OSCS开源安全周报第8期:时隔百天 Apache Hadoop YARN 远程代码执行漏洞公开

OSCS社区共收录安全漏洞29个,公开漏洞值得关注的是Apache Hadoop YARN 远程代码执行漏洞,Firefox 内存破坏漏洞,Atlassian Bitbucket Server 和 Data Center 命令注入漏洞。

OSCS
OSCS   Follow

# 本周安全态势综述

OSCS社区共收录安全漏洞29个,公开漏洞值得关注的是Apache Hadoop YARN 远程代码执行漏洞(CVE-2021-25642),Firefox 内存破坏漏洞(CVE-2022-38478),Atlassian Bitbucket Server 和 Data Center 命令注入漏洞(CVE-2022-36804)。

针对 NPM、PyPI 仓库,共监测到 5 次投毒事件,涉及 43 个不同版本的 NPM、PyPI 组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。

# 重要安全漏洞列表

  1. Apache Hadoop YARN 远程代码执行漏洞(CVE-2021-25642)

    Apache Hadoop YARN CapacityScheduler 提供了在 Hadoop 的管理资源和调度作业的功能。

    Apache Hadoop YARN CapacityScheduler 中的 ZKConfigurationStore 由于没有验证从 ZooKeeper 获得的数据就进行反序列化处理,使得有权访问 ZooKeeper 的攻击者通过特制数据以 YARN 用户身份运行任意命令。

    参考链接:https://www.oscs1024.com/hd/MPS-2021-20833

  2. Firefox 内存破坏漏洞(CVE-2022-38478)

    Firefox 是一款网络浏览器。

    在Firefox 103、Firefox ESR 102.1 和 Firefox ESR 91.12 中存在内存安全漏洞,其中一些错误回显包含敏感信息,攻击者可利用此漏洞执行任意代码。

    参考链接:https://www.oscs1024.com/hd/MPS-2022-54155

  3. Atlassian Bitbucket Server 和 Data Center 命令注入漏洞(CVE-2022-36804)

    Atlassian Bitbucket Server是澳大利亚Atlassian公司的一款Git代码托管解决方案。

    在Bitbucket Server 和 Data Center 的多个 API 端点处存在命令注入漏洞。有权访问公共 Bitbucket 存储库或对私有存储库具有读取权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。

    参考链接:https://www.oscs1024.com/hd/MPS-2022-52474

# 投毒风险监测

OSCS针对 NPM、PyPI 仓库监测的恶意组件数量如下所示,其中 NPM 仓库仍旧是主要投毒对象。

本周新发现 43 个不同版本的恶意组件,其中

  • 84%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息)

  • 14%的投毒组件为:非预期网络访问(安装过程中自动请求远程服务地址,无实际性危害)

  • 2%的投毒组件为:反弹shell获取远程命令权限(远程执行主机系统命令)

# 其他资讯

微软称伊朗黑客仍在利用 Log4j 漏洞攻击以色列:

https://www.bleepingcomputer.com/news/security/microsoft-iranian-hackers-still-exploiting-log4j-bugs-against-israel/