关于2013年11月增值电信企业漏洞风险的情况通报-凯发app官网

关于2013年11月增值电信企业漏洞风险的情况通报-凯发app官网
当前位置 : 凯发app官网 - 预警信息 - 正文

关于2013年11月增值电信企业漏洞风险的情况通报


发布时间:2013年12月13日

2013年11月,国家信息安全漏洞共享平台(cnvd)对增值电信企业存在的漏洞风险进行跟踪监测,并联合cnvd合作单位(wooyun网站)接收涉及境内增值电信企业的漏洞事件报告。现将相关情况通报如下:

一、重点软硬件漏洞收录情况

截至11月30日,cnvd电信行业漏洞库共收录66个与基础电信企业资产信息强相关的漏洞。按攻击途径分,可远程利用漏洞62个,本地攻击漏洞4个;按危害等级分,高危漏洞17个,中危漏洞40个,低危9个;按影响对象类型分,网络设备漏洞41个,应用程序漏洞12个,数据库软件漏洞9个,web应用漏洞3个,操作系统漏洞1个。详情可参见cnvd网站电信行业漏洞收录列表:。

11月,cnvd重点通报处置了涉及第三方安全防护产品的防护规则绕过风险。根据测试结果,国内部分web安全防护平台存在上述风险,未能对一些基于post请求的 sql注入攻击和xss跨站脚本攻击进行完全防护。cnvd已向相关单位发出情况通报,建议其有针对性地加强防护措施。
二、增值企业信息系统漏洞风险事件
根据cnvd及合作单位wooyun网站收到的漏洞事件报告,对涉及百度、京东、搜狐、淘宝网、腾讯、土豆网、新浪7家单位的漏洞风险事件进行了不完全统计。截至11月30日,共收录94起与上述单位相关的漏洞风险事件。上述漏洞风险主要存在于增值电信企业自营业务平台,如:博客、微博、邮件系统以及相关软件产品,如:浏览器、安全防护软件、客户端软件等。其中,涉及用户权限绕过、信息泄露风险的csrf、存储型xss、sql注入等漏洞较多,部分单位信息系统以及手机app软件存在的远程代码执行漏洞也对系统和软件运行安全构成威胁。
附表1和附表2为2013年11月增值企业漏洞风险事件详细列表和按单位统计情况。
附表1 2013年11月增值企业漏洞风险事件详细列表
通报日期
漏洞名称
风险等级
2013/11/11
2013/11/19
2013/11/27
2013/11/29
2013/11/4
2013/11/4
2013/11/6
2013/11/10
2013/11/10
2013/11/12
2013/11/13
2013/11/15
2013/11/19
2013/11/19
2013/11/22
2013/11/22
2013/11/22
2013/11/22
2013/11/23
2013/11/25
2013/11/26
2013/11/26
2013/11/27
2013/11/27
2013/11/27
2013/11/28
2013/11/28
2013/11/3
2013/11/3
2013/11/3
2013/11/4
2013/11/4
2013/11/17
2013/11/18
2013/11/28
2013/11/21
2013/11/21
2013/11/21
2013/11/21
2013/11/20
2013/11/18
2013/11/18
2013/11/15
2013/11/15
2013/11/14
2013/11/15
2013/11/4
2013/11/7
2013/11/8
2013/11/8
2013/11/9
2013/11/12
2013/11/12
2013/11/12
2013/11/13
2013/11/14
2013/11/15
2013/11/20
2013/11/23
企业qq空间xss随意得客户端qq号码附(爆破盗号者后台)
2013/11/24
腾讯fun秀某功能平行权限漏洞
2013/11/24
腾讯儿童微漫画某功能平行权限漏洞
2013/11/24
腾讯微生活csrf
2013/11/25
腾讯公益评论csrf微博漏洞
2013/11/27
qq空间凯发app凯发app官网首页可挂恶意广告(可弹360安全浏览器)
2013/11/28
腾讯照片墙一处csrf漏洞(已证明)
2013/11/29
利腾讯大申网专题放置js盗取用户cookies获取qq
2013/11/30
用已回收的电话号码(注册过微信)登录微信查看他人的私人信息
2013/11/30
利用qq某活动给任意qq弹右下角小窗口
2013/11/29
2013/11/27
2013/11/28
2013/11/24
2013/11/29
2013/11/25
2013/11/24
2013/11/21
2013/11/21
2013/11/21
2013/11/21
2013/11/19
2013/11/19
2013/11/18
2013/11/16
2013/11/16
2013/11/14
2013/11/13
2013/11/12
2013/11/5
2013/11/5
2013/11/5
2013/11/4
2013/11/2
2013/11/1
2013/11/1
附表2增值电信企业漏洞风险事件统计
(2013年11月)
企业名称
事件数量
百度
23
1
6
16
京东
4
1
2
1
搜狐
12
5
7
0
淘宝网
4
0
2
2
腾讯
22
3
7
12
土豆网
7
1
6
0
新浪
22
4
13
5
总计
94
15
48
31
网站地图