CNVD漏洞周报2020年第31期(3)

图8 移动互联网行业漏洞统计

图9 工控系统行业漏洞统计 本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、 Cisco产品安全漏洞

Cisco SD-WAN vManage Software是一款用于SD-WAN（软件定义广域网络）解决方案的管理软件。Cisco Data Center NetworkManager（DCNM）是一套数据中心管理系统。Cisco SD-WAN Solution是一套网络扩展解决方案。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取或修改系统上的任意文件，以root用户权限登录账户，执行任意命令，导致系统内存耗尽（拒绝服务）等。

CNVD收录的相关漏洞包括：Cisco SD-WAN vManageSoftware SQL注入漏洞（CNVD-2020-42256）、Cisco SD-WAN vManage Software资源管理错误漏洞、Cisco SD-WAN vManage Software路径遍历漏洞、Cisco SD-WAN vManage Software授权问题漏洞、Cisco SD-WAN vManage Software路径遍历漏洞（CNVD-2020-42258）、Cisco Data Center NetworkManager参数注入漏洞、Cisco SD-WAN Solution权限许可和访问控制问题漏洞（CNVD-2020-42261）、Cisco SD-WAN Solution缓冲区溢出漏洞。其中，除“Cisco SD-WAN vManage Software授权问题漏洞、Cisco Data Center Network Manager参数注入漏洞、Cisco SD-WAN Solution权限许可和访问控制问题漏洞（CNVD-2020-42261）、Cisco SD-WAN Solution缓冲区溢出漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。 参考链接： https://www.cnvd.org.cn/flaw/show/CNVD-2020-42256 https://www.cnvd.org.cn/flaw/show/CNVD-2020-42255 https://www.cnvd.org.cn/flaw/show/CNVD-2020-42260 https://www.cnvd.org.cn/flaw/show/CNVD-2020-42259 https://www.cnvd.org.cn/flaw/show/CNVD-2020-42258 https://www.cnvd.org.cn/flaw/show/CNVD-2020-42257 https://www.cnvd.org.cn/flaw/show/CNVD-2020-42261

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43668

2、Microsoft产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。本周，上述产品被披露存在权限提升漏洞，攻击者可利用漏洞提升权限。 CNVD收录的相关漏洞包括：Microsoft WindowsWalletService权限提升漏洞（CNVD-2020-43094、CNVD-2020-43098、CNVD-2020-43096）、Microsoft Windows Delivery Optimization service权限提升漏洞、Microsoft Windows Modules Installer权限提升漏洞、Microsoft Windows Update Stack权限提升漏洞、Microsoft Windows Profile Service权限提升漏洞、Microsoft Windows psmsrv.dll权限提升漏洞。其中，“Microsoft Windows Update Stack权限提升漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。 参考链接： https://www.cnvd.org.cn/flaw/show/CNVD-2020-43094 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43098 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43096 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43101 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43100 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43099 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43105 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43110 3、Adobe产品安全漏洞 AdobeBridge是一款免费数字资产管理应用程序。Adobe Photoshop，简称“PS”，是由Adobe公司开发和发行的图像处理软件。本周，上述产品被披露存在越界读取和越界写入漏洞，攻击者可利用漏洞执行任意代码。 CNVD收录的相关漏洞包括：Adobe Photoshop越界写入漏洞（CNVD-2020-43379、CNVD-2020-43378、CNVD-2020-43380）、Adobe Photoshop越界读取漏洞（CNVD-2020-43381、CNVD-2020-43382）、Adobe Bridge越界写入漏洞（CNVD-2020-43384、CNVD-2020-43383）、Adobe Bridge越界读取漏洞（CNVD-2020-43385）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。 参考链接： https://www.cnvd.org.cn/flaw/show/CNVD-2020-43379 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43378 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43381 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43380 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43382 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43384 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43383 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43385 4、Google产品安全漏洞 Chrome是由Google开发的一款Web浏览工具。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，执行任意代码或造成应用程序崩溃。 CNVD收录的相关漏洞包括：Google Chrome信息泄漏漏洞（CNVD-2020-43474、CNVD-2020-43484）、Google Chrome类型混淆漏洞（CNVD-2020-43473、CNVD-2020-43483）、Google Chrome WebRTC输入验证错误漏洞、Google Chrome缓冲区溢出漏洞（CNVD-2020-43482、CNVD-2020-43485）、Google Chrome释放后重用漏洞（CNVD-2020-43480）。其中，“Google Chrome缓冲区溢出漏洞（CNVD-2020-43482）、Google Chrome释放后重用漏洞（CNVD-2020-43480）、Google Chrome类型混淆漏洞（CNVD-2020-43483）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。 参考链接： https://www.cnvd.org.cn/flaw/show/CNVD-2020-43474 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43473 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43476 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43482 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43480 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43484 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43483 https://www.cnvd.org.cn/flaw/show/CNVD-2020-43485

5、NETGEAR R6700缓冲区溢出漏洞（CNVD-2020-43667）