根據國家信息安全漏洞庫(CNNVD)統計，2022年8月份采集安全漏洞共2240個。

本月接報漏洞21180個，其中信息技術產品漏洞(通用型漏洞)413個，網絡信息系統漏洞(事件型漏洞)20767個，其中漏洞平臺推送漏洞20235個。

重大漏洞通報

Apple macOS Monterey安全漏洞(CNNVD-202208-3348、CVE-2022-32894)和Apple macOS Monterey安全漏洞(CNNVD-202208-3345、CVE-2022-32893)：成功利用漏洞的攻擊者，并執行任意代碼。iOS 15.6.1以下版本、iPadOS 15.6.1以下版本、macOS Monterey 12.5.1以下版本受上述漏洞影響。目前，蘋果官方已經發布了版本更新修復了該漏洞，建議用戶及時確認產品版本，盡快采取修補措施。

微軟官方發布公告更新了Microsoft Windows Point-to-Point Tunneling Protocol安全漏洞(CNNVD-202208-2560、CVE-2022-30133)等多個漏洞：成功利用上述漏洞的攻擊者可以在目標系統上執行任意代碼、獲取用戶數據，提升權限等。微軟多個產品和系統受漏洞影響。目前，微軟官方已經發布了漏洞修復補丁，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

漏洞態勢

一、公開漏洞情況

根據國家信息安全漏洞庫(CNNVD)統計，2022年8月份新增安全漏洞共2240個，從廠商分布來看，Google公司產品的漏洞數量最多，共發布223個;從漏洞類型來看，緩沖區錯誤類的漏洞占比最大，達到12.99%。本月新增漏洞中，超危漏洞458個、高危漏洞797個、中危漏洞920個、低危漏洞65個，相應修復率分別為56.77%、81.93%、74.35%以及98.46%。合計1661個漏洞已有修復補丁發布，本月整體修復率74.15%。

截至2022年8月31日，CNNVD采集漏洞總量已達191294個。

1.1 漏洞增長概況

2022年8月新增安全漏洞2240個，與上月(1924個)相比增加了16.42%。根據近6個月來漏洞新增數量統計圖，平均每月漏洞數量達到2120個。

圖1 2022年3月至2022年8月漏洞新增數量統計圖

1.2 漏洞分布情況

1.2.1 漏洞廠商分布

2022年8月廠商漏洞數量分布情況如表1所示，Google公司漏洞達到223個，占本月漏洞總量的9.96%。

表1 2022年8月排名前十廠商新增安全漏洞統計表

1.2.2 漏洞產品分布

2022年8月主流操作系統的漏洞統計情況如表2所示。本月Windows系列操作系統漏洞數量共63個，Android漏洞數量最多，共131個，占主流操作系統漏洞總量的19.58%，排名第一。

表2 2022年8月主流操作系統漏洞數量統計

1.2.3 漏洞類型分布

2022年8月份發布的漏洞類型分布如表3所示，其中緩沖區錯誤類漏洞所占比例最大，約為12.99%。

表3 2022年8月漏洞類型統計表

1.2.4 漏洞危害等級分布

根據漏洞的影響范圍、利用方式、攻擊后果等情況，從高到低可將其分為四個危害等級，即超危、高危、中危和低危級別。2022年8月漏洞危害等級分布如圖2所示，其中超危漏洞458條，占本月漏洞總數的20.45%。

圖2 2022年8月漏洞危害等級分布

1.3漏洞修復情

1.3.1 整體修復情況

2022年8月漏洞修復情況按危害等級進行統計見圖3。其中低危漏洞修復率最高，達到98.46%，超危漏洞修復率最低，比例為56.77%。

總體來看，本月整體修復率，由上月的81.13%下降至本月的74.15%。

圖3 2022年8月漏洞修復數量統計

1.3.2 廠商修復情況

2022年8月漏洞修復情況按漏洞數量前十廠商進行統計，其中Google、WordPress基金會、Microsoft等十個廠商共707條漏洞，占本月漏洞總數的31.56%，漏洞修復率為89.67%，詳細情況見表4。多數知名廠商對產品安全高度重視，產品漏洞修復比較及時，其中Microsoft、Dell等公司本月漏洞修復率均為100%，共634條漏洞已全部修復。

表4 2022年8月廠商修復情況統計表

1.4 重要漏洞實例

1.4.1 超危漏洞實例

2022年8月超危漏洞共458個，其中重要漏洞實例如表5所示。

表5 2022年8月超危漏洞實例

1、IBM Sterling B2B Integrator SQL注入漏洞(CNNVD-202208-3150)

IBM Sterling B2B Integrator是美國IBM公司的一套集成了重要的B2B流程、交易和關系的軟件。該軟件支持與不同的合作伙伴社區之間實現復雜的B2B流程的安全集成。

IBM Sterling B2B Integrator Standard Edition 6.0.0.0 到6.0.3.5版本、6.1.0.0 到 6.1.0.4版本 和 6.1.1.0 到 6.1.1.1版本存在安全漏洞源于可以發送特制的 SQL 語句，攻擊者利用該漏洞可以查看、添加、修改或刪除后端數據庫中的信息。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://www.ibm.com/support/pages/node/6612505

2、Laravel 代碼問題漏洞(CNNVD-202208-3325)

Laravel是Laravel 團隊(Laravel)的一個Web 應用程序框架。

Laravel 5.1版本存在代碼問題漏洞，該漏洞源于會影響一些未知的處理，操作導致反序列化，攻擊可以遠程發起，該漏洞利用已向公眾披露并可能被使用。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://laravel.com/docs/9.x/installation

3、Synacor Zimbra Collaboration Suite 授權問題漏洞(CNNVD-202208-2850)

Synacor Zimbra Collaboration Suite(ZCS)是美國Synacor公司的一款開源協同辦公套件。該產品包括WebMail、日歷、通信錄等。

Synacor Zimbra Collaboration Suite (ZCS) 8.8.15版本、9.0版本存在安全漏洞。攻擊者利用該漏洞可以將任意文件上傳到系統，從而導致目錄遍歷和遠程代碼執行。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories

4、Cisco Small Business RV Series Routers 操作系統命令注入漏洞(CNNVD-202208-2168)

Cisco Small Business RV Series Routers是美國思科(Cisco)公司的一款RV系列路由器。

Cisco Small Business RV Series Routers 存在安全漏洞，該漏洞源于其對用戶輸入驗證不足導致允許未經身份驗證的遠程攻擊者執行命令注入并執行底層操作系統上具有root權限的命令。以下產品受到影響：RV160、RV260、RV340、RV345。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://www.auscert.org.au/bulletins/ESB-2022.3837

5、Google Chrome OS 緩沖區錯誤漏洞(CNNVD-202208-2968)

Google Chrome OS是美國谷歌(Google)公司的一套基于Web的輕量型開源操作系統。

Google Chrome OS 102.0.5005.125之前版本存在安全漏洞，該漏洞源于越界寫入。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://chromereleases.googleblog.com/2022/06/stable-channel-update-for-chromeos.html

6、Honeywell Experion LX 訪問控制錯誤漏洞(CNNVD-202208-4445)

Honeywell Experion LX是美國Honeywell公司的一種專門構建的分布式控制系統 (DCS)。

Honeywell Experion LX存在訪問控制錯誤漏洞，該漏洞源于使用沒有身份驗證功能的EpicMo協議，這可能允許通過網絡訪問該協議的攻擊者操縱固件或導致拒絕服務。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://process.honeywell.com/us/en/support/product-documents-downloads

7、GNU LibreDWG 資源管理錯誤漏洞(CNNVD-202208-3370)

GNU LibreDWG是GNU社區的一個用于處理DWG文件的C語言庫。

LibreDWG v0.12.4.4608版本存在資源管理錯誤漏洞，該漏洞源于bit_copy_chain 中存在釋放后重用情況。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://github.com/LibreDWG/libredwg/commit/e95cc1eea8744c40e298208679eda14039b9b5d3

8、Apache Flume 輸入驗證錯誤漏洞(CNNVD-202208-3617)

Apache Flume是美國阿帕奇(Apache)基金會的一種分布式、可靠且可用的服務。用于高效收集、聚合和移動大量日志數據。

Apache Flume 1.4.0至1.10.0之前的版本存在安全漏洞，該漏洞源于攻擊者控制配置使用帶有JNDI LDAP數據源URI的JMS Source的LDAP服務器時容易受到遠程代碼執行(RCE)攻擊。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://lists.apache.org/thread/qkmt4r2t9tbrxrdbjg1m2oczbvczd9zn

1.4.2 高危漏洞實例

2022年8月高危漏洞共797個，其中重要漏洞實例如表6所示。

表6 2022年8月高危漏洞實例

1、PostgreSQL JDBC Driver SQL注入漏洞(CNNVD-202208-2126)

PostgreSQL是PostgreSQL組織的一套自由的對象關系型數據庫管理系統。該系統支持大部分SQL標準并且提供了許多其他特性，例如外鍵、觸發器、視圖等。PostgreSQL JDBC Driver是一個用 Pure Java(Type 4)編寫的開源 JDBC 驅動程序，用于 PostgreSQL 本地網絡協議中進行通信。

PostgreSQL JDBC Driver 42.2.x、42.3.x、42.4.x版本存在SQL注入漏洞，該漏洞源于包含語句終止符的惡意列名，攻擊者利用該漏洞可以以應用程序的 JDBC 用戶身份執行其他 SQL 命令。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-r38f-c4h4-hqq2

2、Apache Hadoop 代碼問題漏洞(CNNVD-202208-3967)

Apache Hadoop是美國阿帕奇(Apache)基金會的一套開源的分布式系統基礎架構。該產品能夠對大量數據進行分布式處理，并具有高可靠性、高擴展性、高容錯性等特點。

Apache Hadoop YARN存在安全漏洞，該漏洞源于其CapacityScheduler可選地使用ZKConfigurationStore時，它將從ZooKeeper獲取的數據反序列化而無需驗證，導致能夠訪問ZooKeeper的攻擊者可以以YARN用戶的身份運行任意命令。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://lists.apache.org/thread/g6vf2h4wdgzzdgk91mqozhs58wotq150

3、Aviatrix Gateway 授權問題漏洞(CNNVD-202208-3114)

Aviatrix Gateway是美國Aviatrix公司的一種用于多云網絡的單一通用平臺。

Aviatrix Gateway 6.6.5712之前版本和6.7.1376之前的6.7.x版本存在安全漏洞，該漏洞源于API函數對認證處理不當，經過身份驗證的VPN用戶可以注入任意命令。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://docs.aviatrix.com/HowTos/PSIRT_Advisories.html#aviatrix-controller-and-gateways-unauthorized-access

4、Airspan AirVelocity 1500 操作系統命令注入漏洞(CNNVD-202208-3126)

Airspan AirVelocity 1500是美國Airspan公司的一款革命性的室內高性能小型蜂窩。旨在將公共接入 LTE 網絡帶入室內空間

Airspan AirVelocity 1500 15.18.00.2511之前的版本存在安全漏洞，該漏洞源于其 eNodeB s web管理UI組件的recoverySubmit.cgi腳本對參數ActiveBank的操作會導致root權限的命令注入。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://helpdesk.airspan.com/browse/TRN3-1690

5、Apple macOS Monterey Safari 緩沖區錯誤漏洞(CNNVD-202208-3345)

Apple Safari和Apple macOS Monterey都是美國蘋果(Apple)公司的產品。Apple Safari是一款Web瀏覽器，是Mac OS X和iOS操作系統附帶的默認瀏覽器。Apple macOS Monterey是用于麥金塔桌面操作系統macOS的第18個主要版本。

Apple macOS Monterey 12.5.1之前版本和 Safari 15.6.1之前版本存在安全漏洞，該漏洞源于越界寫入，處理惡意制作的Web內容可能導致任意代碼執行。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://support.apple.com/en-us/HT213413

6、Emerson Proficy Machine Edition 訪問控制錯誤漏洞(CNNVD-202208-3273)

Emerson Proficy Machine Edition是Emerson公司的一個應用軟件。一個自動化解決方案。

Emerson Proficy Machine Edition 9.00版本及之前版本存在訪問控制錯誤漏洞，該漏洞源于將項目數據存儲在具有不正確訪問控制列表的目錄中。

目前廠商已發布升級補丁以修復漏洞，詳情請關注廠商主頁：

https://www.emerson.com/en-us/support/security-notifications

7、Linux kernel 資源管理錯誤漏洞(CNNVD-202208-2051)

Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。

Linux kernel ConnMan 1.41版本存在安全漏洞，該漏洞源于WISPR存在釋放后重用問題，攻擊者利用該漏洞可以使服務崩潰或代碼執行。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://lore.kernel.org/connman/20220801080043.4861-5-wagi@monom.org/

8、Google Android 輸入驗證錯誤漏洞(CNNVD-202208-2920)

Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統。

Google Android 13 存在安全漏洞，該漏洞源于在Bluetooth中整數溢出，可能會出現越界寫入，這可能會導致通過藍牙遠程執行代碼，而無需額外的執行權限，利用時不需要用戶交互。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://source.android.com/security/bulletin/android-13

二、漏洞平臺推送情況

2022年8月漏洞平臺推送漏洞20235個。

表7 2022年8月漏洞平臺推送情況表

三、接報漏洞情況

2022年8月接報漏洞945個，其中信息技術產品漏洞(通用型漏洞)413個，網絡信息系統漏洞(事件型漏洞)532個。

表8 2022年8月接報漏洞情況表（略）

四、重大漏洞通報

4.1 蘋果多個安全漏洞的通報

近日，國家信息安全漏洞庫(CNNVD)收到關于Apple macOS Monterey安全漏洞(CNNVD-202208-3348、CVE-2022-32894)和Apple macOS Monterey安全漏洞(CNNVD-202208-3345、CVE-2022-32893)情況的報送。成功利用漏洞的攻擊者可提升本地權限，并執行任意代碼。iOS 15.6.1以下版本、iPadOS 15.6.1以下版本、macOS Monterey 12.5.1以下版本受上述漏洞影響。目前，蘋果官方已經發布了版本更新修復了該漏洞，建議用戶及時確認產品版本，盡快采取修補措施

. 漏洞介紹

Apple macOS Monterey是美國蘋果(Apple)公司的用于麥金塔桌面操作系統macOS的第18個主要版本。

Apple macOS Monterey安全漏洞(CNNVD-202208-3348、CVE-2022-32894)：該漏洞是由于系統邊界檢查問題導致，攻擊者可利用該漏洞在獲得本地權限的情況下，通過越界讀寫，提升本地權限至內核權限，最終以內核權限執行任意命令。

Apple macOS Monterey安全漏洞(CNNVD-202208-3345、CVE-2022-32893)：該漏洞是由于系統邊界檢查問題導致，攻擊者可以利用該漏洞構造惡意網頁內容，用戶使用Safari瀏覽器打開惡意網頁內容時會觸發越界讀寫，最終導致任意代碼執行。

. 危害影響

成功利用漏洞的攻擊者可提升本地權限，并執行任意代碼。iOS 15.6.1以下版本、iPadOS 15.6.1以下版本、macOS Monterey 12.5.1以下版本受上述漏洞影響。

. 修復建議

目前，蘋果官方已經發布了版本更新修復了該漏洞，建議用戶及時確認產品版本，盡快采取修補措施。官方鏈接如下：

https://support.apple.com/en-us/HT213413

4.2 微軟多個安全漏洞的通報

近日，微軟官方發布了多個安全漏洞的公告，其中微軟產品本身漏洞123個。包括Microsoft Windows Point-to-Point Tunneling Protocol 安全漏洞(CNNVD-202208-2560、CVE-2022-30133)、Microsoft Windows Network File System 安全漏洞(CNNVD-202208-2542、CVE-2022-34715)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標系統上執行任意代碼、獲取用戶數據，提升權限等。微軟多個產品和系統受漏洞影響。目前，微軟官方已經發布了漏洞修復補丁，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

. 漏洞介紹

2022年8月9日，微軟發布了2022年8月份安全更新，共123個漏洞的補丁程序，CNNVD對這些漏洞進行了收錄。本次更新主要涵蓋了Microsoft Windows 和 Windows 組件、Microsoft .NET Framework、Microsoft Windows Hello、Microsoft Windows Defender、Microsoft Windows Storage Spaces Controller、Microsoft Excel等。CNNVD對其危害等級進行了評價，其中超危漏洞2個，高危漏洞54個，中危漏洞67個。微軟多個產品和系統版本受漏洞影響，具體影響范圍可訪問：

https://portal.msrc.microsoft.com/zh-cn/security-guidance查詢。

. 漏洞詳情

此次更新共包括121個新增漏洞的補丁程序，其中超危漏洞2個，高危漏洞53個，中危漏洞66個。

此次更新共包括2個更新漏洞的補丁程序，其中高危漏洞1個，中危漏洞1個。

. 修復建議

目前，微軟官方已經發布補丁修復了上述漏洞，建議用戶及時確認漏洞影響，盡快采取修補措施。微軟官方補丁下載地址：

https://msrc.microsoft.com/update-guide/en-us

來源：CNNVD安全動態