关于安全:OSCS开源软件安全周报一分钟了解本周开源软件安全大事

60次阅读

共计 1522 个字符,预计需要花费 4 分钟才能阅读完成。

本周平安态势综述

OSCS 社区共收录安全漏洞 41 个,值得关注的是 Hadoop 存在 shell 命令注入破绽(CVE-2022-35918),MinIO 存在门路遍历破绽(CVE-2022-35919)和 rsync < 3.2.5 存在门路校验不严破绽(CVE-2022-29154)。

针对 NPM、Python 仓库,共监测到 5 次投毒事件,波及 131 个不同版本的 NPM、Python 组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

  1. Hadoop 存在 shell 命令注入破绽(CVE-2022-35918)

Hadoop 是一款分布式系统基础架构和开发开源软件。

因为 Hadoop 中 org.apache.hadoop.fs.FileUtill 类的 unTar 中针对 tar 文件的解决应用了系统命令去解压,造成了 shell 命令注入的危险。

攻击者能够通过该破绽实现任意命令执行。

参考链接:https://www.oscs1024.com/hd/M…

  1. MinIO 存在门路遍历破绽(CVE-2022-35919)

MinIO 是一个用 Golang 开发的基于 Apache License v2.0 开源协定的对象存储服务。

在受影响的版本中,经 admin:ServerUpdate 受权的 admin 用户可能会获取到任意门路的文件内容。

参考链接:https://www.oscs1024.com/hd/M…

  1. rsync < 3.2.5 存在门路校验不严破绽(CVE-2022-29154)

rsync 命令 是一个近程数据同步工具,可通过网络疾速同步多台主机间的文件。

在受影响版本中,容许近程歹意服务器将客户端申请同步更新的文件 / 目录发送给客户端,并将歹意的文件 / 目录笼罩到客户端。

攻击者可利用此缺点来获取客户端主机权限。

参考链接:https://www.oscs1024.com/hd/M…

投毒危险监测

OSCS 针对 NPM、Python 仓库监测的歹意组件数量如下所示,并且工夫次要集中在周一。

OSCS 针对 NPM、Python 仓库监测的歹意组件数量如下所示。

  • 本周新发现 131 个不同版本的歹意组件,其中

    • 71% 的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息)
    • 25% 的投毒组件为:获取 discord 用户敏感信息(窃取 discord 令牌)
    • 2% 的投毒组件为:非预期网络拜访(装置过程中主动申请近程服务地址,无实际性危害)
    • 2% 的投毒组件为:下载执行木马(获取主机高权限,进行长久化等操作)

GitHub 中超过 3.5 万开源代码被投毒

8 月 3 日 13 时名为 StephenLacy 的开发者在 Twitter 中示意其发现 GitHub 中大量仓库被退出了恶意代码,感化文件超过 3.5 万,波及 Go 代码、NPM 装置脚本、容器镜像配置等内容。

https://mp.weixin.qq.com/s/4exLDOlayWm_o60zxn1Srw

其余资讯

通过 SSH 蛮力攻打针对 Linux 服务器的新 IoT RapperBot 恶意软件

https://thehackernews.com/2022/08/new-iot-rapperbot-malware-targeting.html

情报订阅

OSCS(开源软件供应链平安社区) 通过最快、最全的形式,公布开源我的项目最新的平安危险动静,包含开源组件安全漏洞、事件等信息。同时提供破绽、投毒情报的收费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时取得一手情报信息推送:

https://www.oscs1024.com/?src=sf

具体订阅形式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=sf

正文完
 0