重点关注
漏洞公告
恶意代码
关于2013年11月增值电信企业漏洞风险的情况通报
时间:2013-12-13
2013年11月,国家信息安全漏洞共享平台(CNVD)对增值电信企业存在的漏洞风险进行跟踪监测,并联合CNVD合作单位(WOOYUN网站)接收涉及境内增值电信企业的漏洞事件报告。现将相关情况通报如下:
一、重点软硬件漏洞收录情况
截至11月30日,CNVD电信行业漏洞库共收录66个与基础电信企业资产信息强相关的漏洞。按攻击途径分,可远程利用漏洞62个,本地攻击漏洞4个;按危害等级分,高危漏洞17个,中危漏洞40个,低危9个;按影响对象类型分,网络设备漏洞41个,应用程序漏洞12个,数据库软件漏洞9个,Web应用漏洞3个,操作系统漏洞1个。详情可参见CNVD网站电信行业漏洞收录列表: http://www.cnvd.org.cn/industry/flawList/1。
11月,CNVD重点通报处置了涉及第三方安全防护产品的防护规则绕过风险。根据测试结果,国内部分Web安全防护平台存在上述风险,未能对一些基于POST请求的 SQL注入攻击和XSS跨站脚本攻击进行完全防护。CNVD已向相关单位发出情况通报,建议其有针对性地加强防护措施。
二、增值企业信息系统漏洞风险事件
根据CNVD及合作单位WOOYUN网站收到的漏洞事件报告,对涉及百度、京东、搜狐、淘宝网、腾讯、土豆网、新浪7家单位的漏洞风险事件进行了不完全统计。截至11月30日,共收录94起与上述单位相关的漏洞风险事件。上述漏洞风险主要存在于增值电信企业自营业务平台,如:博客、微博、邮件系统以及相关软件产品,如:浏览器、安全防护软件、客户端软件等。其中,涉及用户权限绕过、信息泄露风险的CSRF、存储型XSS、SQL注入等漏洞较多,部分单位信息系统以及手机APP软件存在的远程代码执行漏洞也对系统和软件运行安全构成威胁。
附表1和附表2为2013年11月增值企业漏洞风险事件详细列表和按单位统计情况。
附表1 2013年11月增值企业漏洞风险事件详细列表
|
通报日期
|
漏洞名称
|
风险等级
|
|
2013/11/11
|
中
|
|
|
2013/11/19
|
中
|
|
|
2013/11/27
|
低
|
|
|
2013/11/29
|
低
|
|
|
2013/11/4
|
低
|
|
|
2013/11/4
|
中
|
|
|
2013/11/6
|
中
|
|
|
2013/11/10
|
高
|
|
|
2013/11/10
|
低
|
|
|
2013/11/12
|
中
|
|
|
2013/11/13
|
中
|
|
|
2013/11/15
|
低
|
|
|
2013/11/19
|
低
|
|
|
2013/11/19
|
低
|
|
|
2013/11/22
|
低
|
|
|
2013/11/22
|
低
|
|
|
2013/11/22
|
低
|
|
|
2013/11/22
|
低
|
|
|
2013/11/23
|
低
|
|
|
2013/11/25
|
低
|
|
|
2013/11/26
|
低
|
|
|
2013/11/26
|
低
|
|
|
2013/11/27
|
低
|
|
|
2013/11/27
|
低
|
|
|
2013/11/27
|
低
|
|
|
2013/11/28
|
中
|
|
|
2013/11/28
|
中
|
|
|
2013/11/3
|
中
|
|
|
2013/11/3
|
中
|
|
|
2013/11/3
|
中
|
|
|
2013/11/4
|
中
|
|
|
2013/11/4
|
中
|
|
|
2013/11/17
|
中
|
|
|
2013/11/18
|
高
|
|
|
2013/11/28
|
中
|
|
|
2013/11/21
|
高
|
|
|
2013/11/21
|
高
|
|
|
2013/11/21
|
高
|
|
|
2013/11/21
|
高
|
|
|
2013/11/20
|
高
|
|
|
2013/11/18
|
中
|
|
|
2013/11/18
|
中
|
|
|
2013/11/15
|
中
|
|
|
2013/11/15
|
中
|
|
|
2013/11/14
|
中
|
|
|
2013/11/15
|
中
|
|
|
2013/11/4
|
高
|
|
|
2013/11/7
|
低
|
|
|
2013/11/8
|
高
|
|
|
2013/11/8
|
高
|
|
|
2013/11/9
|
低
|
|
|
2013/11/12
|
低
|
|
|
2013/11/12
|
中
|
|
|
2013/11/12
|
中
|
|
|
2013/11/13
|
中
|
|
|
2013/11/14
|
中
|
|
|
2013/11/15
|
中
|
|
|
2013/11/20
|
低
|
|
|
2013/11/23
|
企业QQ空间xss随意得客户端QQ号码 附(爆破盗号者后台)
|
低
|
|
2013/11/24
|
腾讯fun秀某功能平行权限漏洞
|
中
|
|
2013/11/24
|
腾讯儿童微漫画某功能平行权限漏洞
|
中
|
|
2013/11/24
|
腾讯微生活CSRF
|
低
|
|
2013/11/25
|
腾讯公益评论CSRF微博漏洞
|
中
|
|
2013/11/27
|
QQ空间首页可挂恶意广告(可弹360安全浏览器)
|
低
|
|
2013/11/28
|
腾讯照片墙一处csrf漏洞(已证明)
|
中
|
|
2013/11/29
|
利腾讯大申网专题放置JS盗取用户cookies获取QQ
|
中
|
|
2013/11/30
|
用已回收的电话号码(注册过微信)登录微信查看他人的私人信息
|
中
|
|
2013/11/30
|
利用QQ某活动给任意QQ弹右下角小窗口
|
中
|
|
2013/11/29
|
中
|
|
|
2013/11/27
|
低
|
|
|
2013/11/28
|
中
|
|
|
2013/11/24
|
高
|
|
|
2013/11/29
|
低
|
|
|
2013/11/25
|
中
|
|
|
2013/11/24
|
中
|
|
|
2013/11/21
|
高
|
|
|
2013/11/21
|
中
|
|
|
2013/11/21
|
中
|
|
|
2013/11/21
|
高
|
|
|
2013/11/19
|
中
|
|
|
2013/11/19
|
低
|
|
|
2013/11/18
|
高
|
|
|
2013/11/16
|
中
|
|
|
2013/11/16
|
低
|
|
|
2013/11/14
|
高
|
|
|
2013/11/13
|
中
|
|
|
2013/11/12
|
中
|
|
|
2013/11/5
|
中
|
|
|
2013/11/5
|
低
|
|
|
2013/11/5
|
中
|
|
|
2013/11/4
|
低
|
|
|
2013/11/2
|
中
|
|
|
2013/11/1
|
中
|
|
|
2013/11/1
|
中
|
附表2增值电信企业漏洞风险事件统计
(2013年11月)
|
企业名称
|
事件数量
|
高
|
中
|
低
|
|
百度
|
23
|
1
|
6
|
16
|
|
京东
|
4
|
1
|
2
|
1
|
|
搜狐
|
12
|
5
|
7
|
0
|
|
淘宝网
|
4
|
0
|
2
|
2
|
|
腾讯
|
22
|
3
|
7
|
12
|
|
土豆网
|
7
|
1
|
6
|
0
|
|
新浪
|
22
|
4
|
13
|
5
|
|
总计
|
94
|
15
|
48
|
31
|
