OSCS开源安全周报第8期：时隔百天 Apache Hadoop YARN 远程代码执行漏洞公开

本周安全态势综述

OSCS社区共收录安全漏洞29个，公开漏洞值得关注的是Apache Hadoop YARN 远程代码执行漏洞（CVE-2021-25642），Firefox 内存破坏漏洞（CVE-2022-38478）和Atlassian Bitbucket Server 和 Data Center 命令注入漏洞（CVE-2022-36804）。

针对 NPM、PyPI 仓库，共监测到 5 次投毒事件，涉及 43 个不同版本的 NPM、PyPI 组件，投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

1. Apache Hadoop YARN 远程代码执行漏洞（CVE-2021-25642）

Apache Hadoop YARN CapacityScheduler 提供了在 Hadoop 的管理资源和调度作业的功能。

Apache Hadoop YARN CapacityScheduler 中的 ZKConfigurationStore 由于没有验证从 ZooKeeper 获得的数据就进行反序列化处理，使得有权访问 ZooKeeper 的攻击者通过特制数据以 YARN 用户身份运行任意命令。

参考链接：https://www.oscs1024.com/hd/M...

2. Firefox 内存破坏漏洞（CVE-2022-38478）

Firefox 是一款网络浏览器。

在Firefox 103、Firefox ESR 102.1 和 Firefox ESR 91.12 中存在内存安全漏洞，其中一些错误回显包含敏感信息，攻击者可利用此漏洞执行任意代码。

参考链接：https://www.oscs1024.com/hd/M...

3. Atlassian Bitbucket Server 和 Data Center 命令注入漏洞（CVE-2022-36804）

Atlassian Bitbucket Server是澳大利亚Atlassian公司的一款Git代码托管解决方案。

在Bitbucket Server 和 Data Center 的多个 API 端点处存在命令注入漏洞。有权访问公共 Bitbucket 存储库或对私有存储库具有读取权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。

参考链接：https://www.oscs1024.com/hd/M...

投毒风险监测

OSCS针对 NPM、PyPI 仓库监测的恶意组件数量如下所示，其中 NPM 仓库仍旧是主要投毒对象。

本周新发现 43 个不同版本的恶意组件，其中

• 84%的投毒组件为：获取主机敏感信息（获取了主机的用户名、IP 等敏感信息）
• 14%的投毒组件为：非预期网络访问（安装过程中自动请求远程服务地址，无实际性危害）
• 2%的投毒组件为：反弹shell获取远程命令权限（远程执行主机系统命令）

其他资讯

微软称伊朗黑客仍在利用 Log4j 漏洞攻击以色列

https://www.bleepingcomputer....

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

https://www.oscs1024.com/?src=sf

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=sf