OSCS开源安全周报第8期:时隔百天 Apache Hadoop YARN 远程代码执行漏洞公开

1年前 (2023) 程序员胖胖胖虎阿
142 0 0

本周安全态势综述

OSCS社区共收录安全漏洞29个,公开漏洞值得关注的是Apache Hadoop YARN 远程代码执行漏洞(CVE-2021-25642),Firefox 内存破坏漏洞(CVE-2022-38478)和Atlassian Bitbucket Server 和 Data Center 命令注入漏洞(CVE-2022-36804)。

针对 NPM、PyPI 仓库,共监测到 5 次投毒事件,涉及 43 个不同版本的 NPM、PyPI 组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

  1. Apache Hadoop YARN 远程代码执行漏洞(CVE-2021-25642)

Apache Hadoop YARN CapacityScheduler 提供了在 Hadoop 的管理资源和调度作业的功能。

Apache Hadoop YARN CapacityScheduler 中的 ZKConfigurationStore 由于没有验证从 ZooKeeper 获得的数据就进行反序列化处理,使得有权访问 ZooKeeper 的攻击者通过特制数据以 YARN 用户身份运行任意命令。

参考链接:https://www.oscs1024.com/hd/M...

  1. Firefox 内存破坏漏洞(CVE-2022-38478)

Firefox 是一款网络浏览器。

在Firefox 103、Firefox ESR 102.1 和 Firefox ESR 91.12 中存在内存安全漏洞,其中一些错误回显包含敏感信息,攻击者可利用此漏洞执行任意代码。

参考链接:https://www.oscs1024.com/hd/M...

  1. Atlassian Bitbucket Server 和 Data Center 命令注入漏洞(CVE-2022-36804)

Atlassian Bitbucket Server是澳大利亚Atlassian公司的一款Git代码托管解决方案。

在Bitbucket Server 和 Data Center 的多个 API 端点处存在命令注入漏洞。有权访问公共 Bitbucket 存储库或对私有存储库具有读取权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。

参考链接:https://www.oscs1024.com/hd/M...

投毒风险监测

OSCS针对 NPM、PyPI 仓库监测的恶意组件数量如下所示,其中 NPM 仓库仍旧是主要投毒对象。

OSCS开源安全周报第8期:时隔百天 Apache Hadoop YARN 远程代码执行漏洞公开

OSCS开源安全周报第8期:时隔百天 Apache Hadoop YARN 远程代码执行漏洞公开

本周新发现 43 个不同版本的恶意组件,其中

  • 84%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息)
  • 14%的投毒组件为:非预期网络访问(安装过程中自动请求远程服务地址,无实际性危害)
  • 2%的投毒组件为:反弹shell获取远程命令权限(远程执行主机系统命令)

其他资讯

微软称伊朗黑客仍在利用 Log4j 漏洞攻击以色列

https://www.bleepingcomputer....

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/?src=sf

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=sf

OSCS开源安全周报第8期:时隔百天 Apache Hadoop YARN 远程代码执行漏洞公开

相关文章

暂无评论

暂无评论...