漏洞信息月度通报2021年第1期-内蒙古电子信息学院信息中心

网络信息安全

漏洞信息月度通报2021年第1期

时间： 2021-02-01 00:00 点击：

情况综述

本月国家信息安全漏洞共享平台（以下简称CNVD）收集整理信息安全漏洞的基本情况如下：

收集整理信息安全漏洞1660个，其中高危漏洞570个，中危漏洞914个，低危漏洞176个。上述漏洞中，可被利用来实施远程网络攻击的漏洞有1148个。

1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中，对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号	漏洞名称	编号及影响产品信息		影响描述
1	Google多款产品存在安全漏洞	CNVD编号	CNVD-2021-01349、CNVD-2021-04374 CNVD-2021-04373、CNVD-2021-04372 CNVD-2021-04376、CNVD-2021-04375 CNVD-2021-04379、CNVD-2021-04393 CNVD-2021-04421、CNVD-2021-05124	本月，Google多款产品存在安全漏洞。攻击者可利用漏洞在两个蓝牙设备之间远程升级特权，而无需其他执行特权，导致本地特权提升，获取服务器控制权限等。本月漏洞包括：Google Android Pixel存在缓冲区溢出漏洞、Google Android System远程代码执行漏洞（CNVD-2021-04374）、Google Android System权限提升漏洞（CNVD-2021-04373、CNVD-2021-04372）、Google Android Media Framework信息泄露漏洞（CNVD-2021-04376、CNVD-2021-04375）、Google Android Framework信息泄露漏洞（CNVD-2021-04379）、Google Chrome资源管理错误漏洞（CNVD-2021-04393、CNVD-2021-05124）、Google Chrome内存错误引用漏洞（CNVD-2021-04421）等。




		其他编号	CVE-2020-0455、CVE-2021-0316 CVE-2020-0471、CVE-2021-0308 CVE-2021-0311、CVE-2021-0312 CVE-2021-0309、CVE-2020-16039 CVE-2021-21106、CVE-2020-6572




		发布时间	2021/01/20
		影响产品	Google Chrome Google Android







2	Microsoft多款产品存在安全漏洞	CNVD编号	CNVD-2021-01037、CNVD-2021-01041 CNVD-2021-01040、CNVD-2021-01039 CNVD-2021-01038、CNVD-2021-01044 CNVD-2021-01043、CNVD-2021-01042 CNVD-2021-01046、CNVD-2021-01045	本月，Microsoft多款产品存在安全漏洞。攻击者可利用漏洞执行当前进程中的代码，获得特权提升，创建拥有完全用户权限等。本月漏洞包括：Microsoft Excel远程代码执行漏洞（CNVD-2021-01037）、Microsoft Visual Studio远程代码执行漏洞（CNVD-2021-01041）、Microsoft Windows Storage Services权限提升漏洞、Microsoft Windows Universal Plug and Play (UPnP)权限提升漏洞、Microsoft Windows Win32k.sys权限提升漏洞、Microsoft Exchange Server远程代码执行漏洞（CNVD-2021-01044）、Microsoft Microsoft Windows Codecs Library远程代码执行漏洞（CNVD-2021-01043、CNVD-2021-01042）、Microsoft Windows Graphics Device Interface (GDI)远程代码执行漏洞、Microsoft COM for Windows远程代码执行漏洞（CNVD-2021-01045）等。




		其他编号	CVE-2020-1594、CVE-2020-16874 CVE-2020-1559、CVE-2020-1598 CVE-2020-1152、CVE-2020-16875 CVE-2020-1129、CVE-2020-1319 CVE-2020-1285、CVE-2020-0922




		发布时间	2021/01/07
		影响产品	Microsoft Excel 2010 Microsoft Visual Studio 2017 Microsoft Windows Server 2008 Microsoft Windows Server 2012 Microsoft Exchange Server 2019 Microsoft Windows 10 Microsoft Excel 2013 Microsoft Visual Studio 2012 Microsoft Windows 8.1 Microsoft Exchange Server 2016 Microsoft Windows Server 2016 Microsoft Windows 7 Microsoft Excel 2016 Microsoft Visual Studio 2013 Microsoft Windows RT 8.1 Microsoft Windows Server 2019 Microsoft Office 2019 Microsoft Excel 2019 Microsoft Windows Server Microsoft 365 Apps















3	Cisco多款产品存在安全漏洞	CNVD编号	CNVD-2021-03256、CNVD-2021-05389 CNVD-2021-05392、CNVD-2021-05391 CNVD-2021-05390、CNVD-2021-05394 CNVD-2021-05460、CNVD-2021-05459 CNVD-2021-05520、CNVD-2021-03567	本月，Cisco多款产品存在安全漏洞。攻击者可以利用漏洞通过向SSO配置提交特制的输入利用该漏洞以root权限在受影响的系统上执行任意命令，越权访问敏感信息，在Cisco DNA Center管理的设备上执行任意CLI命令等。本月漏洞包括：Cisco Connected Mobile Experiences访问控制错误漏洞、Cisco SD-WAN vMange命令注入漏洞（CNVD-2021-05389）、Cisco SD-WAN vManage授权绕过漏洞（CNVD-2021-05392）、Cisco DNA Center命令注入漏洞、Cisco SD-WAN vMange命令注入漏洞、Cisco DNA Center跨站请求伪造漏洞、Cisco SD-WAN CLI命令注入漏洞（CNVD-2021-05460、CNVD-2021-05459）、Cisco AnyConnect Secure Mobility Client for Windows代码问题漏洞（CNVD-2021-05520）、Cisco DNA Center跨站脚本漏洞（CNVD-2021-03567）等。




		其他编号	CVE-2021-1144、CVE-2021-1298 CVE-2021-1305、CVE-2021-1264 CVE-2021-1299、CVE-2021-1257 CVE-2021-1262、CVE-2021-1261 CVE-2021-1237、CVE-2021-1130




		发布时间	2020/01/243
		影响产品	Cisco Connected Mobile Experiences Cisco SD-WAN vManage Cisco AnyConnect Secure Mobility Client for Windows Cisco DNA Center







4	Dell多款产品存在安全漏洞	CNVD编号	CNVD-2021-00037、CNVD-2021-02357 CNVD-2021-03011、CNVD-2021-03010 CNVD-2021-03009、CNVD-2021-03541 CNVD-2021-03547、CNVD-2021-05125 CNVD-2021-00014、CNVD-2021-00022	本月，Dell多款产品存在安全漏洞。攻击者可利用漏洞可借助符号链接利用该漏洞提升权限，在系统管理模式（SMM）下执行任意代码，执行任意操作系统命令等。本月漏洞包括：Dell Encryption和Dell Endpoint Security Suite权限提升漏洞、Dell Inspiron 5675 BIOS访问控制错误漏洞、Dell Encryption和Dell Endpoint Security Suite提权漏洞、Dell Inspiron 7352 BIOS引导服务覆盖漏洞（CNVD-2021-03010、CNVD-2021-03009）、Dell EMC Avamar Server SQL注入漏洞、Dell EMC Avamar Server路径遍历漏洞（CNVD-2021-05125、CNVD-2021-03547）、Dell EMC Unisphere for PowerMax跨站脚本漏洞、Dell EMC iDRAC9跨站脚本漏洞等。




		其他编号	CVE-2020-5385、CVE-2020-26186 CVE-2020-5358、CVE-2020-5379 CVE-2020-5376、CVE-2020-29493 CVE-2020-29494、CVE-2020-29495 CVE-2020-35170、CVE-2020-26198




		发布时间	2020/01/15
		影响产品	DELL Encryption DELL Inspiron 5675 BIOS DELL Inspiron 7352 BIOS DELL Dell Inspiron 7347 BIOS DELL EMC Avamar Server DELL Dell EMC Unisphere for PowerMax DELL Dell EMC iDRAC9
5	IBM多款产品存在安全漏洞	CNVD编号	CNVD-2021-01274、CNVD-2021-02005 CNVD-2021-03568、CNVD-2021-05464 CNVD-2021-06634、CNVD-2021-06635 CNVD-2021-01063、CNVD-2021-01067 CNVD-2021-01066、CNVD-2021-01065	本月，IBM多款产品存在安全漏洞。攻击者可利用漏洞通过纯文本传输绕过对数据的访问限制，以获取敏感信息，在系统上执行任意命令，捕获用户请求URL利用该漏洞提升权限等。本月漏洞包括：IBM API Connect访问控制错误漏洞（CNVD-2021-01274）、IBM Sterling B2B Integrator任意代码执行漏洞、IBM Workload Automation信息泄露漏洞（CNVD-2021-03568）、IBM Security Guardium命令注入漏洞、IBM WebSphere Application Server XML外部实体注入漏洞（CNVD-2021-06634）、IBM Security Identity Governance身份验证漏洞、IBM Cloud Pak System权限提升漏洞、IBM Cloud Pak System任意文件上传漏洞（CNVD-2021-01067）、IBM Cloud Pak System会话固定漏洞、IBM Cloud Pak System跨站请求伪造漏洞（CNVD-2021-01065）等。




		其他编号	CVE-2020-4899、CVE-2019-4728 CVE-2021-4673、CVE-2020-4688 CVE-2020-4949、CVE-2020-4958 CVE-2020-4912、CVE-2020-4928 CVE-2020-4919、CVE-2020-4917




		发布时间	2020/01/07
		影响产品	IBM Sterling B2B Integrator Standard Edition IBM Workload Automation IBM Security Guardium IBM WebSphere Application Server IBM Security Identity Governance IBM Cloud Pak System
6	SAP多款产品存在安全漏洞	CNVD编号	CNVD-2021-03705、CNVD-2021-00095 CNVD-2021-03122、CNVD-2021-03121 CNVD-2021-03120、CNVD-2021-03125 CNVD-2021-03124、CNVD-2021-03123 CNVD-2021-03129、CNVD-2021-03128	本月，SAP多款产品存在安全漏洞。攻击者可利用漏洞调用某些仅限于管理员的功能，包括访问系统管理功能或完全关闭系统，注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话，使得应用崩溃等。本月漏洞包括：SAP Netweaver AS JAVA授权问题漏洞、SAP NetWeaver AS ABAP跨站脚本漏洞、SAP 3D Visual Enterprise Viewer缓冲区溢出漏洞（CNVD-2021-03122、CNVD-2021-03121、CNVD-2021-03120、CNVD-2021-03125、CNVD-2021-03124、CNVD-2021-03123、CNVD-2021-03129、CNVD-2021-03128）等。




		其他编号	CVE-2020-26829、CVE-2020-6324 CVE-2021-21462、CVE-2021-21463 CVE-2021-21464、CVE-2021-21458 CVE-2021-21460、CVE-2021-21461 CVE-2021-21455、CVE-2021-21456




		发布时间	2021/01/15
		影响产品	SAP NetWeaver AS JAVA SAP NetWeaver AS ABAP SAP 3D Visual Enterprise Viewer
7	Mozilla多款产品存在安全漏洞	CNVD编号	CNVD-2021-03554、CNVD-2021-04747 CNVD-2021-04746、CNVD-2021-04744 CNVD-2021-04748、CNVD-2021-04745 CNVD-2021-04750、CNVD-2021-04749 CNVD-2021-04827、CNVD-2021-07320	本月，Mozilla多款产品存在安全漏洞。攻击者可利用漏洞导致拒绝服务条件，拒绝向合法用户提供服务，提交特殊的WEB请求，诱使用户解析，可使应用程序崩溃或可以应用程序上下文执行任意代码，运行任意代码等。本月漏洞包括：Mozilla Firefox拒绝服务漏洞（CNVD-2021-03554）、Mozilla Firefox内存破坏漏洞（CNVD-2021-04747）、Mozilla Firefox ESR缓冲区溢出漏洞（CNVD-2021-04746）、Mozilla Firefox资源管理错误漏洞（CNVD-2021-04744、CNVD-2021-07320）、Mozilla Firefox跨站脚本漏洞（CNVD-2021-04748）、Mozilla Firefox ESR跨站脚本漏洞（CNVD-2021-04745）、Mozilla Thunderbird/Firefox ESR释放后重用漏洞、Mozilla Firefox代码执行漏洞（CNVD-2021-04749）、Mozilla FireFox信息泄露漏洞（CNVD-2021-04827）等。




		其他编号	CVE-2020-16044、CVE-2020-15683 CVE-2020-26968、CVE-2020-26953 CVE-2020-15676、CVE-2020-26958 CVE-2020-15669、CVE-2020-15673 CVE-2020-26966、CVE-2020-26961




		发布时间	2020/01/21
		影响产品	Mozilla Firefox Mozilla Firefox ESR Mozilla Thnderbird
8	Oracle多款产品存在安全漏洞	CNVD编号	CNVD-2021-00842、CNVD-2021-05110 CNVD-2021-00390、CNVD-2021-00392 CNVD-2021-00396、CNVD-2021-00835 CNVD-2021-00837、CNVD-2021-00834 CNVD-2021-00841、CNVD-2021-00838	本月，Oracle多款产品存在安全漏洞。攻击者可利用漏洞拥有本地登录特权，登录到调度程序执行的基础设施，从而危及调度程序，导致Scheduler被接管，构造恶意请求，造成JNDI注入，执行任意代码，从而控制服务器等。本月漏洞包括：Oracle Database Server Scheduler component未授权访问漏洞、Oracle Weblogic远程代码执行漏洞、Oracle Security Service信息泄露漏洞、Oracle Unified Directory拒绝服务漏洞、Oracle Database Server信息泄露漏洞、Oracle Database Server Express Quick Poll component权限获取漏洞、Oracle Database Server Database Filesystem component未授权访问漏洞、Oracle MySQL Cluster Cluster NDBCluster Plugin拒绝服务漏洞、Oracle Database Server Oracle Text component未授权访问漏洞、Oracle Database Server Oracle Application Express component未授权访问漏洞等。




		其他编号	CVE-2020-14735、CVE-2021-2109 CVE-2020-14655、CVE-2020-14565 CVE-2020-14900、CVE-2020-14763 CVE-2020-14741、CVE-2020-14853 CVE-2020-14734、CVE-2020-14762




		发布时间	2020/01/05
		影响产品	Oracle Database Server Oracle WebLogic Server Oracle Security Service Oracle Unified Directory Oracle Database Server Database Filesystem component Oracle Database Server Express Quick Poll component Oracle MySQL Cluster Cluster NDBCluster Plugin Oracle Database Server Oracle Application Express component

表1 本月重要漏洞信息

1.2漏洞分类统计

根据漏洞影响对象的类型，漏洞可分为WEB应用、应用程序、操作系统、网络设备（交换机、路由器等网络端设备）、数据库、安全产品（如防火墙、入侵检测系统等）和智能设备（物联网终端设备）漏洞。不同类型漏洞的分布如图1所示，本月应用程序占比例较大。与前12个月相比，本月应用程序，数据库，网络设备（交换机、路由器等网络端设备），智能设备（物联网终端设备）漏洞的数量处于高位，操作系统，WEB应用和安全产品漏洞的数量处于低位。

图1 漏洞类型分布

1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计，本月用户关注度最高的5个漏洞如表2所示。

关注度排名	漏洞名称	CNVD编号	发布时间
1	北京坤豆科技有限公司幕布存在命令执行漏洞	CNVD-2020-68878	2021/01/01
2	紫金桥RealHistorian跨平台实时数据库存在未授权访问漏洞	CNVD-2020-72370	2021/01/15
3	网御星云Power V6000-F2310存在命令执行漏洞	CNVD-2020-69493	2021/01/04
4	信锐企业级无线AP存在弱口令漏洞	CNVD-2020-75247	2021/01/28
5	幻阵——高级威胁狩猎与溯源系统存在信息泄露漏洞	CNVD-2020-73486	2021/01/09

表2 本月被关注漏洞TOP5

从表2可以看出，本月用户关注的主要是北京坤豆科技有限公司幕布存在命令执行漏洞，其访问量达到80次以上。攻击者可利用该漏洞获取服务器权限。

1.4漏洞趋势

本月，CNVD收集整理信息安全漏洞1660个，与前12个月平均收录数量1727个相比，处于低位；本月高危漏洞570个，与前12个月高危漏洞平均收录数量619个相比，处于低位。本月的总体漏洞趋势如图2所示。

图2 漏洞发布趋势

由图2所示，本月16日发布的安全漏洞数量最多，都高达274个，主要是因为收录了北京海腾时代科技有限公司等多款产品存在的多个漏洞。

2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中，北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、北京神州绿盟科技有限公司、华为技术有限公司、新华三技术有限公司、远江盛邦（北京）网络安全科技股份有限公司、南京众智维信息科技有限公司、北京山石网科信息技术有限公司、国瑞数码零点实验室、北京华顺信安科技有限公司、北京天地和兴、上海犀点意象网络科技有限公司、北京华云安信息技术有限公司、新疆海狼科技有限公司、河南信安世纪科技有限公司、河南灵创电子科技有限公司、山东华鲁科技发展股份有限公司、山东新潮信息技术有限公司、安徽长泰信息安全服务有限公司、江苏保旺达软件技术有限公司、杭州迪普科技股份有限公司、山东云天安全技术有限公司、西门子（中国）有限公司、北京顶象技术有限公司、内蒙古奥创科技有限公司、西安交大捷普网络科技有限公司、广州市蓝爵计算机科技有限公司、北京信联科汇科技有限公司、京东云安全、北京机沃科技有限公司、北京惠而特科技有限公司、广西等保安全测评有限公司、杭州海康威视数字技术股份有限公司、上海观安信息技术股份有限公司、任子行网络技术股份有限公司、北京中科微澜科技有限公司、百度在线网络技术有限公司、福建省海峡信息技术有限公司、郑州云智信安安全技术有限公司、重庆贝特计算机系统工程有限公司、北京圣博润高新技术股份有限公司、浙江鹏信信息科技股份有限公司、北京零零信安科技有限公司、北京长亭科技有限公司、贵州多彩宝互联网服务有限公司、吉林谛听信息技术有限公司、星云博创科技有限公司、北京网御星云信息技术有限公司、上海市信息安全测评认证中心、北京时代新威信息技术有限公司、木链科技、四川哨兵信息科技有限公司、信联科技（南京）有限公司、北京智游网安科技有限公司、广州安亿信软件科技有限公司、上海纽盾科技股份有限公司、北京明朝万达科技股份有限公司、北京云科安信科技有限公司（Seraph安全实验室）、武汉明嘉信信息安全检测评估有限公司、北京时代新威信息技术有限公司、北京安华金和科技有限公司、北京时代新威信息技术有限公司、国网山东省电力公司、山东道普测评技术有限公司、深圳市魔方安全科技有限公司、北京时代新威信息技术有限公司、浙江大学控制科学与工程学院、北京禹宏信安科技有限公司、北京驭安科技有限公司、广西塔易信息技术有限公司、广州市云聚数据服务有限公司、河南省鼎信信息安全等级测评有限公司、湖南浩基信息技术有限公司、南京节点安全技术有限公司、平安银河实验室、上海崤函信息科技有限公司、重庆都会信息科技有限公司、中国科学院计算机网络信息中心及其他个人白帽子向CNVD提交了21168个以事件型漏洞为主的原创漏洞。其中包括奇安信网神（补天平台）、斗象科技（漏洞盒子）和上海交大向CNVD共享的白帽子报送的13775条原创漏洞信息。

单位或个人	漏洞上报总数	原创漏洞数量
斗象科技（漏洞盒子）	8028	8028
上海交大	3004	3004
奇安信网神（补天平台）	2743	2743
北京天融信网络安全技术有限公司	1255	26
哈尔滨安天科技集团股份有限公司	1059	0
北京神州绿盟科技有限公司	664	77
华为技术有限公司	620	0
新华三技术有限公司	410	0
深信服科技股份有限公司	404	0
北京启明星辰信息安全技术有限公司	306	74
北京数字观星科技有限公司	267	0
中国电信集团系统集成有限责任公司	168	168
中国电信股份有限公司网络安全产品运营中心	80	0
杭州安恒信息技术股份有限公司	56	56
西安四叶草信息技术有限公司	26	26
北京知道创宇信息技术股份有限公司	16	1
恒安嘉新(北京)科技股份公司	12	3
阿里云计算有限公司	1	1
远江盛邦（北京）网络安全科技股份有限公司	628	628
南京众智维信息科技有限公司	595	595
北京山石网科信息技术有限公司	521	521
国瑞数码零点实验室	423	423
北京华顺信安科技有限公司	194	1
北京天地和兴	171	171
上海犀点意象网络科技有限公司	157	157
北京华云安信息技术有限公司	153	153
新疆海狼科技有限公司	144	144
河南信安世纪科技有限公司	141	141
河南灵创电子科技有限公司	124	124
山东华鲁科技发展股份有限公司	112	112
山东新潮信息技术有限公司	106	106
安徽长泰信息安全服务有限公司	67	67
江苏保旺达软件技术有限公司	64	64
杭州迪普科技股份有限公司	61	0
山东云天安全技术有限公司	55	55
西门子（中国）有限公司	45	0
北京顶象技术有限公司	41	41
内蒙古奥创科技有限公司	39	39
西安交大捷普网络科技有限公司	35	35
广州市蓝爵计算机科技有限公司	33	33
北京信联科汇科技有限公司	27	27
京东云安全	26	26
北京机沃科技有限公司	21	21
北京惠而特科技有限公司	20	20
广西等保安全测评有限公司	18	18
杭州海康威视数字技术股份有限公司	17	17
上海观安信息技术股份有限公司	17	17
任子行网络技术股份有限公司	15	15
北京中科微澜科技有限公司	13	13
百度在线网络技术有限公司	11	11
福建省海峡信息技术有限公司	11	11
郑州云智信安安全技术有限公司	10	10
重庆贝特计算机系统工程有限公司	9	9
北京圣博润高新技术股份有限公司	8	8
浙江鹏信信息科技股份有限公司	8	8
北京零零信安科技有限公司	7	7
北京长亭科技有限公司	7	7
贵州多彩宝互联网服务有限公司	7	7
吉林谛听信息技术有限公司	7	7
星云博创科技有限公司	7	7
北京网御星云信息技术有限公司	6	6
上海市信息安全测评认证中心	6	6
北京时代新威信息技术有限公司	5	5
木链科技	5	5
四川哨兵信息科技有限公司	5	5
信联科技（南京）有限公司	5	5
北京智游网安科技有限公司	4	4
广州安亿信软件科技有限公司	4	4
上海纽盾科技股份有限公司	4	4
北京明朝万达科技股份有限公司	3	3
北京云科安信科技有限公司（Seraph安全实验室）	3	3
武汉明嘉信信息安全检测评估有限公司	3	3
北京时代新威信息技术有限公司	2	2
北京安华金和科技有限公司	2	2
北京时代新威信息技术有限公司	2	2
国网山东省电力公司	2	2
山东道普测评技术有限公司	2	2
深圳市魔方安全科技有限公司	2	2
北京时代新威信息技术有限公司	2	2
浙江大学控制科学与工程学院	2	2
北京禹宏信安科技有限公司	1	1
北京驭安科技有限公司	1	1
广西塔易信息技术有限公司	1	1
广州市云聚数据服务有限公司	1	1
河南省鼎信信息安全等级测评有限公司	1	1
湖南浩基信息技术有限公司	1	1
南京节点安全技术有限公司	1	1
平安银河实验室	1	1
上海崤函信息科技有限公司	1	1
重庆都会信息科技有限公司	1	1
中国科学院计算机网络信息中心	1	1
个人	3005	3005
总计	1660（去重）	21168

表3 单位和个人上报漏洞统计