA 存在多个漏洞（CNVD-2017-04171、CNVD-2017-04172）、Mozilla Firefox MFSA 内存错误引用漏洞、Mozilla Firefox 内存错误引用漏洞（CNVD-2017-04176）、Mozilla Firefox/Thunderbird 存在多个漏洞、Mozilla Firefox/Thunderbird 存在多个漏洞（CNVD-2017-04251、CNVD-2017-04250）。除“Mozilla Firefox/Thunderbird存在多个漏洞（CNVD-2017-04250） ”外，其余漏洞的综合评级为“高危” 。目前，厂商已经发布了上述漏洞的修补程序。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2017-04173

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04171

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04172

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04175

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04176

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04253

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04251

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04250

Huawei 产品安全漏洞

华为 Tecal RH1288 V2等都是中国华为（Huawei）公司的服务器。华为 Campus S7700等都是企业级园区交换机。华为 HiSuite是一套用于 PC 端的手机助手软件。Huawei Vicky-AL00A/Victoria-AL00A 是一款智能手机。本月，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制、执行任意代码和发起拒绝服务攻击等。

CNVD 收录的相关漏洞包括：多款华为服务器缓冲区溢出漏洞、华为 Campus S7700/S9300/S9700 交换机安全绕过漏洞、华为 Campus 系列交换机堆缓冲区溢出漏洞、华为交换机 Y.1731拒绝服务漏洞、华为 HiSuite中间人攻击漏洞、华为手机 Bastet组件存在多个缓冲区溢出漏洞（CNVD-2017-04679、CNVD-2017-04678）、华为手机 Bastet 组件存在多个缓冲区溢出漏洞。上述漏洞的综合评级为“高危” 。目前，厂商已经发布了上述漏洞的修补程序。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2017-04637

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04632

http://www.cnvd.org.cn/flaw/show/CNVD-2017-05106

http://www.cnvd.org.cn/flaw/show/CNVD-2017-05108

http://www.cnvd.org.cn/flaw/show/CNVD-2017-05109

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04679

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04678

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04677

Jackson 框架存在 J ava 反序列化代码执行漏洞

Jackson是一个开源的 java序列化与反序列化工具。本月，该产品被披露存在 Java反序列化代码执行漏洞，攻击者可利用漏洞在服务器主机上执行任意代码或系统指令，取得网站服务器的控制权。 CNVD 收录的相关漏洞包括：Jackson框架 enableDefaultTyping 方法反序列化漏洞。该漏洞的综合评级为“高危” 。目前，厂商已经发布了上述漏洞的修补程序。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2017-04483