当前位置:网站首页>OSCS开源软件安全周报,一分钟了解本周开源软件安全大事
OSCS开源软件安全周报,一分钟了解本周开源软件安全大事
2022-08-09 09:30:00 【开源中国资讯】
本周安全态势综述
OSCS社区共收录安全漏洞41个,值得关注的是Hadoop 存在shell命令注入漏洞(CVE-2022-35918),MinIO 存在路径遍历漏洞(CVE-2022-35919)和 rsync < 3.2.5 存在路径校验不严漏洞(CVE-2022-29154)。
针对NPM、Python仓库,共监测到 5 次投毒事件,涉及 131 个不同版本的NPM、Python组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。
重要安全漏洞列表
- Hadoop 存在shell命令注入漏洞(CVE-2022-35918)
Hadoop 是一款分布式系统基础架构和开发开源软件。
由于 Hadoop 中 org.apache.hadoop.fs.FileUtill 类的 unTar 中针对 tar 文件的处理使用了系统命令去解压,造成了 shell 命令注入的风险。
攻击者可以通过该漏洞实现任意命令执行。
- MinIO 存在路径遍历漏洞(CVE-2022-35919)
MinIO是一个用 Golang 开发的基于 Apache License v2.0 开源协议的对象存储服务。
在受影响的版本中,经admin:ServerUpdate授权的admin用户可能会获取到任意路径的文件内容。
- rsync < 3.2.5 存在路径校验不严漏洞(CVE-2022-29154)
rsync命令 是一个远程数据同步工具,可通过网络快速同步多台主机间的文件。
在受影响版本中,允许远程恶意服务器将客户端请求同步更新的文件/目录发送给客户端,并将恶意的文件/目录覆盖到客户端。
攻击者可利用此缺陷来获取客户端主机权限。
投毒风险监测
OSCS针对 NPM、Python 仓库监测的恶意组件数量如下所示,并且时间主要集中在周一。
OSCS针对 NPM、Python 仓库监测的恶意组件数量如下所示。
本周新发现 131 个不同版本的恶意组件,其中
- 71%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息)
- 25%的投毒组件为:获取 discord 用户敏感信息(窃取 discord 令牌)
- 2%的投毒组件为:非预期网络访问(安装过程中自动请求远程服务地址,无实际性危害)
- 2%的投毒组件为:下载执行木马(获取主机高权限,进行持久化等操作)
- GitHub中超过3.5万开源代码被投毒
8月3日13时名为 StephenLacy 的开发者在 Twitter 中表示其发现 GitHub 中大量仓库被加入了恶意代码,感染文件超过3.5万,涉及 Go 代码、NPM 安装脚本、容器镜像配置等内容。
其他资讯
通过 SSH 蛮力攻击针对 Linux 服务器的新 IoT RapperBot 恶意软件
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
具体订阅方式详见:
边栏推荐
- A Practical Guide to Building OWL Ontologies using Protege4 and CO-ODE Tools - Version 1.3 (7.4 Annotation Properties - Annotation Properties)
- MySQL常用存储引擎,你不可错过的知识点!
- 【分布式事务】
- [Machine Learning] Basics of Data Science - Basic Practice of Machine Learning (2)
- 通过程序发送 Gmail 邮件
- Openwrt配置Aria2(Hg255d)
- 软件测试分析流程及输出项包括哪些内容?
- Do you know the basic process and use case design method of interface testing?
- 图表示学习(Graph Representation Learning)笔记
- Go-goroutine 的那些事
猜你喜欢
随机推荐
[Machine Learning] Basics of Data Science - Basic Practice of Machine Learning (2)
软件测试面试常见问题及答案(发散思维、接口、性能、概念、)
Summary of steps and methods for installing and uninstalling test cases that you must read
What does the test plan include?What is the purpose and meaning?
条件和递归
7.Collections tool class
批量修改Shapefile属性表的一种方法(使用gdal.jar)
自动化测试简历编写应该注意哪方面?有哪些技巧?
功能自动化测试实施的原则以及方法有哪些?
Ontology Development Diary 03 - When debugging is in progress
选择黑盒测试用例设计方法的综合策略方案总结
列表
mysql简单安装
Do you know the basic process and use case design method of interface testing?
2. Thread creation
接口设计
8. Recursively traverse and delete cases
性能测试的基本概念是什么?做好性能测试需要掌握哪些知识?
STM32F103实现IAP在线升级应用程序
Ontology development diary 02 - simple sparql query