OSCS开源安全周报第15期:SQLite 存在拒绝服务漏洞(POC已公开) 原创
本周安全态势综述
OSCS 社区共收录安全漏洞20个,公开漏洞值得关注的是 Apache Linkis JDBC EngineConn 模块远程代码执行漏洞(CVE-2022-39944),Apache Flume JMSSource 存在JNDI注入漏洞(CVE-2022-42468),Apache Heron <0.20.5-incubating 存在CRLF日志注入漏洞(CVE-2021-42010),Apache Batik 信息泄露漏洞(CVE-2022-41704),SQLite 存在拒绝服务漏洞(POC已公开)(CVE-2022-35737)。
针对 NPM 、PyPI仓库,共监测到 34 个不同版本的 NPM 、PyPI组件,投毒组件都在尝试获取主机敏感信息。
重要安全漏洞列表
-
Apache Linkis JDBC EngineConn 模块远程代码执行漏洞(CVE-2022-39944)
Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。
Apache Linkis 在1.2.0 及之前的版本中与 MySQL Connector/J 驱动程序一起使用时存在远程代码执行漏洞,对MySQL数据库具有写权限的攻击者可通过此漏洞恶意配置 JDBC EC(Engineconn),从而实现执行远程代码。
参考链接:https://www.oscs1024.com/hd/MPS-2022-60822 -
Apache Flume JMSSource 存在JNDI注入漏洞(CVE-2022-42468)
Apache Flume是一款用于收集日志数据的系统。在Apache Flume 的受影响版本中由于JMSSource类对传入的providerURL参数验证不当导致JNDI注入漏洞,当用户使用带有不安全 providerURL 的 JMS 源时,可能容易受到远程代码执行攻击。
参考链接:https://www.oscs1024.com/hd/MPS-2022-59171 -
Apache Heron <0.20.5-incubating 存在CRLF日志注入漏洞(CVE-2021-42010)
Apache Heron是Twitter开发的分布式流处理引擎。
在Apache Heron <0.20.5-incubating 版本中由于日志语句中缺少转义导致存在CRLF日志注入漏洞,攻击者可利用此漏洞伪造日志。
参考链接:https://www.oscs1024.com/hd/MPS-2021-32843 -
Apache Batik 信息泄露漏洞(CVE-2022-41704)
Apache Batik 是一个用于渲染、生成和操作SVG图形的Java库。
Apache Batik 在1.0到1.15版本中存在信息泄露漏洞,ParsedURL方法解析未经认证的jar包时,可能会导致执行恶意代码。
参考链接:https://www.oscs1024.com/hd/MPS-2022-58288 -
SQLite 存在拒绝服务漏洞(POC已公开)(CVE-2022-35737)
SQLite是个轻量级嵌入式数据库,适合数据量小、集成度高的场景。
在SQLite 1.0.12 到 3.39.x 3.39.2 之前的版本会存在数组边界溢出,当 C API 的字符串参数中接收到数十亿字节数据时,会导致拒绝服务,攻击者可能利用此漏洞执行任意命令。
参考链接:https://www.oscs1024.com/hd/MPS-2022-51189
查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
投毒风险监测
OSCS针对 NPM 、PyPI仓库监测的恶意组件数量如下所示。
本周新发现 34 个不同版本的恶意组件:
其中
- 94%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)
- 6%的投毒组件为:非预期网络访问(请求指定指定服务器,无危害)
其他资讯
医疗软件供应商系统泄露几十万用户的个人信息和近万家机构的医疗数据
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/?src=51cto
具体订阅方式详见: