乐趣区

关于安全漏洞:OSCS开源安全周报第22期NuGet-仓库中被发现-135-万个包含钓鱼地址的组件包

本周平安态势综述

OSCS 社区共收录安全漏洞 15 个,公开破绽值得关注的是 Jenkins Google Login Plugin 存在凋谢重定向破绽(CVE-2022-46683),Netty <4.1.86.Final 存在拒绝服务破绽(CVE-2022-41881),Apache Atlas import 性能存在门路遍历破绽(CVE-2022-34271),Apache Zeppelin 任意文件删除破绽(CVE-2021-28655)。

针对 NPM、PyPI 仓库,共监测到 25 个不同版本的 NPM、PyPI 投毒组件,投毒组件都在尝试获取主机敏感信息;Checkmarx 和 Illustria 的钻研人员发现超过 14.4 万个蕴含钓鱼地址的软件包,其中 13.5 万个位于 NuGet 仓库。

重要安全漏洞列表

1、Jenkins Google Login Plugin 存在凋谢重定向破绽(CVE-2022-46683)

Jenkins 是一个用 Java 开发的开源自动化服务器,Google Login 是一款反对用户应用 Google 帐户登录 Jenkins 的插件。

Google Login Plugin 的受影响版本中因为胜利登录后的重定向 URL 没有正确指向 Jenkins,攻击者可利用此破绽将通过登录验证的用户的 url 重定向到歹意站点进行网络钓鱼攻打,从而获取用户 token 等敏感信息,应用用户身份执行歹意操作等。

参考链接:https://www.oscs1024.com/hd/M…

2、Netty <4.1.86.Final 存在拒绝服务破绽(CVE-2022-41881)

Netty 是一个异步事件驱动的网络应用程序框架,用于疾速开发可保护的高性能协定服务器和客户端。

Netty 4.1.86.Final 之前版本中的 HaProxyMessageDecoder 模块因为未对用户传入的附加数据(TLV)的递归长度进行无效限度,当解析循环嵌套的 PP2_TYPE_SSL 类型的 TLV 数据时会因为栈的缓冲区溢出造成拒绝服务。如果 HAProxyMessageDecoder 用作 Netty ChannelPipeline 的一部分解析歹意数据会捕捉 StackOverflowError 异样,如果间接解析歹意数据则会抛出 Exception 异样或服务解体。攻击者可通过向 netty 发送歹意 TLV 数据造成拒绝服务,用户可通过应用自定义的 HaProxyMessageDecoder 缓解此破绽。

参考链接:https://www.oscs1024.com/hd/M…

3、Apache Atlas import 性能存在门路遍历破绽(CVE-2022-34271)

Apache Atlas 是一款元数据管理和数据治理平台。

Atlas import API 反对将 zip 文件解压缩到服务器目录的部署选项。通过 Apache Atlas 身份验证的攻击者能够利用 import 性能中的门路遍历破绽对 Web 服务器文件系统进行写入操作。

参考链接:https://www.oscs1024.com/hd/M…

4、Apache Zeppelin 任意文件删除破绽(CVE-2021-28655)

Apache Zeppelin 是一款基于 Web 可实现交互式数据分析的 notebook 产品。

在 Apache Zeppelin 0.10.1 及以前的版本中“Move folder to Trash”性能存在门路遍历破绽,因为未对 InterpreterSettingManager 类 remove 办法中 id 参数进行正确校验,攻击者可通过结构蕴含../ 的参数实现门路穿梭,利用破绽删除 zeppelin 相干或其余任意文件。

参考链接:https://www.oscs1024.com/hd/M…

* 查看破绽详情页,反对收费检测我的项目中应用了哪些有缺点的第三方组件

投毒危险监测

OSCS 针对 NPM、PyPI 仓库监测的歹意组件数量如下所示。

本周新发现 25 个不同版本的歹意组件:

  • 100% 的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给歹意服务器)。

其余资讯

Checkmarx 和 Illustria 的钻研人员发现超过 14.4 万个蕴含钓鱼地址的恶意软件包,其中 13.5 万个位于 NuGet 仓库

https://checkmarx.com/blog/ho…

情报订阅

OSCS(开源软件供应链平安社区) 通过最快、最全的形式,公布开源我的项目最新的平安危险动静,包含开源组件安全漏洞、事件等信息。同时提供破绽、投毒情报的收费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时取得一手情报信息推送:

https://www.oscs1024.com/cm

具体订阅形式详见:

https://www.oscs1024.com/docs…

退出移动版