(0718-0724)本周开源软件安全大事记

最新推荐文章于 2023-05-16 16:37:15 发布
最新推荐文章于 2023-05-16 16:37:15 发布
阅读量1.2k 收藏
点赞数
文章标签: 安全 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/125976049
版权

本周安全态势综述

OSCS社区共收录安全漏洞26个,值得关注的是Apache Spark UI shell 命令注入漏洞(CVE-2022-33891),Apache Xalan 存在整数截断漏洞(CVE-2022-34169和Redis XAUTOCLAIM 命令存在堆溢出漏洞(CVE-2022-31144)。

针对NPM仓库,共监测到6次投毒事件,涉及119个不同版本的NPM组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

Apache Spark UI shell 命令注入漏洞(CVE-2022-33891)

Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。

如果Apache Spark UI启用了 ACL,则 HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行。恶意用户能够访问权限检查功能,根据他们的输入构建一个 Unix shell 命令并执行。攻击者可利用此漏洞任意执行shell 命令。

参考链接:https://www.oscs1024.com/hd/MPS-2022-19085

Apache Xalan 存在整数截断漏洞,组件已不再维护(CVE-2022-34169)

Xalan是Apache的开源软件库,Xalan的主要功能是将 X

最低0.47元/天 解锁文章
开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OSCS开源软件安全周报,一分钟了解本周开源软件安全大事
OSCS开源安全社区
08-08 1021
OSCS社区共收录安全漏洞41个,值得关注的是Hadoop 存在shell命令注入漏洞(CVE-2022-35918),MinIO 存在路径遍历漏洞(CVE-2022-35919)和 rsync < 3.2.5 存在路径校验不严漏洞(CVE-2022-29154)。针对NPM、Python仓库,共监测到 5 次投毒事件,涉及 131 个不同版本的NPM、Python组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。rsync命令 是一个远程数据同步工具,可通过网络快速同步多台主机间的文件。...
大事记
02-20
"大事记"可能指的是Java发展历程中的关键节点,这些节点不仅塑造了Java本身,也对整个软件开发行业产生了深远影响。以下是对Java编程语言发展历程的一些关键知识点的详细说明: 1. **Java的诞生**:1991年,Sun ...
(0711-0717)本周开源软件安全大事记
OSCS开源安全社区
07-18 736
OSCS社区共收录安全漏洞31个,值得关注的是ApacheHive未授权访问UDF漏洞(CVE-2021-34538),Node.jsDLL劫持漏洞(CVE-2022-32223)和ORails框架下activerecord模块反序列化漏洞(CVE-2022-32224)。针对NPM和PyPI仓库,共监测到12次投毒事件,涉及106个不同版本的NPM组件,9个PyPI组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。...
(0704-0710)本周开源软件安全大事记
OSCS开源安全社区
07-11 1391
OSCS社区共收录安全漏洞15个,值得关注的是Apache Commons Configuration 任意代码执行漏洞(CVE-2022-33980),Django Trunc和Extract方法存在 SQL 注入漏洞(CVE-2022-34265)和OpenSSL RSA 远程代码执行漏洞(CVE-2022-2274)。...
十年 Java API 版权案终落地、Log4j 漏洞蛰伏八年后席卷全球,2021 年开源圈大事件盘点
热门推荐
开源吞噬世界。
01-07 1万+
当理想照进现实,2021 年的开源圈有了哪些改变?
2022中国开源年度报告.pdf
02-07
- 报告还涵盖了开源技术的大事记,可能包括新技术的兴起、关键项目的进展和行业标准的更新,但具体内容未在提供的摘要中列出。 这份报告提供了一个全面的视角,展示了中国开源生态系统的演变和面临的挑战,以及在...
宝宝成长记录系统 v5.0.zip
07-11
 11大事提醒:对日常生活中的重要日期以及重要事件,按项目的不同,进行了直观的颜色标识  12、其它功能: 权限设置功能、口令修改功能、记事本和计算器功能、界面上宝宝名称、软件名称、背景图片的自定义功能。
软件技术专业毕业设计.doc
12-18
"软件技术专业毕业设计.doc" 软件技术专业毕业设计是指使用软件技术来设计和开发一个博客系统的毕业设计。该系统的主要功能包括发布博客、评论博客、博客分类,并且具有首页风格更改、首页模块可自由添加或删除、...
mycollab:项目管理和文档的开源,免费,高性能,稳定和安全的Java应用程序业务平台
02-03
大事记 时间跟踪(仅适用于高级用户) 发票管理(仅适用于高级用户) 风险管理(仅适用于高级用户) 人员和权限管理 报告中 我们在日常工作中使用MyCollab来管理客户信息,项目。 它已在我们的高级用户的生产环境...
进击与危机同在,对抗与成长共存:2021年开源圈大事件盘点
腾源会
01-04 351
作者 | Paul Sawers编译 | 李磊导语:2021 年,开源首次被列入「十四五规划」,代码托管平台 Gitlab 上市、OpenHarmony 开源、CentOS 8 停止维护…...
由于开源软件,世界反而不如以前安全了!
07-03 455
虽然开源已经取得了巨大的进展,但有几个因素(开源社区内外的因素)对开源造成了不利。微软最近宣布它为Windows添加Linux内核。对于大多数人来说,此举是最新的确凿证据...
『Java CVECVE-2022-34169: Xalan-J XSLT整数截断漏洞PoC结构再浅析
Ho1aAs‘s Blog
09-24 2018
class文件常量池最大只有`0xFFFF`(65535),当写入常量数量n>0xFFFF时:正常写入常量池是`n & 0xFFFF`个,被截断,后续多余的将会溢出、覆盖正常class文件的内容,首当其冲的是`access_flag`参数。如果写入65536个常量,那么常量池表就为空(0x10000 & 0xFFFF = 0);如果写入65537个常量,此时常量表为1...以此类推,后面溢出的常量就覆盖了class文件。
无胁科技-TVD每日漏洞情报-2022-8-29
wuthreat无胁科技的博客
08-29 609
参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?漏洞编号:CVE-2022-34169;漏洞编号:CVE-2022-20823;.
【高危】Apache Spark UI shell 命令注入漏洞(POC)
最新发布
murphysec的博客
05-16 936
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。该漏洞是针对此前CVE-2022-33891漏洞的修订,原有漏洞通告中认为3.1.3版本已修复该漏洞,后发现仍受到影响,3.1.3版本已不再维护,官方建议升级至3.4.0版本。该漏洞已存在 POC。
Apache Tomcat 跨站脚本漏洞处理(CVE-2019-0221)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-21 8556
漏洞描述 Apache Tomcat 跨站脚本漏洞描述: Apache 是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器,Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat的某些示例脚本实现上存在输入验证漏洞,远程攻击者可能利用此漏洞在用户浏览器环境下执行...
struts2-046 远程代码执行 (CVE-2017-5638)
博客地址 www.sec0nd.top
06-29 769
Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。攻击者可以将恶意代码放入http报文头部的Content-Disposition的filename字段,通过不恰当的filename字段或者大小超过2G的Content-Length字段来触发异常,进而导致任意代码执行。上传一个文件,使用bp抓包将filename改为:“%{(#nike=‘multipart/
Redis-7.0.x版本官方发行说明(附谷歌翻译)【持续更新】
u014282578的博客
12-30 2337
本文使用谷歌翻译工具翻译Redis官方的7.0.x版本的发行说明。
redis stream 消息转移原理
qq_36740038的博客
04-25 275
同一消费者组的消费者,每个消费者都接受消息的子集进行处理,并在从失败中恢复时重新读取仅发送给他们的待处理消息。然而,在现实世界中,消费者可能会永久失败,永远不会恢复。消费者停止后,从未恢复的待处理消息会发生什么?
MySQL5.5中文参考手册-全中文翻译版
手册由MySQL的合作伙伴——北京万里开源软件有限公司翻译,虽然可能不是最新版本,但依然提供了丰富的信息和指导。 手册的摘要部分首先介绍了手册的目的和涵盖的内容,它涉及到MySQL 5.5的多个方面,包括关于手册...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值