2013年11月,国家信息安全漏洞共享平台(cnvd)对增值电信企业存在的漏洞风险进行跟踪监测,并联合cnvd合作单位(wooyun网站)接收涉及境内增值电信企业的漏洞事件报告。现将相关情况通报如下:
一、重点软硬件漏洞收录情况
截至11月30日,cnvd电信行业漏洞库共收录66个与基础电信企业资产信息强相关的漏洞。按攻击途径分,可远程利用漏洞62个,本地攻击漏洞4个;按危害等级分,高危漏洞17个,中危漏洞40个,低危9个;按影响对象类型分,网络设备漏洞41个,应用程序漏洞12个,数据库软件漏洞9个,web应用漏洞3个,操作系统漏洞1个。详情可参见cnvd网站电信行业漏洞收录列表:。
11月,cnvd重点通报处置了涉及第三方安全防护产品的防护规则绕过风险。根据测试结果,国内部分web安全防护平台存在上述风险,未能对一些基于post请求的 sql注入攻击和xss跨站脚本攻击进行完全防护。cnvd已向相关单位发出情况通报,建议其有针对性地加强防护措施。
二、增值企业信息系统漏洞风险事件
根据cnvd及合作单位wooyun网站收到的漏洞事件报告,对涉及百度、京东、搜狐、淘宝网、腾讯、土豆网、新浪7家单位的漏洞风险事件进行了不完全统计。截至11月30日,共收录94起与上述单位相关的漏洞风险事件。上述漏洞风险主要存在于增值电信企业自营业务平台,如:博客、微博、邮件系统以及相关软件产品,如:浏览器、安全防护软件、客户端软件等。其中,涉及用户权限绕过、信息泄露风险的csrf、存储型xss、sql注入等漏洞较多,部分单位信息系统以及手机app软件存在的远程代码执行漏洞也对系统和软件运行安全构成威胁。
附表1和附表2为2013年11月增值企业漏洞风险事件详细列表和按单位统计情况。
附表1 2013年11月增值企业漏洞风险事件详细列表
通报日期 | 漏洞名称 | 风险等级 |
2013/11/11 | | 中 |
2013/11/19 | | 中 |
2013/11/27 | | 低 |
2013/11/29 | | 低 |
2013/11/4 | | 低 |
2013/11/4 | | 中 |
2013/11/6 | | 中 |
2013/11/10 | | 高 |
2013/11/10 | | 低 |
2013/11/12 | | 中 |
2013/11/13 | | 中 |
2013/11/15 | | 低 |
2013/11/19 | | 低 |
2013/11/19 | | 低 |
2013/11/22 | | 低 |
2013/11/22 | | 低 |
2013/11/22 | | 低 |
2013/11/22 | | 低 |
2013/11/23 | | 低 |
2013/11/25 | | 低 |
2013/11/26 | | 低 |
2013/11/26 | | 低 |
2013/11/27 | | 低 |
2013/11/27 | | 低 |
2013/11/27 | | 低 |
2013/11/28 | | 中 |
2013/11/28 | | 中 |
2013/11/3 | | 中 |
2013/11/3 | | 中 |
2013/11/3 | | 中 |
2013/11/4 | | 中 |
2013/11/4 | | 中 |
2013/11/17 | | 中 |
2013/11/18 | | 高 |
2013/11/28 | | 中 |
2013/11/21 | | 高 |
2013/11/21 | | 高 |
2013/11/21 | | 高 |
2013/11/21 | | 高 |
2013/11/20 | | 高 |
2013/11/18 | | 中 |
2013/11/18 | | 中 |
2013/11/15 | | 中 |
2013/11/15 | | 中 |
2013/11/14 | | 中 |
2013/11/15 | | 中 |
2013/11/4 | | 高 |
2013/11/7 | | 低 |
2013/11/8 | | 高 |
2013/11/8 | | 高 |
2013/11/9 | | 低 |
2013/11/12 | | 低 |
2013/11/12 | | 中 |
2013/11/12 | | 中 |
2013/11/13 | | 中 |
2013/11/14 | | 中 |
2013/11/15 | | 中 |
2013/11/20 | | 低 |
2013/11/23 | 企业qq空间xss随意得客户端qq号码附(爆破盗号者后台) | 低 |
2013/11/24 | 腾讯fun秀某功能平行权限漏洞 | 中 |
2013/11/24 | 腾讯儿童微漫画某功能平行权限漏洞 | 中 |
2013/11/24 | 腾讯微生活csrf | 低 |
2013/11/25 | 腾讯公益评论csrf微博漏洞 | 中 |
2013/11/27 | qq空间凯发k8官方首页可挂恶意广告(可弹360安全浏览器) | 低 |
2013/11/28 | 腾讯照片墙一处csrf漏洞(已证明) | 中 |
2013/11/29 | 利腾讯大申网专题放置js盗取用户cookies获取qq | 中 |
2013/11/30 | 用已回收的电话号码(注册过微信)登录微信查看他人的私人信息 | 中 |
2013/11/30 | 利用qq某活动给任意qq弹右下角小窗口 | 中 |
2013/11/29 | | 中 |
2013/11/27 | | 低 |
2013/11/28 | | 中 |
2013/11/24 | | 高 |
2013/11/29 | | 低 |
2013/11/25 | | 中 |
2013/11/24 | | 中 |
2013/11/21 | | 高 |
2013/11/21 | | 中 |
2013/11/21 | | 中 |
2013/11/21 | | 高 |
2013/11/19 | | 中 |
2013/11/19 | | 低 |
2013/11/18 | | 高 |
2013/11/16 | | 中 |
2013/11/16 | | 低 |
2013/11/14 | | 高 |
2013/11/13 | | 中 |
2013/11/12 | | 中 |
2013/11/5 | | 中 |
2013/11/5 | | 低 |
2013/11/5 | | 中 |
2013/11/4 | | 低 |
2013/11/2 | | 中 |
2013/11/1 | | 中 |
2013/11/1 | | 中 |
附表2增值电信企业漏洞风险事件统计
(2013年11月)
企业名称 | 事件数量 | 高 | 中 | 低 |
百度 | 23 | 1 | 6 | 16 |
京东 | 4 | 1 | 2 | 1 |
搜狐 | 12 | 5 | 7 | 0 |
淘宝网 | 4 | 0 | 2 | 2 |
腾讯 | 22 | 3 | 7 | 12 |
土豆网 | 7 | 1 | 6 | 0 |
新浪 | 22 | 4 | 13 | 5 |
总计 | 94 | 15 | 48 | 31 |