OSCS开源安全周报第12期:加密货币交易平台的多个组件被投毒
本周安全态势综述
OSCS 社区共收录安全漏洞40个,公开漏洞值得关注的是 Spring Data REST 敏感信息泄露漏洞(CVE-2022-31679),Apache Kafka 拒绝服务漏洞(CVE-2022-34917),Apache InLong 反序列化漏洞(CVE-2022-40955),Linux kernel 释放后重用漏洞(Dirtycred)(CVE-2022-2588)。
针对 NPM 、PyPI仓库,共监测到 4 次投毒事件,涉及 46 个不同版本的 NPM 、PyPI组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。
重要安全漏洞列表
- Spring Data REST 敏感信息泄露漏洞(CVE-2022-31679)
Spring Data REST是一个用于构建restful服务的 Spring Web 框架。
在 Spring Data REST 中允许通过 HTTP PATCH 方法访问公开的资源的应用程序,但由于对请求的校验不完整,导致可以通过请求底层域模型的结构来获取隐藏的实体属性。
攻击者可利用该漏洞获取敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-2022-12709
- Apache Kafka 拒绝服务漏洞(CVE-2022-34917)
Apache Kafka是一个高度可扩展的分布式消息队列。
在Apache Kafka受影响版本中,允许未经身份验证的恶意客户端在Broker上分配大量内存,这可能导致Broker内存不足进而导致拒绝服务。
攻击场景:
1)没有身份验证的Kafka集群:任何能够与Broker建立网络连接的客户端都可能引发该问题。2)具有SASL身份验证的Kafka集群:任何能够与Broker建立网络连接而无需有效SASL凭据的客户端都可以触发问题。3)具有TLS身份验证的Kafka集群:只有能够通过TLS成功身份验证的客户端才能触发问题。
参考链接:https://www.oscs1024.com/hd/MPS-2022-42906
- Apache InLong 反序列化漏洞(CVE-2022-40955)
Apache InLong 是一款针对海量数据的一站式集成框架。
受影响版本 Apache InLong 中 MySQL 中数据在反序列化时缺少过滤,导致能指定 MySQL JDBC 连接 URL 参数的攻击者可能会在 Apache InLong 服务器上执行远程代码。
攻击者可利用该漏洞进行远程代码执行,甚至接管服务器。
参考链接:https://www.oscs1024.com/hd/MPS-2022-57298
- Linux kernel 释放后重用漏洞(Dirtycred)(CVE-2022-2588)
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。
在Linux 内核的 net/sched/cls_route.c 实现的 route4_change 中发现了一个漏洞,该漏洞源于释放后重用,本地攻击者利用该漏洞会导致系统崩溃,可能会造成本地特权升级问题。需要用户或网卡空间具有 CAP_NET_ADMIN 的特权能力。
参考链接:https://www.oscs1024.com/hd/MPS-2022-52796
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
投毒风险监测
OSCS针对 NPM 、PyPI仓库监测的恶意组件数量如下所示。
本周新发现 46 个不同版本的恶意组件,其中
- 74%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)
- 26%的投毒组件为:非预期网络访问(请求指定指定服务器,无危害)
其他资讯
加密货币交易平台的多个组件被投毒
https://www.bleepingcomputer.com/news/security/npm-packages-used-by-crypto-exchanges-compromised/
被忽视15年的CVE-2007-4559 Python漏洞 导致35万项目陷入代码执行风险
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
从近期欧美法规看软件供应链安全趋势
前言 近期美国和欧盟都发布了新的供应链安全相关要求法案,要求厂商评估供应链数字化产品的安全性,此举旨在保护供应链安全,防止SolarWinds 等安全事件的再次发生。 美国和欧盟在各自的法案都提到了软件安全检测,软件物料清单(SBOM)等内容,这意味着通过强制性的网络安全法规要求,企业必须通过披露SBOM、源代码安全检测等手段提升数字化产品安全性,才能继续正常地销售提供数字化产品。 美国白宫在9月14日发布了题为《通过安全的软件开发实践增强软件供应链的安全性》的备忘录。该备忘录要求供应商产品需提供安全自我证明。自我证明是指开发人员必须提供以证明其符合安全软件开发框架的文档。 欧盟在9月15日发布了题为《网络弹性法案》(Cyber Resilience Act)的草案,旨在为联网设备制定通用网络安全标准。法案要求所有出口欧洲的数字化产品都必须提供安全保障、软件物料清单SBOM、漏洞报告机制,以及提供安全补丁和更新。违反规定的公司将面临最高1500万欧元或全球营收2.5%的罚款。 为什么欧盟和美国要保证供应链安全 由于开源技术应用、国际形势复杂、软件供应链的多样化,供应链各个环节的攻击急剧...
- 下一篇
北京麟卓成立 GraphicSystem SIG,共建 openKylin 社区图形系统创新
2022年9月,经openKylin社区技术委员会审议通过,GraphicSystem图形系统特别兴趣小组—GraphicSystem SIG正式成立。 GraphicSystem SIG由openKylin社区理事单位北京麟卓信息科技有限公司发起成立,负责openKylin社区中GPU驱动的适配与优化、图形软件栈优化、基于GPU的通用计算、图形处理系统综合测试评估等与图形系统相关的信息交流和配套软件开发工作。 01 SIG目标 负责 openKylin GraphicSystem 版本的规划、制作、维护和升级 负责GraphicSystem同x86、ARM间的应用兼容技术探索 02 SIG职责 1.GPU驱动的适配与优化 支撑各类型主流GPU对openKylin的适配工作,进一步拓展openKylin的GPU支持范围,为各类型图形应用提供高性能的基础软件环境。 2.图形软件栈优化 开发和优化openKylin的显示服务器、窗口管理器、显示管理器、二维/三维图形加速系统、图像处理系统等与图形处理相关的各类基础软件,为图形处理应用提供种类丰富、性能优良的配套工具库,增强openKyl...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS关闭SELinux安全模块
- CentOS7设置SWAP分区,小内存服务器的救世主
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- 设置Eclipse缩进为4个空格,增强代码规范
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2全家桶,快速入门学习开发网站教程
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- CentOS8安装Docker,最新的服务器搭配容器使用
微信收款码
支付宝收款码