OSCS 社区共收录安全漏洞 6 个,公开漏洞值得关注的是 Apache Superset 存在 SQL 注入漏洞(CVE-2022-41703),Apache HTTP Server mod_proxy_ajp 模块存在 HTTP 请求走私漏洞(CVE-2022-36760),GitLab CE/EE 存在授权绕过漏洞(CVE-2022-2907),Oracle MySQL <8.0.32 存在拒绝服务漏洞(CVE-2023-21868),Sudo(sudoedit 功能)存在权限管理不当漏洞(CVE-2023-22809)。
针对 NPM 、PyPI 仓库,共监测到 25 个不同版本的 NPM 、PyPI 投毒组件。
1.Apache Superset 存在 SQL 注入漏洞(CVE-2022-41703)
Apache Superset 是一款现代化的开源大数据工具,也是企业级商业智能 Web 应用,用于数据探索分析和数据可视化。
在受影响版本Apache Superset中,即使用户默认已禁用功能标识 ALLOW _ ADHOC _ SUBQUERY,SQL Alchemy仍会允许允许具有数据库读访问权限的用户在WHERE 和 HAVING子查询中添加同一数据库下没有访问权限的数据表。
参考链接:https://www.oscs1024.com/hd/MPS-2022-58287
2.Apache HTTP Server mod_proxy_ajp 模块存在 HTTP 请求走私漏洞(CVE-2022-36760)
Apache HTTP Server 是一个开源的 HTTP 服务器,mod_proxy_ajp 模块是为 Apache JServ Protocol 版本 1.3(简称 AJP13)提供支持的一个模块。
Apache HTTP Server mod_proxy_ajp 模块处理请求出错时未断开与后端服务的连接,可能将请求直接转发到后端处理转发请求的 AJP 服务器上。
参考链接:https://www.oscs1024.com/hd/MPS-2022-52421
3.GitLab CE/EE 存在授权绕过漏洞(CVE-2022-2907)
GitLab 是一款基于 Git 的集成软件开发平台。
GitLab CE/EE 受影响版本在项目成员使用特制链接访问代码仓库时,未授权用户可能会绕过授权读取代码仓库的内容。
参考链接:https://www.oscs1024.com/hd/MPS-2022-54139
4.Oracle MySQL <8.0.32 存在拒绝服务漏洞(CVE-2023-21868)
Oracle MySQL 是一套开源的关系数据库管理系统。
Oracle MySQL 受影响版本在处理用户输入时验证不严格,导致经过身份验证的用户可通过构造网络请求执行拒绝服务 (DoS) 攻击。
参考链接:https://www.oscs1024.com/hd/MPS-2022-70041
5.Sudo(sudoedit 功能)存在权限管理不当漏洞(CVE-2023-22809)
Sudo 是一个用于类 Unix 计算机操作系统的程序,它能够使用户能够以另一个用户(默认是超级用户)的安全权限运行程序。sudoedit 功能用于以另外一个用户身份编辑文件。
Sudo 受影响版本的 sudoedit 功能存在权限管理不当漏洞,漏洞源于 sudo_edit.c@sudo_edit() 方法未对用户通过“--”参数传入的文件名进行过滤,导致具有 sudoedit 权限的恶意用户可编辑系统中的任意文件(如通过“EDITOR='vim -- /etc/passwd' sudoedit /etc/custom/service.conf”命令编辑 “/etc/passwd”文件)。
缓解措施:
1、为防止 sudoedit 使用用户指定的编辑器,可向 sudoers 文件中添加以下内容:Defaults!sudoedit env_delete+="SUDO_EDITOR VISUAL EDITOR"
2、使用“Cmnd_Alias”限制编辑器编辑指定文件时,如:Cmnd_Alias EDIT_MOTD = sudoedit /etc/motd Defaults!EDIT_MOTD env_delete+="SUDO_EDITOR VISUAL EDITOR" user ALL = EDIT_MOTD
参考链接:https://www.oscs1024.com/hd/MPS-2023-0514
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
OSCS 针对 NPM 、PyPI 仓库监测的恶意组件数量如下所示。
本周新发现 25 个不同版本的恶意组件:
100%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)。
Gamaredon 集团使用Telegram对乌克兰发起网络攻击
https://thehackernews.com/2023/01/gamaredon-group-launches-cyberattacks.html
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=wx
添加 Obal 欧宝加入交流群
