本周安全态势综述OSCS社区共收集29个安全漏洞,值得关注的公开漏洞ApacheHadoopYARN远程代码执行漏洞(CVE-2021-25642)、Firefox内存损坏漏洞(CVE-2022-38478)和AtlassianBitbucket服务器和数据中心命令注入漏洞(CVE-2022-36804)。针对NPM和PyPI库,共检测到5起中毒事件,涉及43个不同版本的NPM和PyPI组件。中毒组件的大部分行为都是试图获取宿主的敏感信息。重要安全漏洞列表ApacheHadoopYARN远程代码执行漏洞(CVE-2021-25642)ApacheHadoopYARNCapacityScheduler提供了在Hadoop中管理资源和调度作业的能力。ApacheHadoopYARNCapacityScheduler中的ZKConfigurationStore反序列化从ZooKeeper获取的数据而不对其进行验证,从而允许有权访问ZooKeeper的攻击者通过特制数据以YARN用户身份运行任意命令。参考链接:https://www.oscs1024.com/hd/M...Firefox内存损坏漏洞(CVE-2022-38478)Firefox是一种网络浏览器。Firefox103、FirefoxESR102.1、FirefoxESR91.12存在内存安全漏洞,部分错误信息包含敏感信息,可被攻击者利用执行任意代码。参考链接:https://www.oscs1024.com/hd/M...AtlassianBitbucketServer和数据中心命令注入漏洞(CVE-2022-36804)AtlassianBitbucketServer是来自澳大利亚Atlassian的Git代码托管解决方案。BitbucketServer和DataCenter的多个API端点存在命令注入漏洞。有权访问公共Bitbucket存储库或读取私有存储库的攻击者可以通过发送恶意HTTP请求来执行任意代码。参考链接:https://www.oscs1024.com/hd/M...中毒风险监控OSCS对NPM和PyPI仓库监测到的恶意组件数量如下,NPM仓库仍然是主要的中毒目标。本周新发现43个不同版本的恶意组件,其中84%的中毒组件为:获取主机敏感信息(获取主机的用户名、IP等敏感信息)14%的中毒组件为:意外网络访问(安装过程中自动请求远程服务地址,无实际危害。)2%中毒成分为:反弹shell获取远程命令权限(远程执行主机系统命令)其他信息微软称伊朗黑客还在利用Log4j漏洞攻击以色列https://www.bleepingcomputer....信息订阅OSCS(开源软件供应链安全社区)以最快最全面的方式发布开源项目的最新安全风险趋势,包括开源组件安全漏洞、事件和其他信息。同时提供漏洞和中毒情报免费订阅服务。社区用户可以通过配置飞书、钉钉、企业微信机器人,及时获取第一手情报信息:https://www.oscs1024.com/?src=sf具体订阅详见:https://www.oscs1024.com/docs/vuln-warning/intro/?src=sf
