2017年7月疫情分析-信息技术中心

网络安全

2017年7月疫情分析

发布时间：2017-07-07 阅读次数：252

Microsoft 产品安全漏洞

Microsoft Windows是美国微软（Microsoft）公司发布的一系列操作系统，Microsoft Forefront 是应用在其中的一套面向企业的服务器安全特性解决方案。Microsoft Defender 是一款应用在其中的杀毒软件。Windows Search 服务（WSS）是 windows 的一项默认启用的基本服务。本月，上述产品被披露存在远程代码执行和拒绝服务漏洞，攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。

CNVD 收录的相关漏洞包括：Microsoft Malware Protection 引擎拒绝服务漏洞（CNVD-2017-09499、CNVD-2017-09500、CNVD-2017-09502）、Microsoft Malware Protection引擎远程代码执行漏洞（CNVD-2017-09503、CNVD-2017-09504）、Microsoft Windows LNK 文件远程代码执行漏洞、Microsoft Windows OLE 远程代码执行漏洞（CNVD-2017-09716）、Microsoft Windows Search 远程代码执行漏洞。其中， “Microsoft Windows LNK 文件远程代码执行漏洞、Microsoft Windows OLE 远程代码执行漏洞（CNVD-2017-09716）、Microsoft Windows Search远程代码执行漏洞”的综合评级为“高危” 。

目前，厂商已经发布了上述漏洞的修补程序。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2017-09499

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09500

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09502

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09503

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09504

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09382

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09716

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09381

Huawei 存在多个漏洞

Huawei HedEx Lite是中国华为（Huawei）公司的一款文档管理软件。Huawei iManager NetEco是一款机房动环监控系统。Huawei P7、P8 青春版和 P9 Plus 都是智能手机设备。本月，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限或执行任意命令或发起拒绝服务攻击等。

CNVD 收录的相关漏洞包括： Huawei HedEx Lite DLL 劫持漏洞、 Huawei HedEx Lite 跨站脚本漏洞、Huawei HedEx Lite 跨站请求伪造漏洞、Huawei HedEx Lite 任意文件下载漏洞、Huawei Manager NetEco 命令注入漏洞、Huawei P7 GPU 驱动程序权限提升漏洞、Huawei P7 和 P8 青春版拒绝服务漏洞、Huawei P9 Plus 内存错误引用漏洞。上述漏洞的综合评级为“高危” 。目前，厂商已经发布了上述漏洞的修补程序。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2017-08774

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08776

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08775

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08773

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08781

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08782

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08780

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08778

WordPress Powerplay Gallery 插件文件上传漏洞

WordPress是 WordPress软件基金会的一套使用 PHP 语言开发的博客平台。本月，该产品被披露存在权限提升、文件上传和 SQL 注入漏洞，攻击者可利用漏洞提升权限、上传任意文件和泄露数据库敏感信息等。

CNVD 收录的相关漏洞包括：WordPress Bulk Delete插件权限提升漏洞、WordPress console contact form插件文件上传漏洞、WordPress Huge-IT Video Gallery 插件 SQL 注入漏洞、WordPress Ocim MP3 插件 SQL 注入漏洞、Wordpress Themes Purevision任意文件上传漏洞、Wordpress Themes rehber 文件上传漏洞、Wordpress 插件 dopts 文件上传漏洞、 WordPress插件 Huge-IT Video Gallery SQL 注入漏洞。上述漏洞的综合评级为“高危” 。目前，厂商已经发布了“WordPress Huge-IT Video Gallery 插件 SQL 注入漏洞、WordPress 插件 Huge-IT Video Gallery SQL 注入漏洞、WordPress Bulk Delete插件权限提升漏洞”的修补程序。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2017-08915

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08935

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08917

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08916

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08921

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08933

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08931

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08514

ISC BIND 9权限提升漏洞

ISC BIND 是美国 Internet Systems Consortium （ISC）公司所维护的一套实现了 DNS协议的开源软件。本月，ISC 被披露存在权限提升漏洞，攻击者可利用漏洞在权限进程的上下文中执行任意代码。目前，互联网上已经出现了针对该漏洞的攻击代码，厂商尚未发布漏洞修补程序。请用户随时关注厂商主页，以获取最新版本。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2017-09365