大数跨境
首页
>
OSCS 开源安全周报第20期:Apache Fineract <1.8.1 存在远程代码执行漏洞
>

OSCS 开源安全周报第20期:Apache Fineract <1.8.1 存在远程代码执行漏洞

OSCS 开源安全周报第20期:Apache Fineract <1.8.1 存在远程代码执行漏洞 OSCS
2022-12-05
2
导读:OSCS 社区共收录安全漏16个,针对 NPM 、PyPI仓库,共监测到 35个不同版本的投毒组件……



本周安全态势综述


OSCS 社区共收录安全漏16个,公开漏洞值得关注的是 Apache Fineract <1.8.1 存在远程代码执行漏洞(CVE-2022-44635),SnakeYAML <=1.33 存在反序列化漏洞(CVE-2022-1471),Apache Tapestry 3.x 存在反序列化漏洞(CVE-2022-46366),Apache Commons Net <3.9.0 存在输入验证不当漏洞(CVE-2021-37533),Capsule <0.1.3 存在授权不当漏洞(CVE-2022-46167)。

针对 NPM 、PyPI仓库,共监测到 35个不同版本的 NPM 、PyPI投毒组件,投毒组件都在尝试获取主机敏感信息。




重要安全漏洞列表


1、Apache Fineract <1.8.1 存在远程代码执行漏洞(CVE-2022-44635)

Apache Fineract 是一个用于金融服务的开源软件。Apache Fineract 在 1.8.1 之前的版本中由于 FileSystemContentRepository.java 类对用户传入的文件路径名限制不当从而存在路径遍历漏洞,经过身份验证的攻击者可利用此漏洞删除或覆盖系统文件,Fineract 加载攻击者上传的恶意文件时将远程执行恶意代码。 

参考链接:https://www.oscs1024.com/hd/MPS-2022-62935


2、SnakeYAML <=1.33 存在反序列化漏洞(CVE-2022-1471) 

SnakeYAML 是一个将 YAML 文件与 Java 对象相互转换的开源代码库。snakeYAML 受影响版本中的 Constructor 类由于没有对反序列化的类型进行限制,导致在处理恶意 yaml 内容时容易受到反序列化漏洞的影响。

缓解措施:使用 SnakeYaml 的 SafeConsturctor 类解析不受信任的内容。

 参考链接:https://www.oscs1024.com/hd/MPS-2022-9425


3、Apache Tapestry 3.x 存在反序列化漏洞(CVE-2022-46366) 

Apache Tapestry 是一个基于 Java 的 Web 应用程序框架。Apache Tapestry 3.x 版本(现已停止维护)存在 Java 反序列化漏洞,该漏洞与 CVE-2020-17531 漏洞相似,攻击者可通过传入包含恶意负载的 service parameter (sp)参数远程执行恶意代码,建议用户升级至 Apache Tapestry 5.x 版本。 

参考链接:https://www.oscs1024.com/hd/MPS-2022-66596


4、Apache Commons Net <3.9.0 存在输入验证不当漏洞(CVE-2021-37533) 

Apache Commons Net 是一个提供基本的互联网访问协议的客户端,支持的协议包括:Echo、Finger、FTP、NNTP、NTP、POP3(S)、SMTP(S)、Telnet、Whois 等。Apache Commons Net 3.9.0之前版本中的 FTP 客户端默认信任来自 PASV (被动 FTP)响应的主机,当 Commons Net 的 FTP 客户端连接到攻击者可控的恶意主机时,攻击者可将 Commons Net 的 FTP 连接重定向到其它主机,进而获取 Commons Net FTP 客户端运行服务的敏感信息,补丁版本通过默认禁止来自 PASV 响应的主机(org.apache.commons.net.ftp.ipAddressFromPasvResponse = false)修复此漏洞。

参考链接:https://www.oscs1024.com/hd/MPS-2021-28440

5、Capsule <0.1.3 存在授权不当漏洞(CVE-2022-46167)

Capsule 用于 Kubernetes 集群中实现 multi-tenant 和 policy-based 的微服务系统。Capsule 0.1.3之前的版本中存在授权不当漏洞,当部署在 Tenant 命名空间中的 ServiceAccount 被授予自己的命名空间的 PATCH 功能时,该用户能够删除所有 OwnerReference,破坏 Capsule Operator 的协调并删除所有强制执行功能如 Pod 安全注释、网络策略、限制范围和资源配额项目。攻击者可以利用此漏洞启动特权 Kubernetes 容器并进行权限升级。 

参考链接:https://www.oscs1024.com/hd/MPS-2022-65560


*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件





投毒风险监测


OSCS 针对 NPM 、PyPI 仓库监测的恶意组件数量如下所示。


本周新发现 35 个不同版本的恶意组件:


  • 100%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)




其他资讯


Log4Shell 一年后,大多数公司仍面临攻击



https://www.darkreading.com/application-security/one-year-later-log4shell-exposed-attack


GitHub Actions 中的工件中毒通过软件管道导入恶意软件

https://www.darkreading.com/application-security/artifact-poisoning-github-actions-malware-software-pipelines




情报订阅


OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送

https://www.oscs1024.com/cm



具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=wx









添加 Obal 欧宝加入交流群


点击原文 订阅 OSCS 安全情报

【声明】内容源于网络
0
0
OSCS
携手全球开发者,共建开源生态安全
内容 101
粉丝 0
OSCS 携手全球开发者,共建开源生态安全
总阅读27
粉丝0
内容101