OSCS开源安全周报第27期:Apache Superset 存在 SQL 注入漏洞

本周OSCS 社区共收录安全漏洞 6 个,针对 NPM 、PyPI仓库,共监测到 25 个不同版本的 投毒组件。……

OSCS
OSCS   Follow

# 本周安全态势综述

OSCS 社区共收录安全漏洞 6 个,公开漏洞值得关注的是 Apache Superset 存在 SQL 注入漏洞(

CVE-2022-41703),Apache HTTP Server mod_proxy_ajp 模块存在 HTTP 请求走私漏洞,GitLab CE/EE 存在授权绕过漏洞,Oracle MySQL <8.0.32 存在拒绝服务漏洞,Sudo(sudoedit 功能)存在权限管理不当漏洞。

针对 NPM 、PyPI 仓库,共监测到 25 个不同版本的 NPM 、PyPI 投毒组件。

# 重要安全漏洞列表

  1. Apache Superset 存在 SQL 注入漏洞(CVE-2022-41703)

    Apache Superset 是一款现代化的开源大数据工具,也是企业级商业智能 Web 应用,用于数据探索分析和数据可视化。

    在受影响版本Apache Superset中,即使用户默认已禁用功能标识 ALLOW _ ADHOC _ SUBQUERY,SQL Alchemy仍会允许允许具有数据库读访问权限的用户在WHERE 和 HAVING子查询中添加同一数据库下没有访问权限的数据表。

    参考链接:https://www.oscs1024.com/hd/MPS-2022-58287

  2. Apache HTTP Server mod_proxy_ajp 模块存在 HTTP 请求走私漏洞(CVE-2022-36760)

    Apache HTTP Server 是一个开源的 HTTP 服务器,mod_proxy_ajp 模块是为 Apache JServ Protocol 版本 1.3(简称 AJP13)提供支持的一个模块。

    Apache HTTP Server mod_proxy_ajp 模块处理请求出错时未断开与后端服务的连接,可能将请求直接转发到后端处理转发请求的 AJP 服务器上。

    参考链接:https://www.oscs1024.com/hd/MPS-2022-52421

  3. GitLab CE/EE 存在授权绕过漏洞(CVE-2022-2907)

    GitLab 是一款基于 Git 的集成软件开发平台。

    GitLab CE/EE 受影响版本在项目成员使用特制链接访问代码仓库时,未授权用户可能会绕过授权读取代码仓库的内容。

    参考链接:https://www.oscs1024.com/hd/MPS-2022-54139

  4. Oracle MySQL <8.0.32 存在拒绝服务漏洞(CVE-2023-21868)

    Oracle MySQL 是一套开源的关系数据库管理系统。

    Oracle MySQL 受影响版本在处理用户输入时验证不严格,导致经过身份验证的用户可通过构造网络请求执行拒绝服务 (DoS) 攻击。

    参考链接:https://www.oscs1024.com/hd/MPS-2022-70041

  5. Sudo(sudoedit 功能)存在权限管理不当漏洞(CVE-2023-22809)

    Sudo 是一个用于类 Unix 计算机操作系统的程序,它能够使用户能够以另一个用户(默认是超级用户)的安全权限运行程序。sudoedit 功能用于以另外一个用户身份编辑文件。

    Sudo 受影响版本的 sudoedit 功能存在权限管理不当漏洞,漏洞源于 sudo_edit.c@sudo_edit() 方法未对用户通过“--”参数传入的文件名进行过滤,导致具有 sudoedit 权限的恶意用户可编辑系统中的任意文件(如通过“EDITOR='vim -- /etc/passwd' sudoedit /etc/custom/service.conf”命令编辑 “/etc/passwd”文件)。

    缓解措施:

    1、为防止 sudoedit 使用用户指定的编辑器,可向 sudoers 文件中添加以下内容: Defaults!sudoedit env_delete+="SUDO_EDITOR VISUAL EDITOR"

    2、使用“Cmnd_Alias”限制编辑器编辑指定文件时,如: Cmnd_Alias EDIT_MOTD = sudoedit /etc/motd Defaults!EDIT_MOTD env_delete+="SUDO_EDITOR VISUAL EDITOR" user ALL = EDIT_MOTD

    参考链接:https://www.oscs1024.com/hd/MPS-2023-0514

# 投毒风险监测

OSCS针对 NPM 、PyPI仓库监测的恶意组件数量如下所示。

本周新发现 25 个不同版本的恶意组件:

本周新发现 25 个不同版本的恶意组件:

  • 100%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)。

# 其他资讯

Gamaredon 集团使用Telegram对乌克兰发起网络攻击

https://thehackernews.com/2023/01/gamaredon-group-launches-cyberattacks.html