看完CNCERT周报再来看CNVD周报 报告提示Flash及Http2.0漏洞值得关注

国家信息安全漏洞共享平台(CNVD)发布2016总第32期周报,报告内容显示本周信息安全漏洞威胁整体评价级别为。 
本周共收集、整理信息安全漏洞 365 个,其中高危漏洞 183 个、中危漏洞 165 个、低危漏洞 17 个。漏洞平均分值为 6.12分。

本周收录的漏洞中,涉及 0day 漏洞 166 个(占 45%)。其中互联网上出现“Cacti graph_view.php SQL 注入漏洞、TCCMSV9.0 最新版 SQL 注入漏洞”等零日代码攻击漏洞,请使用相关产品的用户注意加强防范。此外,本周 CNVD 接到的涉及党政机关和企事业单位的事件型漏洞总数 1282 个,与上周(158 个)相比增加 7.1 倍。

本周漏洞事件处置209起

本周,CNVD 向基础电信企业通报漏洞事件 1 起,向银行、证券、保险、能源等重要行业单位通报漏洞事件 4 起,协调 CNCERT 各分中心验证和处置涉及地方重要部门漏洞事件 137 起,协调赛尔网络公司、上海交通大学网络信息中心等教育行业应急组织验证和处置高校科研院所系统漏洞事件 63 起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件 4 起。

本周9家组织及个人报送365个漏洞

本周漏洞要闻速递

Adobe Flash Player 漏洞(CVE-2016-4117)样本分析

今年五月份,国外安全专家发现了一个未知的 Adobe 漏洞被利用。在该漏洞被披露后,Adobe 发布了一个升级补丁用于修复此漏洞(APSB16-15),编号为 CVE-2016-411 7。同时,CVE-2016-4117 漏洞被列为高危漏洞,在 CVSS Score 中被评为 10.0,它同时影响到 Windows,Mac OS X,Linux 和 Chrome OS。利用该漏洞可能会导致系统崩溃,甚至攻击者可以控制受影响的系统。 
参考链接:http://www.freebuf.com/vuls/110707.html 

HTTP2.0 协议被曝 4 个高危漏洞,可致服务器崩溃

去年 2 月,谷歌把自家的 SPDY 项目捆绑进 HTTP2.0,意在加强网页加载速度和用户的在线浏览体验。三个月后 HTTP2.0 正式发布,HTTP2.0 如今已成为大部分网站最主要的 HTTP 协议版本。来自 Imperva 的几位安全专家在 Black Hat 大会上公布了至少 4个高危漏洞,慢速连接攻击 (CVE-2016-1546)、HPACK BOMB (CVE-2016-1544, CVE -2016-2525)、依赖循环攻击 (CVE-2015-8659)、数据流多路复用(CVE-2016-0150)漏洞。允许攻击者通过传输千兆级别的数据有效载荷到目标服务器,导致服务器无限循环,使Web 服务器的处理速度变慢,甚至瘫痪。 
参考链接:http://www.freebuf.com/news/111111.html 

国家信息安全漏洞共享平台(CNVD)周报-2016年第32期全文下载

国家信息安全漏洞共享平台(CNVD)周报-2016年第32期

关于CNVD

国家信息安全漏洞共享平台(China National Vulnerability Database,简称 CNVD)是 CNCERT 联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

发表评论