OSCS开源安全周报第8期:时隔百天 Apache Hadoop YARN 远程代码执行漏洞公开

OSCS开源供应链安全
 OSCS开源供应链安全
发布于 2022年08月29日
收藏 1

本周安全态势综述

OSCS社区共收录安全漏洞29个,公开漏洞值得关注的是Apache Hadoop YARN 远程代码执行漏洞(CVE-2021-25642),Firefox 内存破坏漏洞(CVE-2022-38478)和Atlassian Bitbucket Server 和 Data Center 命令注入漏洞(CVE-2022-36804)。

针对 NPM、PyPI 仓库,共监测到 5 次投毒事件,涉及 43 个不同版本的 NPM、PyPI 组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

  1. Apache Hadoop YARN 远程代码执行漏洞(CVE-2021-25642)

Apache Hadoop YARN CapacityScheduler 提供了在 Hadoop 的管理资源和调度作业的功能。

Apache Hadoop YARN CapacityScheduler 中的 ZKConfigurationStore 由于没有验证从 ZooKeeper 获得的数据就进行反序列化处理,使得有权访问 ZooKeeper 的攻击者通过特制数据以 YARN 用户身份运行任意命令。

参考链接:https://www.oscs1024.com/hd/MPS-2021-20833

  1. Firefox 内存破坏漏洞(CVE-2022-38478)

Firefox 是一款网络浏览器。

在Firefox 103、Firefox ESR 102.1 和 Firefox ESR 91.12 中存在内存安全漏洞,其中一些错误回显包含敏感信息,攻击者可利用此漏洞执行任意代码。

参考链接:https://www.oscs1024.com/hd/MPS-2022-54155

  1. Atlassian Bitbucket Server 和 Data Center 命令注入漏洞(CVE-2022-36804)

Atlassian Bitbucket Server是澳大利亚Atlassian公司的一款Git代码托管解决方案。

在Bitbucket Server 和 Data Center 的多个 API 端点处存在命令注入漏洞。有权访问公共 Bitbucket 存储库或对私有存储库具有读取权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。

参考链接:https://www.oscs1024.com/hd/MPS-2022-52474

投毒风险监测

OSCS针对 NPM、PyPI 仓库监测的恶意组件数量如下所示,其中 NPM 仓库仍旧是主要投毒对象。

 

本周新发现 43 个不同版本的恶意组件,其中

  • 84%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息)
  • 14%的投毒组件为:非预期网络访问(安装过程中自动请求远程服务地址,无实际性危害)
  • 2%的投毒组件为:反弹shell获取远程命令权限(远程执行主机系统命令)

其他资讯

微软称伊朗黑客仍在利用 Log4j 漏洞攻击以色列

https://www.bleepingcomputer.com/news/security/microsoft-iranian-hackers-still-exploiting-log4j-bugs-against-israel/

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/?src=osc

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:OSCS开源安全周报第8期:时隔百天 Apache Hadoop YARN 远程代码执行漏洞公开
加载中
返回顶部
顶部