2013年12月,国家信息安全漏洞共享平台(cnvd)对增值电信企业存在的漏洞风险进行跟踪监测,并联合cnvd合作单位(wooyun网站)接收涉及境内增值电信企业的漏洞事件报告。现将相关情况通报如下:
一、重点软硬件漏洞收录情况
12月,cnvd电信行业漏洞库共收录62个与电信行业相关的漏洞。按攻击途径分,可远程利用漏洞56个,本地攻击漏洞6个;按危害等级分,高危漏洞8 个,中危漏洞43个,低危11个;按影响对象类型分,网络设备漏洞39个,应用程序漏洞19个,数据库软件漏洞2个,web应用漏洞1个。详情可参见 cnvd网站电信行业漏洞收录列表: http://www.cnvd.org.cn/industry/flawlist/1。
二、增值企业信息系统漏洞风险事件
根据cnvd及合作单位wooyun网站收到的漏洞事件报告,对涉及百度、京东、搜狐、阿里巴巴、腾讯、网易、新浪7家单位的漏洞风险事件进行了不完全统计。12月,共收录66起与上述单位相关的漏洞风险事件。上述漏洞风险主要存在于增值电信企业自营业务平台,如:博客、微博、邮件系统以及相关软件产品,如:浏览器、安全防护软件、客户端软件等。其中,数据库服务器信息泄露、交互系统存储型xss脚本、认证系统权限绕过对增值电信企业相关系统运行以及用户信息和资产安全构成较大威胁。
附表1和附表2为2013年12月增值企业漏洞风险事件详细列表和按单位统计情况。
附表1 2013年12月增值企业漏洞风险事件详细列表
通报日期 | 漏洞名称 | 风险等级 |
| | 高 |
| | 高 |
| | 中 |
| | 低 |
| | 低 |
| | 低 |
| | 低 |
| | 高 |
| | 低 |
| | 中 |
| | 中 |
| | 低 |
| | 中 |
| | 低 |
| | 高 |
| | 中 |
| | 高 |
| | 低 |
| | 中 |
| | 中 |
| | 中 |
| | 中 |
| | 高 |
| | 高 |
| | 低 |
| | 中 |
| | 中 |
| | 高 |
| | 高 |
| | 高 |
| | 高 |
| | 高 |
| | 高 |
| | 高 |
| | 低 |
| | 中 |
| | 高 |
| | 高 |
| | 中 |
| | 中 |
| | 高 |
| | 高 |
| | 中 |
| | 高 |
| | 中 |
| | 中 |
| | 中 |
| | 中 |
| | 低 |
| | 中 |
| | 低 |
| | 中 |
| | 高 |
| | 中 |
| | 低 |
| | 中 |
| | 中 |
| | 高 |
| | 中 |
| | 低 |
| | 中 |
| | 高 |
| | 高 |
| | 中 |
| | 中 |
附表2 增值电信企业漏洞风险事件统计
(2013年12月)
企业名称 | 事件数量 | 高 | 中 | 低 |
阿里巴巴 | 4 | 1 | 2 | 1 |
百度 | 9 | 3 | 2 | 4 |
京东 | 4 | 0 | 3 | 1 |
搜狐 | 18 | 12 | 5 | 1 |
腾讯 | 19 | 4 | 10 | 5 |
网易 | 5 | 2 | 3 | 0 |
新浪 | 7 | 1 | 4 | 2 |
总计 | 66 | 23 | 29 | 14 |
关键字:增值电信企业 漏洞风险