OSCS开源安全周报第9期(开源组件命令执行漏洞集中爆发)
本周安全态势综述
OSCS 社区共收录安全漏洞39个,公开漏洞值得关注的是 Apache OFBiz < 18.12.06 存在反序列化漏洞(CVE-2022-29063),Apache Geode (Java8 环境) 不受信任的反序列化漏洞(CVE-2022-37021),GitLab 中 GitHub 导入 API 存在远程代码执行漏洞(CVE-2022-2992)和 OpenSSL 存在命令执行漏洞(CVE-2022-1292)。
针对 NPM、PyPI 仓库,共监测到 4 次投毒事件,涉及 23 个不同版本的 NPM、PyPI 组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。
重要安全漏洞列表
- Apache OFBiz < 18.12.06 存在反序列化漏洞(CVE-2022-29063)
在 Apache OFBiz 的受影响版本中 Solr 插件默认配置在 localhost 端口 1099 上并自动发出 RMI 请求。
【OSCS开源安全周报第9期(开源组件命令执行漏洞集中爆发)】攻击者通过在 localhost 上托管恶意 RMI 服务器,在服务器启动或重启时,可以运行任意代码。
参考链接:https://www.oscs1024.com/hd/M...
- Apache Geode (Java8环境) 不受信任的反序列化漏洞(CVE-2022-37021)
Apache Geode 的漏洞版本中存在不受信任的反序列化漏洞,在 Java 8上使用 JMX over RMI 时,攻击者可利用该漏洞执行任意代码,甚至接管服务器。
参考链接:https://www.oscs1024.com/hd/M...
- GitLab 中 GitHub 导入 API 存在远程代码执行漏洞(CVE-2022-2992)
GitLab 的受影响版本中存在远程代码执行漏洞,此漏洞与 CVE-2022-2884 相似,允许经过身份验证的用户通过从 GitHub API 端点导入来实现远程代码执行。
攻击者可利用该漏洞进行远程代码执行,甚至接管服务器。
参考链接:https://www.oscs1024.com/hd/M...
- OpenSSL 存在命令执行漏洞(CVE-2022-1292)
OpenSSL 存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。
参考链接:https://www.oscs1024.com/hd/M...
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
投毒风险监测 OSCS针对 NPM 仓库监测的恶意组件数量如下所示。
文章图片
文章图片
本周新发现 43 个不同版本的恶意组件,其中
- 100%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)
https://www.darkreading.com/v...
安全研究员定位到 PyPI 网络钓鱼活动参与者
https://www.darkreading.com/a...
情报订阅 OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/?src=https://www.it610.com/article/free
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=https://www.it610.com/article/free
文章图片
推荐阅读
- 《安全感》
- 计算机网络|网络安全协议SSL的知识梳理
- 终于不用抢购了,升级后的余额宝安全性如何()
- 云上网络安全
- C++\QT|Qt编写的知名的开源软件汇总
- VUE3.x|VUE3开源项目
- 前端优秀开源项目|Vexip UI - 新轮子推荐,由个人开发者打造的 Vue3 UI 组件库,免费开源、开箱即用
- 线下活动|来开源集市和Jina AI面对面say hi!
- 开源IM项目OpenIM单聊及万人群压测报告
- 开源IPTV源服务程序使用教程