关于java:OSCS开源安全周报第8期时隔百天-Apache-Hadoop-YARN-远程代码执行漏洞公开

39次阅读

共计 1383 个字符,预计需要花费 4 分钟才能阅读完成。

本周平安态势综述

OSCS 社区共收录安全漏洞 29 个,公开破绽值得关注的是 Apache Hadoop YARN 近程代码执行破绽(CVE-2021-25642),Firefox 内存毁坏破绽(CVE-2022-38478)和 Atlassian Bitbucket Server 和 Data Center 命令注入破绽(CVE-2022-36804)。

针对 NPM、PyPI 仓库,共监测到 5 次投毒事件,波及 43 个不同版本的 NPM、PyPI 组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

  1. Apache Hadoop YARN 近程代码执行破绽(CVE-2021-25642)

Apache Hadoop YARN CapacityScheduler 提供了在 Hadoop 的治理资源和调度作业的性能。

Apache Hadoop YARN CapacityScheduler 中的 ZKConfigurationStore 因为没有验证从 ZooKeeper 取得的数据就进行反序列化解决,使得有权拜访 ZooKeeper 的攻击者通过特制数据以 YARN 用户身份运行任意命令。

参考链接:https://www.oscs1024.com/hd/M…

  1. Firefox 内存毁坏破绽(CVE-2022-38478)

Firefox 是一款网络浏览器。

在 Firefox 103、Firefox ESR 102.1 和 Firefox ESR 91.12 中存在内存安全漏洞,其中一些谬误回显蕴含敏感信息,攻击者可利用此破绽执行任意代码。

参考链接:https://www.oscs1024.com/hd/M…

  1. Atlassian Bitbucket Server 和 Data Center 命令注入破绽(CVE-2022-36804)

Atlassian Bitbucket Server 是澳大利亚 Atlassian 公司的一款 Git 代码托管解决方案。

在 Bitbucket Server 和 Data Center 的多个 API 端点处存在命令注入破绽。有权拜访公共 Bitbucket 存储库或对公有存储库具备读取权限的攻击者能够通过发送歹意 HTTP 申请来执行任意代码。

参考链接:https://www.oscs1024.com/hd/M…

投毒危险监测

OSCS 针对 NPM、PyPI 仓库监测的歹意组件数量如下所示,其中 NPM 仓库仍旧是次要投毒对象。

本周新发现 43 个不同版本的歹意组件,其中

  • 84% 的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息)
  • 14% 的投毒组件为:非预期网络拜访(装置过程中主动申请近程服务地址,无实际性危害)
  • 2% 的投毒组件为:反弹 shell 获取近程命令权限(近程执行主机系统命令)

其余资讯

微软称伊朗黑客仍在利用 Log4j 破绽攻打以色列

https://www.bleepingcomputer….

情报订阅

OSCS(开源软件供应链平安社区) 通过最快、最全的形式,公布开源我的项目最新的平安危险动静,包含开源组件安全漏洞、事件等信息。同时提供破绽、投毒情报的收费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时取得一手情报信息推送:

https://www.oscs1024.com/?src=sf

具体订阅形式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=sf

正文完
 0