OSCS开源软件安全周报,一分钟了解本周开源软件安全大事


 

本周安全态势综述

OSCS社区共收录安全漏洞41个,值得关注的是Hadoop 存在shell命令注入漏洞(CVE-2022-35918),MinIO 存在路径遍历漏洞(CVE-2022-35919)和 rsync < 3.2.5 存在路径校验不严漏洞(CVE-2022-29154)。 针对NPM、Python仓库,共监测到 5 次投毒事件,涉及 131 个不同版本的NPM、Python组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

 
  1. Hadoop 存在shell命令注入漏洞(CVE-2022-35918)
Hadoop 是一款分布式系统基础架构和开发开源软件。 由于 Hadoop 中 org.apache.hadoop.fs.FileUtill 类的 unTar 中针对 tar 文件的处理使用了系统命令去解压,造成了 shell 命令注入的风险。 攻击者可以通过该漏洞实现任意命令执行。   参考链接: https://www.oscs1024.com/hd/MPS-2022-6800  
  1. MinIO 存在路径遍历漏洞(CVE-2022-35919)
MinIO是一个用 Golang 开发的基于 Apache License v2.0 开源协议的对象存储服务。 在受影响的版本中,经admin:ServerUpdate授权的admin用户可能会获取到任意路径的文件内容。   参考链接: https://www.oscs1024.com/hd/MPS-2022-51433  
  1. rsync < 3.2.5 存在路径校验不严漏洞(CVE-2022-29154)
rsync命令 是一个远程数据同步工具,可通过网络快速同步多台主机间的文件。 在受影响版本中,允许远程恶意服务器将客户端请求同步更新的文件/目录发送给客户端,并将恶意的文件/目录覆盖到客户端。 攻击者可利用此缺陷来获取客户端主机权限。   参考链接: https://www.oscs1024.com/hd/MPS-2022-8530

投毒风险监测

OSCS针对 NPM、Python 仓库监测的恶意组件数量如下所示,并且时间主要集中在周一。  

 

  OSCS针对 NPM、Python 仓库监测的恶意组件数量如下所示。 本周新发现 131 个不同版本的恶意组件,其中
  • 71%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息)
  • 25%的投毒组件为:获取 discord 用户敏感信息(窃取 discord 令牌)
  • 2%的投毒组件为:非预期网络访问(安装过程中自动请求远程服务地址,无实际性危害)
  • 2%的投毒组件为:下载执行木马(获取主机高权限,进行持久化等操作)
 
  • GitHub中超过3.5万开源代码被投毒
8月3日13时名为 StephenLacy 的开发者在 Twitter 中表示其发现 GitHub 中大量仓库被加入了恶意代码,感染文件超过3.5万,涉及 Go 代码、NPM 安装脚本、容器镜像配置等内容。 https://mp.weixin.qq.com/s/4exLDOlayWm_o60zxn1Srw

其他资讯

通过 SSH 蛮力攻击针对 Linux 服务器的新 IoT RapperBot 恶意软件 https://thehackernews.com/2022/08/new-iot-rapperbot-malware-targeting.html  

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送: https://www.oscs1024.com/?src=osc   具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc  

 

 


相關推薦

2022-07-09

恶意包存放地址: https://cuteboi.info/ 了解更多 OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源包安全漏洞、投毒情报等信息,社区用户可通过企微、钉钉、飞书等方式进行订阅。 具

2022-09-22

一段时间。主要原因是精力不够,时间都花在了另外一个开源项目上。况且TLog的核心功能相对来说比较稳定,更多的issue是关于其他框架的支持,在整个微服务生态圈里,TLog后续做的一些事情就是在不停的增加对其他框架的支

2023-05-11

GOTC “开源创投论坛”招募正式开启。5 月 28 日,上午 9:00-12:00,上海张江科学会堂,欢迎你的到来。 此论坛旨在汇集全球的投资者、企业家、开发者和开源社区领袖,共同探讨开源软件产业的发展趋势、商业模式和投资机会

2023-01-20

解决方案可以带来更好的用户体验和更强的安全性。 开源的密码管理器 Bitwarden 近日宣布,他们已经收购了 Passwordless.dev,而后者就是一家帮助企业在其应用程序中增加无密码登录功能的创业公司。Passwordless.dev 提供了一个同

2024-09-26

项整改与 DDE Shell 相关的迁移。 系统研发 进展: 软件包更新约190+ ,解决部分软件包编译失败问题以及依赖问题,详情可查看 https://github.com/orgs/linuxdeepin/projects/21/views/4; 安全漏洞更新列表如下: [su_table] cur

2022-08-20

JavaScript 代码,安全研究员 Felix Krause 推出了一个全新的开源工具 —— InAppBrowser,这个工具使用起来毫无门槛(稍后会介绍),用户可以使用它来检查嵌入在应用程序中的网络浏览器如何注入 JavaScript 代码来跟踪用户。 对于那

2022-10-10

组织。 为了分析安全与 DevOps 之间的关系,报告探讨了软件供应链安全这一主题。研究人员称,在没有 CI/CD 的情况下,采用 SLSA(软件工件供应链)框架和SSDF(安全软件开发框架)等最佳实践是具有挑战性的。“如果没有

2024-10-19

准化协会主办,中国信息通信研究院承办的的“2024 OSCAR开源产业大会”在北京隆重开幕。本次大会旨在搭建专业平台,广纳产研智慧,扎实开源体系构建,繁荣开源生态建设,推动开源产业发展。deepin(深度)社区作为开源领

2022-11-30

重点。数据表明,2022 年上半年,全球共发生 28 亿次恶意软件攻击和 2.361 亿次勒索软件攻击。截至 2022 年底,预计将发起 60 亿次网络钓鱼攻击。技术领导者们对网络安全的关注更甚于往年,51% 的受访者将云漏洞列为头等大事 (

2022-12-23

性和规模是有代价的,这与 Rust 让人们编写可靠和高性能软件的使命不一致(他认为需要让编程语言更简单、更小、更易于使用)。仅仅保持向后兼容性并不意味着实现了稳定性。 Nick 表示自己有点担心 Rust 正在讨论或设计的

2024-07-25

一:简介      Codes 重新定义 SaaS 模式 = 云端认证 + 程序及数据本地安装 + 不限功能 + 30 人免费       Codes  是一个 高效、简洁、轻量的一站式研发项目管理平台。包含需求管理,任务管理,

2021-11-11

直接下载和安装 App 到手机中。本周早些时候,苹果公司软件工程高级副总裁 Craig Federighi 称,侧载是“网络犯罪分子最好的朋友”,强调了如果提供从网络上随意安装 App 的自由,可能会给用户带来的危险。 在 10 月份发表的

2024-07-13

apfree-wifidog 7.07.2018 发布说明 apfree-wifidog宣布7.07.2018版本的正式发布。本次更新包含了多项优化和重要的修复,进一步提升了软件的稳定性和性能。 优化锁的处理:改进了锁机制的效率和可靠性。 本地DNS服务器:将域名解

2023-02-10

品”。但该法案随即引起了公众的批评,因为它可能会对开源生态产生严重的影响。 这个法案可以理解为软件产品的 CE (欧盟认证)标准,有四个具体目标: 要求软件制造商提高“全生命周期”数字元素产品的安全性