OSCS开源安全周报第10期:Linux openvswitch 内核模块提权漏洞 poc 公开
本周安全态势综述
OSCS 社区共收录安全漏洞37个,公开漏洞值得关注的是 Linux Kernel openvswitch 模块权限提升漏洞(CVE-2022-2639),Apache IoTDB grafana-connector 模块存在未授权漏洞(CVE-2022-38370),Indy-Node 远程代码执行漏洞(CVE-2022-31020),Rancher 存在授权不当漏洞(CVE-2022-31247)和 Apache James 存在 IMAP 指令注入漏洞(CVE-2022-28220)。
针对 NPM 仓库,共监测到 4 次投毒事件,涉及 57 个不同版本的 NPM 组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。
重要安全漏洞列表
- Linux Kernel openvswitch 模块权限提升漏洞(CVE-2022-2639)
在 Linux Kernel openvswitch 模块中的 reserve_sfa_size 方法存在整数溢出错误,在给定足够多的 actions 时,可能会导致越界写入访问。攻击者可利用此漏洞获取系统 root 权限。
注意:该漏洞 POC、EXP 均已公开,影响从3.13至5.18以前的linux 内核。
参考链接:https://www.oscs1024.com/hd/MPS-2022-53208
- Apache IoTDB grafana-connector 模块存在未授权漏洞(CVE-2022-38370)
Apache IoTDB是针对时间序列数据收集、存储与分析一体化的数据管理引擎。
在Apache IoTDB grafana-connector 0.13.0 版本中DatabaseConnectController存在未授权漏洞,攻击者可以未授权访问/query、/search接口,进而通过web服务可能会获取数据库的内部结构。
参考链接:https://www.oscs1024.com/hd/MPS-2022-55568
- Indy-Node 远程代码执行漏洞(CVE-2022-31020)
Indy-Node 是分布式账本的服务端。
受影响版本 Indy-Node 中的 pool-upgrade 请求处理程序允许未经正确身份验证的攻击者在网络内的节点上远程执行代码。攻击者可利用该漏洞进行远程代码执行。
参考链接:https://www.oscs1024.com/hd/MPS-2022-11050
- Rancher 存在授权不当漏洞(CVE-2022-31247)
Rancher 是一个 Kubernetes 管理平台。
Rancher 的受影响版本中存在授权不当漏洞,任何有权创建/编辑集群角色模板绑定或项目角色模板绑定的用户都可以利用这个漏洞,在同一集群中的另一个项目中或在不同下游集群中的另一个项目中获得所有者权限。
参考链接:https://www.oscs1024.com/hd/MPS-2022-11287
- Apache James 存在 IMAP 指令注入漏洞(CVE-2022-28220)
Apache James 是用Java编写的开源SMTP和POP3邮件传输代理和NNTP新闻服务器。
Apache James 的受影响版本容易在中间人攻击的情况下受到 IMAP 指令注入的攻击,中间人攻击者在服务端收到客户端的激活 STARTTLS 和 开启 SSL 之间通过条件竞争进行 IMAP 指令注入,导致泄露邮件内容中的敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-2022-7272
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
投毒风险监测
OSCS针对 NPM 仓库监测的恶意组件数量如下所示。 
本周新发现 57 个不同版本的恶意组件,其中
- 100%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)
其他资讯
微软和云提供商开始禁止基本身份验证
https://www.darkreading.com/cloud/microsoft-cloud-providers-ban-basic-authentication
EvilProxy 将反向代理策略用于网络钓鱼,绕过 2FA
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
开源项目丨 ChengYing 1.1 版本重磅发布:新增超多功能,全新优化体验!
ChengYing 是一站式全自动化全生命周期大数据平台运维管家,提供大数据产品的一站式部署、运维、监控服务,其可实现产品部署、产品升级、版本回滚、扩缩节点、日志诊断、集群监控、实时告警等功能,致力于最大化节省运维成本,降低线上故障率与运维难度,为客户提供安全稳定的产品部署与监控。 ChengYing 脱胎于袋鼠云数栈自主研发的一站式运维管家 EasyManager,承袭袋鼠云开源项目名剑家族的概念,取自十大名剑之承影剑,1.0 版本于 2022 年 5 月 30 日在 github 上线。 2022 年 9 月 13 日,ChengYing1.1 版本正式发布! ChengYing1.1 版本在 1.0 的版本上,对之前的 UI 做了全面升级,并新增平台管理中心,包含:备份配置、安装目录、脚本管理、集群巡检等功能;在运维中心及部署中心原有的基础上做了全面升级优化,新增超多功能,进一步提高了运维及部署能力。 本次发布的 1.1 版本带来如下新亮点: ● 普通升级 用户在升级组件包时自动备份数据库,回滚时能自动还原数据库,方便用户进行数据备份及运维升级回滚。 ● 平滑升级 实现组件包的滚...
- 下一篇
我酸了!Alluxio 入选英特尔 AI 百佳创新激励计划
近日,英特尔公布AI 百佳创新激励计划第七期创新团队名单,Alluxio凭借在AI模型训练优化方面高效的数据平台架构,成为17家AI智慧创新型入选企业之一。此次入选企业所涉领域涵盖大数据、智能制造、智慧零售、智慧城市、智慧金融、音视频、虚拟现实等多个领域。随着第七期团队名单公布,AI百佳所加速的团队正式突破100家,具有里程碑式的意义。 英特尔AI 百佳创新激励计划自 2018 年成立以来,以组建AI生态为核心,将AI技术赋能各行各业。英特尔一直秉承“科技至善”的发展理念,并结合各个创新团队的特点,提供多样化的软硬件产品组合与计算集成平台,如酷睿处理器、至强可扩展处理器、FPGA、OpenVINO工具套件、oneAPI工具套件等,帮助创新团队应对智能时代新的工作负载要求,助力创新团队实现多模态、多技术的融合,大幅度提高深度学习应用精度,将智能应用真正落地。前六期中,AI百佳创新企业在英特尔技术和资源的加持下,其产品推理性能平均提升超过5倍,运算效率最高提升40倍,100 多个 AI 项目得到了实际落地和应用推广,伙伴总估值超过1500亿人民币。 英特尔AI 百佳第七期伙伴招募计划经过一...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8安装Docker,最新的服务器搭配容器使用
- Hadoop3单机部署,实现最简伪集群
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS关闭SELinux安全模块
- CentOS8编译安装MySQL8.0.19
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Docker快速安装Oracle11G,搭建oracle11g学习环境
微信收款码
支付宝收款码