Zi 字媒體

根據國家信息安全漏洞庫（CNNVD）統計，本周（2017年4月24日至2017年4月30日）安全漏洞情況如下：本期導讀公開漏洞情況本周CNNVD採集安全漏洞376個，是上周（190個）漏洞數量的近兩倍。接報漏洞情況本周接報漏洞615個，其中信息技術產品漏洞（通用型漏洞）4個，網路信息系統漏洞（事件型漏洞）611個。公開漏洞情況根據國家信息安全漏洞庫（CNNVD）統計，本周新增安全漏洞376個，與上周相比有所增加。從廠商分佈來看，本周Oracle公司新增漏洞最多，共有153個；從漏洞類型來看，緩衝區錯誤類的安全漏洞佔比最大，達到4.26%。本周新增漏洞中，超危漏洞11個,高危漏洞16個，中危漏洞339個，低危漏洞10個。相應修復率分別為72.73%、93.75%、65.19%以及80.00%。根據統計，合計252個漏洞已有修復補丁發布，整體修復率為67.02%。截至2017年4月30日，CNNVD發布漏洞總量已達92390個。（一） 安全漏洞增長數量情況 本周新增安全漏洞376個，是上周（190個）漏洞數量的近兩倍。圖1為近五周漏洞新增數量統計圖。圖1 近五周漏洞新增數量統計圖（二） 安全漏洞分佈情況從廠商分佈來看，本周Oracle公司產品的漏洞數量最多，共153個。漏洞數量Top5廠商分佈如表1所示。表1 Top 5廠商新增安全漏洞統計表從漏洞類型來看，本周緩衝區錯誤類的安全漏洞相對佔比最大，達到4.26%。漏洞類型統計如表2所示。表2 漏洞類型統計表（三） 安全漏洞危害等級與修復情況本周共發布超危漏洞11個，高危漏洞16個，中危漏洞339個，低危漏洞10個。相應修復率分別為72.73%、93.75%、65.19%以及80.00%。合計252個漏洞已有修復補丁發布，整體修復率為67.02%。表3 漏洞危害等級與修復情況（四） 本周重要漏洞實例本周超危漏洞11個，高危漏洞16個，其中重要漏洞實例如表4所示。表4 本周重要漏洞實例1.NovaBACKUP DataCenter Linux datamover模塊輸入驗證漏洞(CNNVD-201704-739)NovaBACKUP DataCenter是德國NovaStor公司開發的一套數據備份解決方案,Linux是其中的操作系統，datamover module是其中的一個數據傳輸模塊。NovaBACKUP DataCenter 09.06.03.0353之前的版本中的Linux系統的datamover模塊存在安全漏洞功能。遠程攻擊者可利用該漏洞執行任意命令。解決措施：目前廠商已經發布了升級補丁以修復此安全問題，詳情請關注廠商主頁：2.聯想Updates 許可權許可和訪問控制漏洞(CNNVD-201704-471)聯想Updates是（Lenovo）公司的一套驅動與軟體更新程序。聯想Updates中存在遠程代碼執行漏洞。遠程攻擊者可通過劫持和更改用戶下載的更新文件利用該漏洞執行任意代碼。解決措施：目前廠商已經發布了升級補丁以修復此安全問題，補丁獲取鏈接：3.Adobe Photoshop CC 緩衝區錯誤漏洞(CNNVD-201704-680)Adobe Photoshop（PS）CC是美國奧多比（Adobe）公司的一套最新的圖像處理與繪圖軟體。Adobe PS CC中存在內存損壞漏洞。攻擊者可藉助惡意的PCX文件利用該漏洞執行任意代碼。基於Windows和Macintosh平台的以下版本受到影響：Adobe Photoshop CC 2017 18.0.1及之前的版本，Adobe Photoshop CC 2015.5 17.0.1(2015.5.1)及之前的版本。解決措施：目前廠商已經發布了升級補丁以修復此安全問題，補丁獲取鏈接：4.Horde Groupware Webmail Edition 操作系統命令注入漏洞(CNNVD-201704-144)Horde Groupware Webmail Edition是美國Horde公司一款免費的基於通信套件的企業瀏覽器。Horde_Crypt是一個用於處理PGP數據的加密/解密庫。Horde Groupware Webmail Edition 5.2.17及之前的版本中使用的Horde_Crypt 2.7.6之前的版本中存在OS命令注入漏洞。攻擊者可利用該漏洞注入系統命令。解決措施：目前廠商已經發布了升級補丁以修復此安全問題，補丁獲取鏈接：