OSCS开源安全周报第9期：开源组件命令执行漏洞集中爆发

2022-09-05 537

本周安全态势综述

OSCS 社区共收录安全漏洞39个，公开漏洞值得关注的是 Apache OFBiz < 18.12.06 存在反序列化漏洞（CVE-2022-29063），Apache Geode (Java8 环境) 不受信任的反序列化漏洞（CVE-2022-37021），GitLab 中 GitHub 导入 API 存在远程代码执行漏洞（CVE-2022-2992）和 OpenSSL 存在命令执行漏洞（CVE-2022-1292）。

针对 NPM、PyPI 仓库，共监测到 4 次投毒事件，涉及 23 个不同版本的 NPM、PyPI 组件，投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

1、Apache OFBiz < 18.12.06 存在反序列化漏洞（CVE-2022-29063）

Apache OFBiz 是一个用 Java 编写的企业资源规划 (ERP) 系统。

在 Apache OFBiz 的受影响版本中 Solr 插件默认配置在 localhost 端口 1099 上并自动发出 RMI 请求。

攻击者通过在 localhost 上托管恶意 RMI 服务器，在服务器启动或重启时，可以运行任意代码。

参考链接：https://www.oscs1024.com/hd/MPS-2022-8364

2、Apache Geode (Java8环境) 不受信任的反序列化漏洞（CVE-2022-37021）

Apache Geode 是一个数据管理平台，可在广泛分布的云架构中提供对数据密集型应用程序的实时，一致的访问。

Apache Geode 的漏洞版本中存在不受信任的反序列化漏洞，在 Java 8上使用 JMX over RMI 时，攻击者可利用该漏洞执行任意代码，甚至接管服务器。

参考链接：https://www.oscs1024.com/hd/MPS-2022-52738

3、GitLab 中 GitHub 导入 API 存在远程代码执行漏洞（CVE-2022-2992）

GitLab 是由 GitLab 公司开发的、基于 Git 的集成软件开发平台。

GitLab 的受影响版本中存在远程代码执行漏洞，此漏洞与 CVE-2022-2884 相似，允许经过身份验证的用户通过从 GitHub API 端点导入来实现远程代码执行。

攻击者可利用该漏洞进行远程代码执行，甚至接管服务器。

参考链接：https://www.oscs1024.com/hd/MPS-2022-56071

4、OpenSSL 存在命令执行漏洞（CVE-2022-1292）

OpenSSL 是 Openssl 团队的一个开源的能够实现安全套接层（SSLv2/v3）和安全传输层（TLSv1）协议的通用加密库，该产品支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。

OpenSSL 存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。

参考链接：https://www.oscs1024.com/hd/MPS-2022-8314

*查看漏洞详情页，支持免费检测项目中使用了哪些有缺陷的第三方组件

投毒风险监测

OSCS针对 NPM 仓库监测的恶意组件数量如下所示。

本周新发现 43 个不同版本的恶意组件，其中

100%的投毒组件为：获取主机敏感信息（获取了主机的用户名、IP 等敏感信息发送给恶意服务器）

其他资讯

CI/CD中的代码注入漏洞会影响Google、Apache的Github开源项目

https://www.darkreading.com/vulnerabilities-threats/code-injection-bugs-google-apache-open-source-github-projects

安全研究员定位到 PyPI 网络钓鱼活动参与者

https://www.darkreading.com/application-security/researchers-identify-threat-actor-behind-recent-phishing-attack-targeting-pypi-users

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

https://www.oscs1024.com/?src=osc

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/209250

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Java 开源开发平台 O2OA V7.2.0 发布，新增系统配置图形化模块和企业文件模块！

O2OA V7.2.0 发布，新增了平台配置中的【系统配置图形化模块】和企业网盘【企业文件模块】。 O2OA V7.2.0中，新增了【系统配置图形化模块】，在系统配置中点击界面配置，可以对系统界面进行个性化的更改，比如选择进入系统时的状态，以及系统皮肤的更换等。在O2OA V7.2.0新版本系统配置中，新增服务器配置，可以更直观地看到服务器信息。在O2OA V7.2.0系统配置中，点击资源部署，就能部署您自定义开发的O2OA组件（从官方获取的组件也可直接进行部署）。在O2OA V7.2.0系统配置中，点击系统信息，可以更直观地看到每个模块的运行情况，集群情况。在资源部署中，可以用前端来部署web资源和自定义程序。选择数据库配置，可以看到该版本现已支持在前端直接进行数据库配置，操作更为便捷。在消息配置中，新版本支持前端配置消息类型、消息模板，并通过脚本对消息进行过滤发送。 O2OA V7.2.0中，在原有的企业网盘功能基础上，新增了企业网盘中的【企业文件模块】。企业文件分为我的收藏（关联某个共享区，可以有多个共享工作区的收藏）和共享工作区（共享工...

2022-09-05

423

作者：临在、岑鸣、熊兮一导读随着 BERT、Megatron、GPT-3 等预训练模型在NLP领域取得瞩目的成果，越来越多团队投身到超大规模训练中，这使得训练模型的规模从亿级别发展到了千亿甚至万亿的规模。然而，这类超大规模的模型运用于实际场景中仍然有一些挑战。首先，模型参数量过大使得训练和推理速度过慢且部署成本极高；其次在很多实际场景中数据量不足的问题仍然制约着大模型在小样本场景中的应用，提高预训练模型在小样本场景的泛化性依然存在挑战。为了应对以上问题，PAI 团队推出了 EasyNLP 中文 NLP 算法框架，助力大模型快速且高效的落地。 EasyNLP 背后的技术框架如何设计？未来有哪些规划？今天一起来深入了解。二 EasyNLP简介 EasyNLP 是 PAI 算法团队基于 PyTorch 开发的易用且丰富的中文NLP算法框架，支持常用的中文预训练模型和大模型落地技术，并且提供了从训练到部署的一站式 NLP 开发体验。EasyNLP 提供了简洁的接口供用户开发 NLP 模型，包括NLP应用 AppZoo 和预训练 ModelZoo，同时提供技术帮助用户高效的落地超大预训练...

2022-09-05

520

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。