51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
活动 短视频 专栏 极客Show 鸿蒙技术特刊

OSCS开源安全周报第15期:SQLite 存在拒绝服务漏洞(POC已公开) 原创

Abby124
发布于 2022-11-2 14:40
浏览
0收藏

本周安全态势综述

OSCS 社区共收录安全漏洞20个,公开漏洞值得关注的是 Apache Linkis JDBC EngineConn 模块远程代码执行漏洞(CVE-2022-39944),Apache Flume JMSSource 存在JNDI注入漏洞(CVE-2022-42468),Apache Heron <0.20.5-incubating 存在CRLF日志注入漏洞(CVE-2021-42010),Apache Batik 信息泄露漏洞(CVE-2022-41704),SQLite 存在拒绝服务漏洞(POC已公开)(CVE-2022-35737)。

针对 NPM 、PyPI仓库,共监测到 34 个不同版本的 NPM 、PyPI组件,投毒组件都在尝试获取主机敏感信息。

重要安全漏洞列表

  1. Apache Linkis JDBC EngineConn 模块远程代码执行漏洞(CVE-2022-39944)
    Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。
    Apache Linkis 在1.2.0 及之前的版本中与 MySQL Connector/J 驱动程序一起使用时存在远程代码执行漏洞,对MySQL数据库具有写权限的攻击者可通过此漏洞恶意配置 JDBC EC(Engineconn),从而实现执行远程代码。
    参考链接:https://www.oscs1024.com/hd/MPS-2022-60822

  2. Apache Flume JMSSource 存在JNDI注入漏洞(CVE-2022-42468)
    Apache Flume是一款用于收集日志数据的系统。在Apache Flume 的受影响版本中由于JMSSource类对传入的providerURL参数验证不当导致JNDI注入漏洞,当用户使用带有不安全 providerURL 的 JMS 源时,可能容易受到远程代码执行攻击。
    参考链接:https://www.oscs1024.com/hd/MPS-2022-59171

  3. Apache Heron <0.20.5-incubating 存在CRLF日志注入漏洞(CVE-2021-42010)
    Apache Heron是Twitter开发的分布式流处理引擎。
    在Apache Heron <0.20.5-incubating 版本中由于日志语句中缺少转义导致存在CRLF日志注入漏洞,攻击者可利用此漏洞伪造日志。
    参考链接:https://www.oscs1024.com/hd/MPS-2021-32843

  4. Apache Batik 信息泄露漏洞(CVE-2022-41704)
    Apache Batik 是一个用于渲染、生成和操作SVG图形的Java库。
    Apache Batik 在1.0到1.15版本中存在信息泄露漏洞,ParsedURL方法解析未经认证的jar包时,可能会导致执行恶意代码。
    参考链接:https://www.oscs1024.com/hd/MPS-2022-58288

  5. SQLite 存在拒绝服务漏洞(POC已公开)(CVE-2022-35737)
    SQLite是个轻量级嵌入式数据库,适合数据量小、集成度高的场景。
    在SQLite 1.0.12 到 3.39.x 3.39.2 之前的版本会存在数组边界溢出,当 C API 的字符串参数中接收到数十亿字节数据时,会导致拒绝服务,攻击者可能利用此漏洞执行任意命令。
    参考链接:https://www.oscs1024.com/hd/MPS-2022-51189

查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件

投毒风险监测

OSCS针对 NPM 、PyPI仓库监测的恶意组件数量如下所示。

OSCS开源安全周报第15期:SQLite 存在拒绝服务漏洞(POC已公开)-鸿蒙开发者社区

本周新发现 34 个不同版本的恶意组件:
OSCS开源安全周报第15期:SQLite 存在拒绝服务漏洞(POC已公开)-鸿蒙开发者社区
 其中

  • 94%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)
  • 6%的投毒组件为:非预期网络访问(请求指定指定服务器,无危害)

其他资讯

医疗软件供应商系统泄露几十万用户的个人信息和近万家机构的医疗数据

https://www.bleepingcomputer.com/news/security/dutch-police-arrest-hacker-who-breached-healthcare-software-vendor/

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/?src=51cto

具体订阅方式详见:

https://www.oscs1024.com/cm/?src=51cto

OSCS开源安全周报第15期:SQLite 存在拒绝服务漏洞(POC已公开)-鸿蒙开发者社区

©著作权归作者所有,如需转载,请注明出处,否则将追究法律责任
分类
OpenHarmony
标签
#开源安全
软件供应链安全
1
收藏
回复
举报
回复
    相关推荐
    Abby124
    这个用户很懒,还没有个人简介
    帖子
    视频
    声望
    粉丝
    最近发布
    热门推荐
    HarmonyOS应用开发-低代码开发登录页 4回复
    OpenHarmony 4.1 Release的组件分析 4回复
    OpenHarmony开发-系统烧录 2回复
    OpenHarmony投屏工具OHScrcpy Beta4发布,适配API11,支持模拟输入文本 2回复
    给DevEco Studio加上AI - 通义灵码插件安装 2回复
    相关问题
    用webview加载H5,是否存在安全相关的问题 1回答
    在进行HMOS应用的自动签名时,于AppGallery网站上进行签名准备,提示“软件包名已存在” 2回答
    读取本地json 文件提示权限拒绝 1回答
    hi3861连接华为MQTT服务器,始终没连接上,已贴出代码图 2回答
    如何避免module下文件打包进HAR包后,存在的不可预期的资料、配置或信息安全风险 1回答
    社区精华内容

    目录