漏洞信息月度通报2021年第9期

2021-10-08 16:51:33

情况综述

本月国家信息安全漏洞共享平台（以下简称CNVD）收集整理信息安全漏洞的基本情况如下：

收集整理信息安全漏洞2273个，其中高危漏洞620个，中危漏洞1414个，低危漏洞239个。上述漏洞中，可被利用来实施远程网络攻击的漏洞有1711个。

1. 本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中，对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号	漏洞名称	编号及影响产品信息		影响描述
1	Microsoft多款产品存在安全漏洞	CNVD编号	CNVD-2021-67489、CNVD-2021-67488 CNVD-2021-67491、CNVD-2021-67490 CNVD-2021-68735、CNVD-2021-68738 CNVD-2021-71410、CNVD-2021-71411 CNVD-2021-71413、CNVD-2021-71414	本月，Microsoft多款产品存在安全漏洞。攻击者可利用漏洞修改加密目录，在受害者系统上执行任意代码等。本月漏洞包括：Microsoft Windows/Windows Server远程代码执行漏洞（CNVD-2021-67489、CNVD-2021-67488、CNVD-2021-67491、CNVD-2021-67490）、Microsoft Windows/Windows Server权限提升漏洞（CNVD-2021-68735、CNVD-2021-68738）、Microsoft Windows和Windows Server远程代码执行漏洞（CNVD-2021-71410、CNVD-2021-71411、CNVD-2021-71413、CNVD-2021-71414）等。
		其他编号	CVE-2020-1409、CVE-2020-1407 CVE-2020-1435、CVE-2020-1412 CVE-2020-0998、CVE-2020-0782 CVE-2020-16924、CVE-2020-1167 CVE-2020-16911、CVE-2020-1067
		发布时间	2021/09/02
		影响产品	Microsoft Windows Server 2008 Microsoft Windows 7 Microsoft Windows 8.1 Microsoft Windows RT 8.1 Microsoft Windows Server 2012 Microsoft Windows 10 Microsoft Windows Server 2016 Microsoft Windows Server 2019 Microsoft Windows Server

2	Siemens多款产品存在安全漏洞	CNVD编号	CNVD-2021-67536、CNVD-2021-71420 CNVD-2021-71419、CNVD-2021-71428 CNVD-2021-71429、CNVD-2021-71430 CNVD-2021-71440、CNVD-2021-71439 CNVD-2021-71443、CNVD-2021-71446	本月，Siemens多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息，获取root权限，导致拒绝服务等。本月漏洞包括：Siemens SIMATIC PCS 7安全绕过漏洞、Siemens RUGGEDCOM ROX信息泄露漏洞、Siemens RUGGEDCOM ROX权限提升漏洞、Siemens SIPROTEC 5输入验证不当漏洞、Siemens SINEC NMS跨站请求伪造漏洞、Siemens SINEC NMS路径遍历漏洞、Siemens Teamcenter访问控制错误漏洞、Siemens Teamcenter代码问题漏洞、Siemens SIMATIC NET CP模块拒绝服务漏洞、Siemens SIPROTEC 5 relays缓冲区溢出漏洞等。




		其他编号	CVE-2021-31894、CVE-2021-37173 CVE-2021-37174、CVE-2021-37206 CVE-2021-37201、CVE-2021-37200 CVE-2021-40354、CVE-2021-40355 CVE-2021-33737、CVE-2021-33719




		发布时间	2021/09/16
		影响产品	SIEMENS SIMATIC PDM SIEMENS SIMATIC PCS 7 SIEMENS SINAMICS STARTER (containing STEP 7 OEM version) Siemens SIMATIC STEP 7 Siemens RUGGEDCOM ROX RX1512 Siemens RUGGEDCOM ROX RX1511 Siemens RUGGEDCOM ROX RX1510 Siemens RUGGEDCOM ROX RX1501 Siemens RUGGEDCOM ROX RX1500 Siemens RUGGEDCOM ROX RX1400 Siemens RUGGEDCOM ROX MX5000 Siemens RUGGEDCOM ROX RX1536 Siemens RUGGEDCOM ROX RX1524 Siemens RUGGEDCOM ROX RX5000 Siemens SIPROTEC 5 relays with CPU variants CP300 Siemens SIPROTEC 5 relays with CPU variants CP200 Siemens SIPROTEC 5 relays with CPU variants CP100 Siemens SIPROTEC 5 relays with CPU variants CP050 Siemens SINEC NMS Siemens Teamcenter Siemens SIMATIC CP 343-1 ERPC Siemens SIMATIC CP 343-1 (incl. SIPLUS variants) Siemens SIMATIC CP 343-1 Advanced (incl. SIPLUS vari- ants) Siemens SIMATIC CP 343-1 Lean (incl. SIPLUS variants)















3	Adobe多款产品存在安全漏洞	CNVD编号	CNVD-2021-73434、CNVD-2021-73437 CNVD-2021-73436、CNVD-2021-73435 CNVD-2021-74107、CNVD-2021-74106 CNVD-2021-74110、CNVD-2021-74108 CNVD-2021-74117、CNVD-2021-74116	本月，Adobe多款产品存在安全漏洞。攻击者可以利用漏洞执行任意代码。本月漏洞包括：Adobe Framemaker越界写入漏洞（CNVD-2021-73434、CNVD-2021-73435）、Adobe Framemaker内存越界访问漏洞（CNVD-2021-73436、CNVD-2021-73437）、Adobe Bridge越界写入漏洞（CNVD-2021-74117、CNVD-2021-74116）、Adobe Bridge内存破坏漏洞（CNVD-2021-74107、CNVD-2021-74106）、Adobe Illustrator 2021内存破坏漏洞（CNVD-2021-74110）、Adobe Illustrator 2021操作系统命令注入漏洞等。




		其他编号	CVE-2021-39831、CVE-2021-39832 CVE-2021-39830、CVE-2021-39829 CVE-2021-39817、CVE-2021-39816 CVE-2021-36009、CVE-2021-36011 CVE-2021-35989、CVE-2021-35990




		发布时间	2021/09/27
		影响产品	Adobe Framemaker Adobe Bridge Adobe Illustrator 2021







4	Google多款产品存在安全漏洞	CNVD编号	CNVD-2021-67540、CNVD-2021-67539 CNVD-2021-67538、CNVD-2021-67548 CNVD-2021-67547、CNVD-2021-67546 CNVD-2021-67552、CNVD-2021-67551 CNVD-2021-67550、CNVD-2021-67549	本月，Google多款产品存在安全漏洞。攻击者可利用该漏洞获取敏感信息，执行任意代码，导致拒绝服务等。本月漏洞包括：Google Chrome WebApp Installs代码执行漏洞、Google Chrome Bookmarks代码执行漏洞、Google Chrome Autofill代码执行漏洞（CNVD-2021-67538）、Google Chrome TabStrip缓冲区溢出漏洞、Google Chrome Navigation信息泄露漏洞（CNVD-2021-67547）、Google Chrome Media代码执行漏洞、Google Chrome Extensions API代码执行漏洞、Google Chrome WebRTC代码执行漏洞（CNVD-2021-67550、CNVD-2021-67551）、Google Chrome Base internals代码执行漏洞等。




		其他编号	CVE-2021-30622、CVE-2021-30623 CVE-2021-30624、CVE-2021-30614 CVE-2021-30615、CVE-2021-30616 CVE-2021-30610、CVE-2021-30611 CVE-2021-30612、CVE-2021-30613




		发布时间	2021/09/02
		影响产品	Google Chrome
5	IBM多款产品存在安全漏洞	CNVD编号	CNVD-2021-68436、CNVD-2021-68438 CNVD-2021-68437、CNVD-2021-68763 CNVD-2021-69950、CNVD-2021-71523 CNVD-2021-71522、CNVD-2021-71526 CNVD-2021-71529、CNVD-2021-71527	本月，IBM多款产品存在安全漏洞。攻击者可利用漏洞解密高度敏感的信息，获取跟权限，注入代码等。本月漏洞包括：IBM Sterling Secure Proxy弱加密算法漏洞（CNVD-2021-68436、CNVD-2021-68437）、IBM Sterling Secure Proxy硬编码凭据漏洞、IBM DataPower Gateway代码注入漏洞、IBM Power HMC权限提升漏洞、IBM Planning Analytics信息泄露漏洞（CNVD-2021-71523、CNVD-2021-71522）、IBM AIX权限许可和访问控制问题漏洞（CNVD-2021-71526、CNVD-2021-71529）、IBM API Connect代码注入漏洞等。




		其他编号	CVE-2021-29722、CVE-2021-29728 CVE-2021-29723、CVE-2020-4992 CVE-2021-29707、CVE-2021-29851 CVE-2021-29853、CVE-2021-29801 CVE-2021-29741、CVE-2021-29772




		发布时间	2021/09/16
		影响产品	IBM Sterling Secure Proxy IBM DataPower Gateway IBM Power HMC IBM Planning Analytics IBM AIX IBM VIOS IBM API Connect
6	Cisco多款产品存在安全漏洞	CNVD编号	CNVD-2021-68723、CNVD-2021-68722 CNVD-2021-68721、CNVD-2021-68727 CNVD-2021-68726、CNVD-2021-68725 CNVD-2021-68724、CNVD-2021-68731 CNVD-2021-68733、CNVD-2021-73654	本月，Cisco多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息，将权限提升为具有写入权限的管理员，导致拒绝服务等。本月漏洞包括：Cisco NX-OS Software拒绝服务漏洞（CNVD-2021-68723、CNVD-2021-68721、CNVD-2021-68727）、Cisco Application Policy Infrastructure Controller任意文件读写漏洞、Cisco UCS Manager拒绝服务漏洞（CNVD-2021-68726）、Cisco Application Policy Infrastructure Controller权限提升漏洞（CNVD-2021-68725、CNVD-2021-68724）、Cisco Evolved Programmable Network Manager信息泄露漏洞、Cisco SD-WAN vManage Software信息泄露漏洞（CNVD-2021-68733）、多款Cisco SD-WAN产品缓冲区溢出漏洞等。




		其他编号	CVE-2021-1588、CVE-2021-1577 CVE-2021-1587、CVE-2021-1590 CVE-2021-1592、CVE-2021-1579 CVE-2021-1578、CVE-2021-34707 CVE-2021-34700、CVE-2021-1279




		发布时间	2021/09/07
		影响产品	Cisco NX-OS Software Cisco APIC Cisco Cloud APIC Cisco UCS Manager Cisco Evolved Programmable Network Manager Cisco SD-WAN vManage Cisco IOS XE SD-WAN Software Cisco SD-WAN vEdge Cloud Routers Cisco SD-WAN vManage Software Cisco SD-WAN vEdge Routers Cisco SD-WAN vBond Orchestrator Software Cisco SD-WAN vSmart Controller Software
7	Apache多款产品存在安全漏洞	CNVD编号	CNVD-2021-69948、CNVD-2021-70095 CNVD-2021-70101、CNVD-2021-70100 CNVD-2021-70099、CNVD-2021-70104 CNVD-2021-70103、CNVD-2021-70102 CNVD-2021-70121、CNVD-2021-70120	本月，Apache多款产品存在安全漏洞。攻击者可利用漏洞绕过身份验证，执行任意代码，导致拒绝服务等。本月漏洞包括：Apache jUDDI代码问题漏洞、Apache Roller资源管理错误漏洞、Apache Traffic Server环境问题漏洞（CNVD-2021-70101）、Apache CXF资源管理错误漏洞（CNVD-2021-70100）、Apache ServiceComb Service-Center路径遍历漏洞、Apache Pulsar数据伪造问题漏洞、Apache HTTP Server拒绝服务漏洞（CNVD-2021-70103）、Apache HTTP Server堆栈溢出漏洞、Apache Zeppelin跨站脚本漏洞、Apache Zeppelin命令注入漏洞等。
		其他编号	CVE-2021-37578、CVE-2021-33580 CVE-2021-27577、CVE-2021-30468 CVE-2021-21501、CVE-2021-22160 CVE-2020-26691、CVE-2020-35452 CVE-2021-27578、CVE-2019-10095
		发布时间	2021/09/11
		影响产品	Apache jUDDI Apache Roller Apache Traffic Server Apache CXF Apache ServiceComb Service-Center Apache Pulsar Apache HTTP Server Apache Zeppelin
8	Tuxera多款产品存在安全漏洞	CNVD编号	CNVD-2021-72267、CNVD-2021-72266 CNVD-2021-72269、CNVD-2021-72268 CNVD-2021-72271、CNVD-2021-72270 CNVD-2021-72272、CNVD-2021-72274 CNVD-2021-72273、CNVD-2021-72276	本月，Tuxera多款产品存在安全漏洞。攻击者可利用漏洞内存泄露，提升权限，执行任意代码等。本月漏洞包括：Tuxera NTFS-3G缓冲区溢出漏洞（CNVD-2021-72267、CNVD-2021-72266、CNVD-2021-72269、CNVD-2021-72268、CNVD-2021-72271、CNVD-2021-72270、CNVD-2021-72272、CNVD-2021-72274、CNVD-2021-72273、CNVD-2021-72276）等。




		其他编号	CVE-2021-35267、CVE-2021-35269 CVE-2021-33286、CVE-2021-35268 CVE-2021-33285、CVE-2021-39258 CVE-2021-35266、CVE-2021-39256 CVE-2021-33287、CVE-2021-39260




		发布时间	2021/09/22
		影响产品	Tuxera NTFS-3G

表1 本月重要漏洞信息

1.2漏洞分类统计

根据漏洞影响对象的类型，漏洞可分为WEB应用、应用程序、操作系统、网络设备（交换机、路由器等网络端设备）、数据库、安全产品（如防火墙、入侵检测系统等）和智能设备（物联网终端设备）漏洞。不同类型漏洞的分布如图1所示，本月WEB应用占比例较大。与前12个月相比，本月WEB应用、网络设备（交换机、路由器等网络端设备）、智能设备（物联网终端设备）漏洞的数量处于高位，安全产品、数据库、操作系统、应用程序漏洞的数量处于低位。

图1 漏洞类型分布

1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计，本月用户关注度最高的5个漏洞如表2所示。

关注度排名	漏洞名称	CNVD编号	发布时间
1	I Doc View在线文档预览系统存在命令执行漏洞	CNVD-2021-60487	2021/9/24
2	华为SVN2230存在弱口令漏洞	CNVD-2021-57940	2021/9/17
3	Mozilla Rust内存破坏漏洞（CNVD-2021-71657）	CNVD-2021-71657	2021/9/17
4	MikroTik RouterOS内存破坏漏洞（CNVD-2021-70153）	CNVD-2021-70153	2021/9/12
5	SolarWinds Orion Platform SQL注入漏洞	CNVD-2021-67498	2021/9/2

表2 本月被关注漏洞TOP5

从表2可以看出，本月用户关注的主要是I Doc View在线文档预览系统存在命令执行漏洞，其访问量达到618次以上。

1.4漏洞趋势

本月，CNVD收集整理信息安全漏洞2273个，与前12个月平均收录数量1994个相比，处于高位；本月高危漏洞620个，与前12个月高危漏洞平均收录数量577个相比，处于高位。本月的总体漏洞趋势如图2所示。

图2 漏洞发布趋势

由图2所示，本月3日发布的安全漏洞数量最多，高达288个，主要是因为收录了XStream、yasm等多款产品存在的多个漏洞。

2. 单位和个人上报漏洞统计

本月报送情况如表3所示。其中，北京天融信网络安全技术有限公司、北京神州绿盟科技有限公司、哈尔滨安天科技集团股份有限公司、新华三技术有限公司、深信服科技股份有限公司等单位报送公开收集的漏洞数量较多。山东云天安全技术有限公司、河南灵创电子科技有限公司、南京众智维信息科技有限公司、北京山石网科信息技术有限公司、北京华云安信息技术有限公司、山东新潮信息技术有限公司、北京信联科汇科技有限公司、安徽长泰科技有限公司、内蒙古洞明科技有限公司、广东蓝爵网络安全技术股份有限公司、浙江木链物联网科技有限公司、北京安帝科技有限公司、杭州海康威视数字技术股份有限公司、河南信安世纪科技有限公司、江苏快页信息技术有限公司、内蒙古云科数据服务股份有限公司、新疆海狼科技有限公司、上海纽盾科技股份有限公司、北京天地和兴科技有限公司、山东泽鹿安全技术有限公司、京东云安全、泰山信息科技有限公司、江西省掌控者信息安全技术有限公司、北京惠而特科技有限公司、北京远禾科技有限公司、重庆都会信息科技有限公司、重庆贝特计算机系统工程有限公司、京云科安信科技有限公司（Seraph安全实验室）、北京安华金和科技有限公司、星云博创科技有限公司、北京网御星云信息技术有限公司、平安银河实验室、福建省海峡信息技术有限公司、长春嘉诚信息技术股份有限公司、浙江国利网安科技有限公司、信联科技（南京）有限公司、南京树安信息技术有限公司、广州安亿信软件科技有限公司、深圳市魔方安全科技有限公司、中电长城网际系统应用有限公司、阿里巴巴网络技术有限公司、杭州美创科技有限公司、中国烟草总公司湖北省公司、北京机沃科技有限公司、中移（杭州）信息技术有限公司、博智安全科技股份有限公司、山石网科通信技术股份有限公司、思而听网络科技有限公司、亚信科技（成都）有限公司、中通服咨询设计研究院有限公司、北京顶象技术有限公司、北京科技大学、北京水木羽林科技有限公司、贵州多彩宝互联网服务有限公司、杭州安信检测技术有限公司、河南天祺信息安全技术有限公司、汇安信息科技有限公司、奇安信-工控安全实验室、赛尔网络有限公司山东分公司、深圳市跨越新科技有限公司、苏州叶安网络科技有限公司、天讯瑞达通信技术有限公司、武汉绿色网络信息服务有限责任公司、西藏熙安信息技术有限责任公司、银保信科技(北京)有限公司及其他个人白帽子向CNVD提交了30935个以事件型漏洞为主的原创漏洞。其中包括奇安信网神（补天平台）、斗象科技（漏洞盒子）、北京鸿腾智能科技有限公司和上海交大向CNVD共享的白帽子报送的22323条原创漏洞信息。

单位或个人	漏洞上报总数	原创漏洞数量
斗象科技（漏洞盒子）	11409	11409
奇安信网神（补天平台）	7424	7424
上海交大	2923	2923
北京天融信网络安全技术有限公司	1981	34
北京神州绿盟科技有限公司	1195	28
哈尔滨安天科技集团股份有限公司	1138	0
新华三技术有限公司	794	0
北京鸿腾智能科技有限公司	569	569
深信服科技股份有限公司	549	0
恒安嘉新（北京）科技股份公司	534	0
北京数字观星科技有限公司	511	0
华为技术有限公司	483	0
阿里云计算有限公司	403	0
北京启明星辰信息安全技术有限公司	337	125
厦门服云信息科技有限公司	240	0
天津市国瑞数码安全系统股份有限公司	226	0
远江盛邦（北京）网络安全科技股份有限公司	152	152
西安四叶草信息技术有限公司	58	58
南京联成科技发展股份有限公司	52	52
浙江大华技术股份有限公司	25	25
杭州安恒信息技术股份有限公司	15	15
北京知道创宇信息技术股份有限公司	10	1
北京安信天行科技有限公司	6	6
北京长亭科技有限公司	5	5
中兴通讯股份有限公司	5	5
北京智游网安科技有限公司	3	3
内蒙古奥创科技有限公司	1	1
山东云天安全技术有限公司	1355	1355
联想全球安全实验室	591	0
河南灵创电子科技有限公司	484	484
南京众智维信息科技有限公司	444	444
北京山石网科信息技术有限公司	235	235
北京华云安信息技术有限公司	180	180
山东新潮信息技术有限公司	148	148
北京信联科汇科技有限公司	143	143
安徽长泰科技有限公司	130	130
内蒙古洞明科技有限公司	130	130
广东蓝爵网络安全技术股份有限公司	117	117
浙江木链物联网科技有限公司	116	116
北京安帝科技有限公司	102	102
杭州海康威视数字技术股份有限公司	98	98
杭州迪普科技股份有限公司	67	0
河南信安世纪科技有限公司	63	63
江苏快页信息技术有限公司	63	63
内蒙古云科数据服务股份有限公司	61	61
新疆海狼科技有限公司	54	54
上海纽盾科技股份有限公司	53	53
中国电信股份有限公司网络安全产品运营中心	41	0
北京天地和兴科技有限公司	38	38
山东泽鹿安全技术有限公司	38	38
京东云安全	36	36
泰山信息科技有限公司	31	31
江西省掌控者信息安全技术有限公司	25	25
北京华顺信安科技有限公司	25	0
北京惠而特科技有限公司	24	24
北京远禾科技有限公司	24	24
重庆都会信息科技有限公司	24	24
重庆贝特计算机系统工程有限公司	17	17
北京云科安信科技有限公司（Seraph安全实验室）	16	16
北京安华金和科技有限公司	15	15
星云博创科技有限公司	12	12
北京网御星云信息技术有限公司	10	10
平安银河实验室	10	10
福建省海峡信息技术有限公司	9	9
长春嘉诚信息技术股份有限公司	9	9
浙江国利网安科技有限公司	9	9
信联科技（南京）有限公司	8	8
南京树安信息技术有限公司	6	6
广州安亿信软件科技有限公司	5	5
深圳市魔方安全科技有限公司	5	5
中电长城网际系统应用有限公司	5	5
阿里巴巴网络技术有限公司	4	4
杭州美创科技有限公司	4	4
中国烟草总公司湖北省公司	4	4
北京机沃科技有限公司	3	3
中移（杭州）信息技术有限公司	3	3
博智安全科技股份有限公司	2	2
山石网科通信技术股份有限公司	2	2
思而听网络科技有限公司	2	2
亚信科技（成都）有限公司	2	2
中通服咨询设计研究院有限公司	2	2
北京顶象技术有限公司	1	1
北京科技大学	1	1
北京水木羽林科技有限公司	1	1
贵州多彩宝互联网服务有限公司	1	1
杭州安信检测技术有限公司	1	1
河南天祺信息安全技术有限公司	1	1
汇安信息科技有限公司	1	1
奇安信-工控安全实验室	1	1
赛尔网络有限公司山东分公司	1	1
深圳市跨越新科技有限公司	1	1
苏州叶安网络科技有限公司	1	1
天讯瑞达通信技术有限公司	1	1
武汉绿色网络信息服务有限责任公司	1	1
西藏熙安信息技术有限责任公司	1	1
银保信科技(北京)有限公司	1	1
CNCERT河北分中心	27	27
CNCERT青海分中心	7	7
CNCERT贵州分中心	5	5
CNCERT四川分中心	5	5
CNCERT山西分中心	4	4
CNCERT宁夏分中心	2	2
CNCERT吉林分中心	2	2
CNCERT浙江分中心	1	1
CNCERT云南分中心	1	1
CNCERT西藏分中心	1	1
CNCERT河南分中心	1	1
个人	3649	3649
合计	2273（去重）	30935

表3 单位和个人上报漏洞统计