(0704-0710)本周开源软件安全大事记

本周安全态势综述

OSCS社区共收录安全漏洞15个,值得关注的是Apache Commons Configuration 任意代码执行漏洞(CVE-2022-33980),Django Trunc和Extract方法存在 SQL 注入漏洞(CVE-2022-34265)和OpenSSL RSA 远程代码执行漏洞(CVE-2022-2274)。

针对NPM和PyPI仓库,共监测到18次投毒事件,涉及94个不同版本的NPM组件,1个PyPI组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

Apache Commons Configuration 任意代码执行漏洞(CVE-2022-33980)

Apache Commons Configuration 中形如${prefix :``name}的字符串可以被解析,当 interpolate操作的字符串可控时,用户调用Lookup类时可能导致攻击者执行任意代码或远程连接服务器。

https://www.oscs1024.com/hd/MPS-2022-19214

OpenSSL RSA 远程代码执行漏洞(CVE-2022-2274)

OpenSSL RSA 组件在计算过程中会发生内存泄露,精心构造的 tls 认证请求或其他认证行为有可能利用泄露的内存,造成远程代码执行。

https://www.oscs1024.com/hd/MPS-2022-26380

Django Trunc 和 Extract 方法存在 SQL 注入漏洞(CVE-2022-34265)

在 Django 中如果没有对 kind / lookup_name 值进行安全性校验,则 Trunc() 和 Extract() 数据库函数会受到 SQL 注入的影响。

https://www.oscs1024.com/hd/MPS-2022-19581

投毒风险监测

OSCS 监测的一周投毒组件数量如下所示,可以看出工作日的投毒数量有明显的起伏,周末的投毒数量相比工作日较少

(0704-0710)本周开源软件安全大事记_第1张图片

(0704-0710)本周开源软件安全大事记_第2张图片

投毒行为中 60% 是尝试获取并上报主机敏感信息,进行相关风险的验证,2.1% 存在后门、远控类的行为。

例如开发者 hayahunterr 7月7日在 NPM 仓库中上传了 ably-common、api-key-regex 等与 Ably 公司的开源项目同名恶意组件包。OSCS经过分析推测其抢注包名是期望证明此类风险从而赚取 Ably 公司的漏洞赏金。

https://mp.weixin.qq.com/s/fQux-sYorWyBhMAEL6Pghg

开发者btwiuse7月4日在 NPM 仓库上传携带远程控制程序的恶意组件包,已有服务器被远控。

https://mp.weixin.qq.com/s/4exLDOlayWm_o60zxn1Srw

IconBurst事件:NPM 供应链攻击影响数百个网站和应用程序,部分恶意组件包下载量已破万。

https://mp.weixin.qq.com/s/3S6jFi_IriYoq5EVd9wvMQ

CuteBoi在过去的半年里投放了1200个NPM组件进行挖矿

https://mp.weixin.qq.com/s/kDr-nt_bvlMs-CCdgoDsPw

其他资讯

PyPI 对关键项目强制执行 2FA

https://infotourism.news/pypi-mandates-2fa-for-critical-projects-developer-pushes-back/

黑客从 Mangatoon 的 Elasticsearch 数据库窃取了 2300 万个账户的数据

https://www.bleepingcomputer.com/news/security/mangatoon-data-breach-exposes-data-from-23-million-accounts/

在线编程 IDE 可用于发起远程网络攻击

https://www.trendradars.com/channels/article-375147-online-programming-ides-can-be-used-to-launch-remote-cyberattacks/

你可能感兴趣的:(安全,django,python)