OSCS开源安全周报第22期:NuGet 仓库中被发现 13.5 万个包含钓鱼地址的组件包

本周安全态势综述

OSCS 社区共收录安全漏洞15个,公开漏洞值得关注的是 Jenkins Google Login Plugin 存在开放重定向漏洞(CVE-2022-46683),Netty <4.1.86.Final 存在拒绝服务漏洞(CVE-2022-41881),Apache Atlas import 功能存在路径遍历漏洞(CVE-2022-34271),Apache Zeppelin 任意文件删除漏洞(CVE-2021-28655)。

针对 NPM 、PyPI 仓库,共监测到 25 个不同版本的 NPM 、PyPI 投毒组件,投毒组件都在尝试获取主机敏感信息;Checkmarx 和 Illustria 的研究人员发现超过 14.4 万个包含钓鱼地址的软件包,其中 13.5 万个位于 NuGet 仓库。

重要安全漏洞列表

1、Jenkins Google Login Plugin 存在开放重定向漏洞(CVE-2022-46683

Jenkins 是一个用 Java 开发的开源自动化服务器,Google Login 是一款支持用户使用 Google 帐户登录 Jenkins 的插件。

Google Login Plugin 的受影响版本中由于成功登录后的重定向 URL 没有正确指向 Jenkins,攻击者可利用此漏洞将经过登录验证的用户的 url 重定向到恶意站点进行网络钓鱼攻击,从而获取用户 token 等敏感信息,使用用户身份执行恶意操作等。

参考链接:https://www.oscs1024.com/hd/M...

2、Netty <4.1.86.Final 存在拒绝服务漏洞(CVE-2022-41881

Netty 是一个异步事件驱动的网络应用程序框架,用于快速开发可维护的高性能协议服务器和客户端。

Netty 4.1.86.Final 之前版本中的 HaProxyMessageDecoder 模块由于未对用户传入的附加数据(TLV)的递归长度进行有效限制,当解析循环嵌套的 PP2_TYPE_SSL 类型的 TLV 数据时会由于栈的缓冲区溢出造成拒绝服务。如果 HAProxyMessageDecoder 用作 Netty ChannelPipeline 的一部分解析恶意数据会捕获 StackOverflowError 异常,如果直接解析恶意数据则会抛出 Exception 异常或服务崩溃。攻击者可通过向 netty 发送恶意 TLV 数据造成拒绝服务,用户可通过使用自定义的 HaProxyMessageDecoder 缓解此漏洞。

参考链接:https://www.oscs1024.com/hd/M...

3、Apache Atlas import 功能存在路径遍历漏洞(CVE-2022-34271

Apache Atlas是一款元数据管理和数据治理平台。

Atlas import API支持将zip文件解压缩到服务器目录的部署选项。经过Apache Atlas身份验证的攻击者可以利用 import 功能中的路径遍历漏洞对 Web 服务器文件系统进行写入操作。

参考链接:https://www.oscs1024.com/hd/M...

4、Apache Zeppelin 任意文件删除漏洞(CVE-2021-28655

Apache Zeppelin是一款基于 Web 可实现交互式数据分析的notebook产品。

在Apache Zeppelin 0.10.1及以前的版本中“Move folder to Trash”功能存在路径遍历漏洞,由于未对InterpreterSettingManager类remove方法中id参数进行正确校验,攻击者可通过构造包含../的参数实现路径穿越,利用漏洞删除zeppelin相关或其他任意文件。

参考链接:https://www.oscs1024.com/hd/M...

*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件

投毒风险监测

OSCS针对 NPM 、PyPI仓库监测的恶意组件数量如下所示。

本周新发现 25个不同版本的恶意组件:

  • 100%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)。

其他资讯

Checkmarx 和 Illustria的研究人员发现超过14.4万个包含钓鱼地址的恶意软件包,其中13.5万个位于NuGet仓库

https://checkmarx.com/blog/ho...

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/cm

具体订阅方式详见:

https://www.oscs1024.com/docs...

你可能感兴趣的:(安全漏洞)