(0718-0724)本周开源软件安全大事记
本周安全态势综述
OSCS社区共收录安全漏洞26个,值得关注的是Apache Spark UI shell 命令注入漏洞(CVE-2022-33891),Apache Xalan 存在整数截断漏洞(CVE-2022-34169和Redis XAUTOCLAIM 命令存在堆溢出漏洞(CVE-2022-31144)。
针对NPM仓库,共监测到6次投毒事件,涉及119个不同版本的NPM组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。
重要安全漏洞列表
Apache Spark UI shell 命令注入漏洞(CVE-2022-33891)
Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。
如果Apache Spark UI启用了 ACL,则 HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行。恶意用户能够访问权限检查功能,根据他们的输入构建一个 Unix shell 命令并执行。攻击者可利用此漏洞任意执行shell 命令。
参考链接:https://www.oscs1024.com/hd/MPS-2022-19085
Apache Xalan 存在整数截断漏洞,组件已不再维护(CVE-2022-34169)
Xalan是Apache的开源软件库,Xalan的主要功能是将 XSLT 标准样式表转换 XML 文档。
Xalan的组件XSLT库在处理恶意 XSLT 时会产生整数截断的问题,这可能会破坏由内部 XSLTC 编译器生成的 Java 类文件,最终导致产生执行任意 Java 字节码的危害。
Apache Xalan Java 项目处于休眠状态并处于退役过程中,预计未来 Apache 将不会发布 Apache Xalan Java 新版本。
(OpenJDK等其他java运行时会包含重新打包的 Xalan 版本,目前 OpenJDK 已经修复了此问题。)
参考链接:https://www.oscs1024.com/hd/MPS-2022-19461
Redis 7.0.0-7.0.3 XAUTOCLAIM 命令存在堆溢出漏洞(CVE-2022-31144)
Redis是一个使用 ANSI C编写的开源、支持网络、基于内存、分布式、可选持久性的键值对存储数据库。
在特定状态下对键名执行特殊的' XAUTOCLAIM '命令可能导致堆溢出,因此可能导致远程代码执行。
此问题会影响 7.0.4 之前的 7.x 分支上的版本。
参考链接:https://www.oscs1024.com/hd/MPS-2022-11174
投毒风险监测
OSCS针对NPM仓库监测的恶意组件数量如下所示,并且时间主要集中在周一、周三。
本周新发现119起投毒事件,其中
-
88%的投毒事件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息)
-
12%的投毒事件为:非预期网络访问(安装过程中自动请求远程服务地址,无实际性危害)
shaikhyaser在NPM 仓库中投放67个恶意包
7 月 16 日 ,OSCS 安全社区监测到shaikhyaser一天内在NPM仓库中不间断投放了十多个组件包,这些组件包都包含恶意行为。截止到上周周末,该用户已向 NPM 仓库投放了 67个不同版本的恶意组件包,这些包也在代码中注明了该用户的邮箱,推测该用户是hackerone中的用户。
https://mp.weixin.qq.com/s/D6ynEuC174Sl3aeAK9KkLQ
其他资讯
QBot 网络钓鱼使用 Windows Calculator 侧载来感染设备
https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/
黑客利用GoMet后门攻击乌克兰软件公司
Hackers Target Ukrainian Software Company Using GoMet Backdoor
【关于oscs】
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过飞书、钉钉、企业微信配置消息推送机器人,及时获得一手情报信息:
https://www.oscs1024.com/?src=csdn
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=csdn