根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計，本周(2023年9月25日至2023年10月1日)安全漏洞情況如下：

公開漏洞情況

本周CNNVD采集安全漏洞577個。

接報漏洞情況

本周CNNVD接報漏洞4329個，其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)138個，網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)12個，漏洞平臺推送漏洞4179個。

重大漏洞通報

Linux kernel 安全漏洞(CNNVD-202309-2146、CVE-2023-42753):成功利用漏洞的攻擊者可導(dǎo)致系統(tǒng)崩潰或提升本地用戶權(quán)限。linux kernel 6.6、linux kernel 7.0、linux kernel 8.0、linux kernel 9.0等版本均受漏洞影響。目前，Linux官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞，建議用戶及時確認(rèn)產(chǎn)品版本，盡快采取修補措施。

一、公開漏洞情況

根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計，本周新增安全漏洞577個，漏洞新增數(shù)量有所上升。從廠商分布來看蘋果公司新增漏洞最多，有76個;從漏洞類型來看，跨站腳本類的安全漏洞占比最大，達到27.73%。新增漏洞中，超危漏洞107個，高危漏洞160個，中危漏洞280個，低危漏洞30個。

(一) 安全漏洞增長數(shù)量情況

本周CNNVD采集安全漏洞577個。

圖1 近五周漏洞新增數(shù)量統(tǒng)計圖

(二) 安全漏洞分布情況

從廠商分布來看，蘋果公司新增漏洞最多，有76個。各廠商漏洞數(shù)量分布如表1所示。

本周國內(nèi)廠商漏洞52個，友訊公司漏洞數(shù)量最多，有16個。國內(nèi)廠商漏洞整體修復(fù)率為61.54%。請受影響用戶關(guān)注廠商修復(fù)情況，及時下載補丁修復(fù)漏洞。

從漏洞類型來看, 跨站腳本類的安全漏洞占比最大，達到27.73%。漏洞類型統(tǒng)計如表2所示。

(三) 安全漏洞危害等級與修復(fù)情況

本周共發(fā)布超危漏洞107個，高危漏洞160個，中危漏洞280個，低危漏洞30個。相應(yīng)修復(fù)率分別為65.42%、72.50%、77.50%和76.67%。根據(jù)補丁信息統(tǒng)計，合計426個漏洞已有修復(fù)補丁發(fā)布，整體修復(fù)率為73.83%。詳細情況如表3所示。

(四) 本周重要漏洞實例

本周重要漏洞實例如表4所示。

1. WordPress plugin WP Job Portal SQL注入漏洞(CNNVD-202309-2166)

WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin是一個應(yīng)用插件。

WordPress plugin WP Job Portal 2.0.3 版本及之前版本存在SQL注入漏洞，該漏洞源于在使用某些參數(shù)拼接SQL語句之前沒有進行充分轉(zhuǎn)義，從而導(dǎo)致SQL注入攻擊。

目前廠商已發(fā)布升級補丁以修復(fù)漏洞，參考鏈接：

https://wpscan.com/vulnerability/986024f0-3c8d-44d8-a9c9-1dd284d7db0d

2. Apple iOS 和 iPadOS 安全漏洞(CNNVD-202309-2264)

Apple iOS和Apple iPadOS都是美國蘋果(Apple)公司的產(chǎn)品。Apple iOS是一套為移動設(shè)備所開發(fā)的操作系統(tǒng)。Apple iPadOS是一套用于iPad平板電腦的操作系統(tǒng)。

Apple iOS 17和iPadOS 17存在安全漏洞。攻擊者利用該漏洞可以執(zhí)行任意代碼。

目前廠商已發(fā)布升級補丁以修復(fù)漏洞，參考鏈接：

https://support.apple.com/en-us/HT213938

3. Google Chrome 資源管理錯誤漏洞(CNNVD-202309-2546)

Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。

Google Chrome 117.0.5938.132之前版本存在資源管理錯誤漏洞，該漏洞源于存在內(nèi)存釋放后重用問題。攻擊者利用該漏洞可以通過特制的HTML頁面導(dǎo)致堆損壞。

目前廠商已發(fā)布升級補丁以修復(fù)漏洞，參考鏈接：

https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_27.html

二、漏洞平臺推送情況

本周CNNVD接收漏洞平臺推送漏洞4179個。

三、接報漏洞情況

本周CNNVD接報漏洞150個，其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)138個，網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)12個。

表6 本周漏洞報送情況（詳情略）

四、收錄漏洞通報情況

本周CNNVD收錄漏洞通報80份。

表7本周漏洞通報情況（詳情略）

五、重大漏洞通報

CNNVD 關(guān)于Linux kernel安全漏洞情況的通報

近日，國家信息安全漏洞庫(CNNVD)收到關(guān)于Linux kernel 安全漏洞(CNNVD-202309-2146、CVE-2023-42753)情況的報送。成功利用漏洞的攻擊者可導(dǎo)致系統(tǒng)崩潰或提升本地用戶權(quán)限。linux kernel 6.6、linux kernel 7.0、linux kernel 8.0、linux kernel 9.0等版本均受漏洞影響。目前，Linux官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞，建議用戶及時確認(rèn)產(chǎn)品版本，盡快采取修補措施。

1.漏洞介紹

Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel存在安全漏洞，在Linux kernel中的子系統(tǒng)netfilter，主要用于過濾數(shù)據(jù)包、執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換等。該漏洞源于在netfilter中發(fā)現(xiàn)了一個數(shù)組索引， 丟失的宏可能會使h->nets數(shù)組偏移量計算錯誤，從而導(dǎo)致系統(tǒng)崩潰或權(quán)限提升。

2.危害影響

成功利用漏洞的攻擊者可導(dǎo)致系統(tǒng)崩潰或提升本地用戶權(quán)限。linux kernel 6.6、linux kernel 7.0、linux kernel 8.0、linux kernel 9.0等版本均受漏洞影響。

3.修復(fù)建議

目前，Linux官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞，建議用戶及時確認(rèn)產(chǎn)品版本，盡快采取修補措施。參考鏈接如下：

https://access.redhat.com/security/cve/CVE-2023-42753

來源：CNNVD安全動態(tài)