本周平安态势综述
OSCS 社区共收录安全漏洞 15 个,公开破绽值得关注的是 Jenkins Google Login Plugin 存在凋谢重定向破绽(CVE-2022-46683),Netty <4.1.86.Final 存在拒绝服务破绽(CVE-2022-41881),Apache Atlas import 性能存在门路遍历破绽(CVE-2022-34271),Apache Zeppelin 任意文件删除破绽(CVE-2021-28655)。
针对 NPM、PyPI 仓库,共监测到 25 个不同版本的 NPM、PyPI 投毒组件,投毒组件都在尝试获取主机敏感信息;Checkmarx 和 Illustria 的钻研人员发现超过 14.4 万个蕴含钓鱼地址的软件包,其中 13.5 万个位于 NuGet 仓库。
重要安全漏洞列表
1、Jenkins Google Login Plugin 存在凋谢重定向破绽(CVE-2022-46683)
Jenkins 是一个用 Java 开发的开源自动化服务器,Google Login 是一款反对用户应用 Google 帐户登录 Jenkins 的插件。
Google Login Plugin 的受影响版本中因为胜利登录后的重定向 URL 没有正确指向 Jenkins,攻击者可利用此破绽将通过登录验证的用户的 url 重定向到歹意站点进行网络钓鱼攻打,从而获取用户 token 等敏感信息,应用用户身份执行歹意操作等。
参考链接:https://www.oscs1024.com/hd/M…
2、Netty <4.1.86.Final 存在拒绝服务破绽(CVE-2022-41881)
Netty 是一个异步事件驱动的网络应用程序框架,用于疾速开发可保护的高性能协定服务器和客户端。
Netty 4.1.86.Final 之前版本中的 HaProxyMessageDecoder 模块因为未对用户传入的附加数据(TLV)的递归长度进行无效限度,当解析循环嵌套的 PP2_TYPE_SSL 类型的 TLV 数据时会因为栈的缓冲区溢出造成拒绝服务。如果 HAProxyMessageDecoder 用作 Netty ChannelPipeline 的一部分解析歹意数据会捕捉 StackOverflowError 异样,如果间接解析歹意数据则会抛出 Exception 异样或服务解体。攻击者可通过向 netty 发送歹意 TLV 数据造成拒绝服务,用户可通过应用自定义的 HaProxyMessageDecoder 缓解此破绽。
参考链接:https://www.oscs1024.com/hd/M…
3、Apache Atlas import 性能存在门路遍历破绽(CVE-2022-34271)
Apache Atlas 是一款元数据管理和数据治理平台。
Atlas import API 反对将 zip 文件解压缩到服务器目录的部署选项。通过 Apache Atlas 身份验证的攻击者能够利用 import 性能中的门路遍历破绽对 Web 服务器文件系统进行写入操作。
参考链接:https://www.oscs1024.com/hd/M…
4、Apache Zeppelin 任意文件删除破绽(CVE-2021-28655)
Apache Zeppelin 是一款基于 Web 可实现交互式数据分析的 notebook 产品。
在 Apache Zeppelin 0.10.1 及以前的版本中“Move folder to Trash”性能存在门路遍历破绽,因为未对 InterpreterSettingManager 类 remove 办法中 id 参数进行正确校验,攻击者可通过结构蕴含../ 的参数实现门路穿梭,利用破绽删除 zeppelin 相干或其余任意文件。
参考链接:https://www.oscs1024.com/hd/M…
* 查看破绽详情页,反对收费检测我的项目中应用了哪些有缺点的第三方组件
投毒危险监测
OSCS 针对 NPM、PyPI 仓库监测的歹意组件数量如下所示。
本周新发现 25 个不同版本的歹意组件:
- 100% 的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给歹意服务器)。
其余资讯
Checkmarx 和 Illustria 的钻研人员发现超过 14.4 万个蕴含钓鱼地址的恶意软件包,其中 13.5 万个位于 NuGet 仓库
https://checkmarx.com/blog/ho…
情报订阅
OSCS(开源软件供应链平安社区) 通过最快、最全的形式,公布开源我的项目最新的平安危险动静,包含开源组件安全漏洞、事件等信息。同时提供破绽、投毒情报的收费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时取得一手情报信息推送:
https://www.oscs1024.com/cm
具体订阅形式详见:
https://www.oscs1024.com/docs…