OSCS开源安全周报第17期：《关键信息基础设施安全保护要求》国标正式发布，对软件供应链安全提出具体要求

OSCS

2022-11-14

导读：OSCS 社区共收录安全漏洞15个，公开漏洞值得关注的是 Sudo 存在内存越界读取漏洞（CVE-2022-43995），Python 本地权限提升漏洞（CVE-2022-42919），Electro

本周安全态势综述

OSCS 社区共收录安全漏洞15个，公开漏洞值得关注的是 Sudo 存在内存越界读取漏洞（CVE-2022-43995），Python 本地权限提升漏洞（CVE-2022-42919），Electron 敏感信息泄露漏洞（CVE-2022-36077），Grafana 存在允许特权升级的竞争条件漏洞（CVE-2022-39328），GitLab 敏感信息泄露漏洞（CVE-2022-2761）。

针对 NPM 、PyPI仓库，共监测到 30 个不同版本的 NPM 、PyPI组件，投毒组件都在尝试获取主机敏感信息。

重要安全漏洞列表

1、Sudo 存在内存越界读取漏洞（CVE-2022-43995）

Sudo 是一个允许系统管理员向用户授予有限 root 权限的程序。Sudo 在1.8.0 到 1.9.12版本中由于 plugins/sudoers/auth/passwd.c 中存在数组越界错误，当启用 passwd 身份验证时，具有执行 Sudo 命令权限的本地用户可通过输入七个或更少字符的密码造成内存越界读取，从而造成拒绝服务或恶意代码执行。

参考链接：https://www.oscs1024.com/hd/MPS-2022-61339

2、Python 本地权限提升漏洞（CVE-2022-42919）

Python 是一种解释型、高级和通用的编程语言。Python 的受影响版本在Linux系统中存在本地权限提升漏洞，当代码使用 multiprocessing 模块并且配置multiprocessing 来使用 forkserver 启动方法时，同一计算机本地网络命名空间中的任何用户通过反序列化 pickle 执行任意代码，本地攻击者可利用此漏洞将权限升级到任何 forkserver 进程正在运行的用户。

参考链接：https://www.oscs1024.com/hd/MPS-2022-59796

3、Electron 敏感信息泄露漏洞（CVE-2022-36077）

Electron 是一个可以使用 JavaScript、HTML 和 CSS 编写跨平台桌面应用程序的框架。Electron 的受影响版本中存在敏感信息泄露漏洞，其原因是Electron在重定向之后会延迟检验是否会通过其他方案重定向到file://URL，如果继续重定向到SMB URL，Windows 将连接到该服务器并尝试 NTLM 身份验证，攻击者可利用此漏洞通过file://URL重定向获取 Windows 系统的散列 SMB 凭据。

参考链接：https://www.oscs1024.com/hd/MPS-2022-51591

4、Grafana 存在允许特权升级的竞争条件漏洞（CVE-2022-39328）

Grafana 是一个跨平台、开源的数据可视化网络应用程序平台。Grafana 的受影响版本的身份验证中间件逻辑中具有共享资源并发执行漏洞，“HTTP context creation”中的竞争条件会使 HTTP 请求被分配到另一个正在调用的中间件。在高负载情况下，未经身份验证的攻击者可利用此漏洞查询受保护的任意端点，从而获取系统敏感信息进行权限升级。

参考链接：https://www.oscs1024.com/hd/MPS-2022-63988

5、GitLab 敏感信息泄露漏洞（CVE-2022-2761）

GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。GitLab CE/EE 的受影响版本中的 GitLab Flavored Markdown 功能存在敏感信息泄露漏洞，攻击者可在 Jira issue 中使用 GitLab Flavored Markdown 引用他们无权访问的资源名称，从而获取系统敏感信息。

参考链接：https://www.oscs1024.com/hd/MPS-2022-55278

*查看漏洞详情页，支持免费检测项目中使用了哪些有缺陷的第三方组件