OSCS 社区共收录安全漏洞 12个,公开漏洞值得关注的是 Redpanda 存在凭据泄露漏洞(CVE-2023-24619),Django 存在拒绝服务漏洞(CVE-2023-24580),Apache Sling JCR Base 存在JNDI注入漏洞(CVE-2023-25141),Git apply路径穿越漏洞(CVE-2023-23946),Argo CD 存在权限管理不当漏洞(CVE-2023-23947),node-jose 拒绝服务漏洞(CVE-2023-25653),containerd容器内文件权限机制实现不当(CVE-2023-25173)。
针对 NPM 、PyPI 仓库,共监测到 26 个不同版本的 NPM 、PyPI 投毒组件。
1、Redpanda 存在凭据泄露漏洞(CVE-2023-24619)
Redpanda 是一个面向开发者的流数据平台。
该项目受影响版本存在凭据泄露漏洞,由于该项目的import.go代码在导入rpk文件时会以明文形式将AWS Access Key ID和Secret记录到标准输出中。具有本地用户权限的攻击者可以通过控制台中查看密钥,或通过Kubernetes日志查看(如果Kubernetes日志记录标准输出)。
参考链接:https://www.oscs1024.com/hd/MPS-2023-3112
2、Django 存在拒绝服务漏洞(CVE-2023-24580)
Django是一个开源的Web应用框架,由Python编写。
该项目受影响版本存在拒绝服务漏洞,由于multipartparser.py中的parse函数在处理上传的文件时没有限制文件数量。远程攻击者在上传文件时,可同时上传多个文件致使Django因打开文件过多而内存耗尽,进而造成拒绝服务。
参考链接:https://www.oscs1024.com/hd/MPS-2023-3002
3、Apache Sling JCR Base 存在JNDI注入漏洞(CVE-2023-25141)
Apache Sling JCR Base 提供 JCR 实用程序类和对存储库挂载的支持,是ApacheSling项目的一部分。
在JDK 1.8.191或更低版本中运行Apache Sling JCR Base且项目版本小于3.1.12时可能存在JNDI注入漏洞,由于RepositoryAccessor.java中的getRepository方法和getRepositoryFromURL方法对传入的参数验证不当导致JNDI或RMI注入。远程攻击者可以通过JDNI和RMI连接访问存储在服务器上的任意数据。
参考链接:https://www.oscs1024.com/hd/MPS-2023-3755
4、Git apply路径穿越漏洞(CVE-2023-23946)
Git是一套免费、开源的分布式版本控制系统。
Git受影响版本中存在路径穿越漏洞。由于Git中git apply命令用于将补丁应用到代码仓库中,为了防止恶意补丁在工作空间之外创建文件,git apply会限制通过符号链接绕过的行为。但当恶意补丁先创建符号链接时,即可绕过此机制。
在用户使用git apply命令时,如果应用了攻击者构造的恶意补丁,则可在受害者的文件系统上写入任意文件。
当git被用在服务端中时(如在Gitlab的Gitaly服务中),可能会导致攻击者能在服务端执行任意命令。
参考链接:https://www.oscs1024.com/hd/MPS-2023-2209
5、Argo CD 存在权限管理不当漏洞(CVE-2023-23947)
Argo CD 是一款用于 Kubernetes 的 GitOps 持续交付工具。
该项目的受影响版本存在权限管理不当漏洞,由于cluster.go文件的Update方法对于用户权限限制不严格,如果攻击者能够修改至少一个集群secret,则可以利用该漏洞修改任何集群的secret,进而控制Kubernetes资源,或阻止其与外部集群的连接。
有两种可用的缓解方法:
修改RBAC配置,撤销所有clusters, update权限;
使用estinations和clusterResourceWhitelist字段,实现类似于Namespaces和clusterResources字段的限制
参考链接:https://www.oscs1024.com/hd/MPS-2023-2210
6、node-jose 拒绝服务漏洞(CVE-2023-25653)
node-jose是一款开源的JSON对象签名和加密(JOSE)的JavaScript包。
在使用node-jose 2.2.0版之前的JS环境中,当使用非默认的降级加密算法时(即WebCrypto API和Node crypto模块都不可用时),由于node-jose内部计算中的ECC操作存在无限循环,进而导致拒绝服务(DOS)。该问题已在版本2.2.0中进行了修补。此问题仅存在于降级加密实现中,建议用户在运行node-jose的JS环境中可用WebCrypto API或Node crypto模块来避免。
参考链接:https://www.oscs1024.com/hd/MPS-2023-4412
7、containerd容器内文件权限机制实现不当(CVE-2023-25173)
containerd是主流的容器运行时环境。
在受影响版本中,containerd对系统用户附加组(supplementary group)的实现机制存在缺陷,导致容器内的文件权限在通过组设置拒绝访问权限时(negative group),可以被绕过,容器内的用户能够访问到同一个容器内其不允许访问的文件。
漏洞源于在Linux等系统中会将用户主要组(primary group)权限拷贝到附加组,而OCI中对用户主要组和附加组的实现没有明确规范,导致各个容器运行时实现有差异,出现文件权限控制机制没有被正确实现,攻击者可以通过附加组权限访问限制文件。
参考链接:https://www.oscs1024.com/hd/MPS-2023-3789
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
OSCS 针对 NPM 、PyPI 仓库监测的恶意组件数量如下所示。
本周新发现 26 个不同版本的恶意组件:
31%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)。
69%的投毒组件为:安装 Chrome 扩展窃取私钥。
451 个 PyPI 包通过安装 Chrome 扩展窃取私钥
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=wx
添加 Obal 欧宝加入交流群
