• 风险预警
  • 第16周网络安全风险提示

  • 第16周网络安全风险提示

    (发布日期:2023年6月7日

     

    一、重要漏洞安全提示

    1.Adobe产品安全漏洞

    Adobe Substance 3D Painter是美国奥多比(Adobe)公司的一个3D纹理处理应用程序。Adobe Dimension是美国奥多比(Adobe)公司的一套2D和3D合成设计工具。本周,上述产品被披露存在越界读取漏洞,攻击者可利用漏洞执行任意代码。

    CNVD收录的相关漏洞包括:Adobe Substance 3D Painter越界读取漏洞(CNVD-2023-40147、CNVD-2023-40146、CNVD-2023-40149、CNVD-2023-40152、CNVD-2023-41408)、Adobe Dimension越界读取漏洞(CNVD-2023-41413、CNVD-2023-41416、CNVD-2023-41414)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

    参考链接:

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40147

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40146

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40149

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40152

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-41408

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-41413

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-41416

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-41414

     

    2.Cisco产品安全漏洞

    Cisco Identity Services Engine(ISE)是美国思科(Cisco)公司的一款环境感知平台(ISE身份服务引擎)。该平台通过收集网络、用户和设备中的实时信息,制定并实施相应策略来监管网络。Cisco Small Business是美国思科(Cisco)公司的一个交换机。Cisco DNA Center是美国思科(Cisco)公司的一个网络管理和命令中心服务。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞从受影响设备的文件系统下载任意文件,对底层操作系统执行命令注入攻击,并将权限提升到root等。

    CNVD收录的相关漏洞包括:Cisco Identity Services Engine命令注入漏洞(CNVD-2023-40185、CNVD-2023-40187)、Cisco Identity Services Engine路径遍历漏洞(CNVD-2023-40184、CNVD-2023-40186)、Cisco Identity Services Engine授权绕过漏洞(CNVD-2023-40191)、Cisco Identity Services Engine任意文件下载漏洞、Cisco Small Business拒绝服务漏洞(CNVD-2023-40906)、Cisco DNA Center命令执行漏洞。其中,“Cisco Identity Services Engine命令注入漏洞(CNVD-2023-40187)、Cisco Small Business拒绝服务漏洞(CNVD-2023-40906)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

    参考链接:

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40185

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40184

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40187

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40186

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40191

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40190

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40906

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-41500

     

    3.SAP产品安全漏洞

    SAP Application Interface Framework(SAP AIF)是德国思爱普(SAP)公司的一个应用程序接口框架。SAP BusinessObjects Platform是德国思爱普(SAP)公司的一个用于数据报告、可视化和共享的集中式套件。SAP Web Dispatcher是德国思爱普(SAP)公司的Load Balancing的核心组件,支持负载均衡,提供反向代理的功能,使得外网用户可以访问到内部应用。SAP NetWeaver AS是德国思爱普(SAP)公司的一款SAP网络应用服务器。它不仅能提供网络服务,且还是SAP软件的基本平台。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,覆盖操作系统文件,导致系统不可用等。

    CNVD收录的相关漏洞包括:SAP Application Interface Framework信息泄露漏洞、SAP BusinessObjects Platform信息泄露漏洞、SAP Web Dispatcher访问控制错误漏洞、SAP NetWeaver AS资源管理错误漏洞、SAP NetWeaver AS访问控制错误漏洞(CNVD-2023-40162)、SAP NetWeaver AS跨站脚本漏洞(CNVD-2023-40169)、SAP NetWeaver AS路径遍历漏洞、SAP BusinessObjects Business Intelligence Platform信息泄露漏洞(CNVD-2023-40166)。其中,“SAP NetWeaver AS路径遍历漏洞、SAP BusinessObjects Business Intelligence Platform信息泄露漏洞(CNVD-2023-40166)”的综合评级为 “高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

    参考链接:

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40161

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40160

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40164

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40163

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40162

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40169

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40168

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40166

     

    4.Schneider Electric产品安全漏洞

    Schneider Electric Conext Gateway是法国施耐德电气(Schneider Electric)公司的一系列网关设备。Schneider Electric EcoStruxure Control Expert是法国施耐德电气(Schneider Electric)公司的一套用于Schneider Electric逻辑控制器产品的编程软件。Schneider Electric Easy UPS Online Monitoring Software是法国施耐德电气(Schneider Electric)公司的一款电源监控软件。Schneider Electric Easergy Builder是法国施耐德电气(Schneider Electric)公司的一套用于Easergy远程终端单元和控制器的配置软件。Schneider Electric SoMachine HVAC是法国施耐德电气(Schneider Electric)公司的一套专用于Schneider Electric逻辑控制器的编程软件。Schneider Electric Conext ComBox是法国施耐德电气(Schneider Electric)公司的一款通信和监控设备。Schneider Electric OPC Factory Server是法国施耐德电气(Schneider Electric)公司的一种软件应用程序。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞对文件系统进行未经授权的读取访问,执行任意代码,导致拒绝服务等。

    CNVD收录的相关漏洞包括:Schneider Electric Conext Gateway输入验证错误漏洞、Schneider Electric EcoStruxure Control Expert拒绝服务漏洞、Schneider Electric EcoStruxure Control Expert代码执行漏洞、Schneider Electric Easy UPS Online Monitoring Software访问控制错误漏洞、Schneider Electric Easergy Builder代码问题漏洞、Schneider Electric SoMachine HVAC缓冲区溢出漏洞、Schneider Electric Conext ComBox跨站请求伪造漏洞、Schneider Electric OPC Factory Server XML外部实体注入漏洞。其中,除“Schneider Electric EcoStruxure Control Expert拒绝服务漏洞、Schneider Electric Easergy Builder代码问题漏洞、Schneider Electric OPC Factory Server XML外部实体注入漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

    参考链接:

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40173

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40177

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40176

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40175

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40174

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40179

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-40178

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-41536

     

    5.TOTOLINK A3300R命令注入漏洞

    TOTOLINK A3300R是中国吉翁电子(TOTOLINK)公司的一款无线路由器。本周,TOTOLINK A3300R被披露存在命令注入漏洞。该漏洞源于请求/cgi-bin/cstecgi.cgi的setddnscfg函数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

    参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-41866

    6.微软发布了2023年5月份的月度例行安全公告

    修复了多款产品存在的35个安全漏洞。受影响的产品包括:Windows 11 22H2(19个)、Windows 11(20个)、Windows Server 2022(18个)、Windows 10 22H2(19个)、Windows 10 21H2(19个)、Windows 10 20H2(19个)、Windows 8.1 & Server 2012 R2(15个)、Windows Server 2012(15个)和Microsoft Office-related software(6个)。

    利用上述漏洞,攻击者可进行欺骗,绕过安全功能限制,获取敏感信息,提升权限,执行远程代码,或发起拒绝服务攻击等。CNVD提醒广大Microsoft用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。

    CVE编号

    公告标题

    最高严重等级和漏洞影响

    受影响的软件

    CVE-2023-24943

    Windows Pragmatic General Multicast (PGM) 远程代码执行漏洞

    严重

    远程代码执行

    Windows 11 22H2

    Windows 11 version 21H2

    Server 2022

    Server 2019

    Windows 10

    Server 2016

    Server 2012 R2

    Server 2012

    CVE-2023-24941

    Windows Network File System远程代码执行漏洞

    严重

    远程代码执行

    Server 2022

    Server 2019

    Server 2016

    Server 2012 R2

    Server 2012

    CVE-2023-24932

    Secure Boot安全功能绕过漏洞

    重要

    安全功能绕过

    Windows 11 22H2

    Windows 11 version 21H2

    Server 2022

    Server 2019

    Windows 10

    Server 2016

    Server 2012 R2

    Server 2012

    CVE-2023-29325

    Windows OLE远程代码执行漏洞

    严重

    远程代码执行

    Windows 11 22H2

    Windows 11 version 21H2

    Server 2022

    Server 2019

    Windows 10

    Server 2016

    Server 2012 R2

    Server 2012

    CVE-2023-29336

    Win32k权限提升漏洞

    重要

    特权提升

    Windows 10

    Server 2016

    Server 2012 R2

    Server 2012

    CVE-2023-24947

    Windows Bluetooth Driver远程代码执行漏洞

    重要

    远程代码执行

    Server 2019

    Windows 10

    Server 2016

    CVE-2023-28283

    Windows Lightweight Directory Access Protocol (LDAP) 远程代码执行漏洞

    严重

    远程代码执行

    Windows 11 22H2

    Windows 11 version 21H2

    Server 2022

    Server 2019

    Windows 10

    Server 2016

    Server 2012 R2

    Server 2012

    CVE-2023-24903

    Windows Secure Socket Tunneling Protocol (SSTP) 远程代码执行漏洞

    严重

    远程代码执行

    Windows 11 22H2

    Windows 11 version 21H2

    Server 2022

    Server 2019

    Windows 10

    Server 2016

    Server 2012 R2

    Server 2012

    CVE-2023-29324

    Windows MSHTML Platform安全功能绕过漏洞

    重要

    安全功能绕过

    Windows 11 22H2

    Windows 11 version 21H2

    Server 2022

    Server 2019

    Windows 10

    Server 2016

    Server 2012 R2

    Server 2012

    CVE-2023-24953

    Microsoft Excel远程代码执行漏洞

    重要

    远程代码执行

    Office LTSC 2021

    Office LTSC for Mac 2021

    Excel 2013

    Excel 2016

    Office 2019 for Mac

    Office 2019

    365 Apps Enterprise

    Office Online Server

     

    (重要漏洞安全提示内容来源:国家信息安全漏洞共享平台www.cnvd.org.cn)

     

    二、网络安全重点工作提示

    1.请对以上漏洞排查、修复。

    2.请对所管辖的各业务系统进行定期密码修改,加强密码强度。

    3.请各网络安全管理员履行工作,提示本部门做好以上工作。

  • 上一篇: 第17周网络安全风险提示
  • 下一篇:无