OSCS开源软件安全周报,一分钟了解本周开源软件安全大事

最新推荐文章于 2024-04-28 22:52:59 发布
最新推荐文章于 2024-04-28 22:52:59 发布
阅读量1k 收藏
点赞数
文章标签: 安全 hadoop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/126226885
版权

本周安全态势综述

OSCS社区共收录安全漏洞41个,值得关注的是Hadoop 存在shell命令注入漏洞(CVE-2022-35918),MinIO 存在路径遍历漏洞(CVE-2022-35919)和 rsync < 3.2.5 存在路径校验不严漏洞(CVE-2022-29154)。

针对NPM、Python仓库,共监测到 5 次投毒事件,涉及 131 个不同版本的NPM、Python组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

1、Hadoop 存在shell命令注入漏洞(CVE-2022-35918)

Hadoop 是一款分布式系统基础架构和开发开源软件。

由于 Hadoop 中 org.apache.hadoop.fs.FileUtill 类的 unTar 中针对 tar 文件的处理使用了系统命令去解压,造成了 shell 命令注入的风险。

攻击者可以通过该漏洞实现任意命令执行。

参考链接:https://www.oscs1024.com/hd/MPS-2022-6800

2、MinIO 存在路径遍历漏洞(CVE-2022-35919)

MinIO是一个用 Golang 开发的基于 Apache License v2.0 开源协议的对象存储服务。

在受影响的版本

最低0.47元/天 解锁文章
开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
(0718-0724)本周开源软件安全大事
OSCS开源安全社区
07-25 1247
本周值得关注的是ApacheSparkUIshell命令注入漏洞(CVE-2022-33891),ApacheXalan存在整数截断漏洞(CVE-2022-34169和RedisXAUTOCLAIM命令存在堆溢出漏洞(CVE-2022-31144)。针对NPM仓库,共监测到6次投毒事件,涉及119个不同版本的NPM组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。...
十年 Java API 版权案终落地、Log4j 漏洞蛰伏八年后席卷全球,2021 年开源圈大事件盘点
热门推荐
开源吞噬世界。
01-07 1万+
当理想照进现实,2021 年的开源圈有了哪些改变?
【2024】Linux漏洞修复合集_nodejs 代码注入漏洞(cve-2024-21824)怎么修复
最新发布
2301_79058150的博客
04-28 882
要修复涉及到的CVE-2022-29154安全漏洞,您需要升级您系统上的rsync软件包到修复了这个漏洞的最新版本。或者这将检查可用的更新并安装最新版本的rsync软件包,将其升级到修复了CVE-2022-29154漏洞的版本。2.确保版本号已更新到修复了CVE-2022-29154漏洞的版本(例如,3.1.2-11.el7_9或更高版本)。通过更新rsync软件包,您将能够修复系统中存在的CVE-2022-29154安全漏洞。务必及时应用安全更新以确保系统的安全性。
(0711-0717)本周开源软件安全大事
OSCS开源安全社区
07-18 736
OSCS社区共收录安全漏洞31个,值得关注的是ApacheHive未授权访问UDF漏洞(CVE-2021-34538),Node.jsDLL劫持漏洞(CVE-2022-32223)和ORails框架下activerecord模块反序列化漏洞(CVE-2022-32224)。针对NPM和PyPI仓库,共监测到12次投毒事件,涉及106个不同版本的NPM组件,9个PyPI组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。...
(0704-0710)本周开源软件安全大事
OSCS开源安全社区
07-11 1391
OSCS社区共收录安全漏洞15个,值得关注的是Apache Commons Configuration 任意代码执行漏洞(CVE-2022-33980),Django Trunc和Extract方法存在 SQL 注入漏洞(CVE-2022-34265)和OpenSSL RSA 远程代码执行漏洞(CVE-2022-2274)。...
DLTA-ZnO为阴极界面层的高效非富勒烯有机太阳能电池.docx
12-15
有机太阳能电池(Organic Solar Cells, OSCs)因其高效能、轻便以及可柔性化的特点,近年来备受关注。非富勒烯有机太阳能电池(Non-Fullerene Organic Solar Cells, NF-OSCs)通过发展高效的光活性材料和界面材料,...
电子功用-含喹喔啉基的聚合物及其制备方法和太阳能电池器件
09-15
这类聚合物因其独特的光电性质,被广泛应用于有机太阳能电池(Organic Solar Cells, OSCs)的活性层材料。本文将深入探讨含喹喔啉基聚合物的结构、性质、制备方法以及它们在太阳能电池器件中的应用。 首先,了解含...
电子测量中的基于B2912A的有机太阳能电池测试方案
10-21
有机太阳能电池(Organic Solar Cells, OSCs)是近年来备受关注的清洁能源技术,因其成本低、工艺简单、轻便且可柔性化等特性,被视为未来太阳能电池的发展方向之一。与传统的无机太阳能电池相比,如晶硅和无机...
tcap.rar_tcap_信令
09-19
TCAP的结构基于面向对象的模型,它由一系列称为操作、选择和组合(OSCs)的元素组成。这些元素用于构建复杂的消息结构,以描述事务的各个阶段。操作定义了特定的功能,如查询或更新数据库;选择则用于根据特定条件...
网络技术-网络基础-苝酰亚胺类电子受体材料的合成及其性能研究.pdf
04-19
苝酰亚胺(Perylene imides)是一类广泛研究的非富勒烯电子受体材料,由于其优良的特性,如光稳定性、热稳定性和化学稳定性,以及高摩尔消光系数和宽广的太阳光谱响应范围,使其在有机太阳能电池(OSCs)中具有潜在...
开源软件源代码安全缺陷分析报告
02-10
开源软件源代码安全缺陷分析报告
进击与危机同在,对抗与成长共存:2021年开源圈大事件盘点
腾源会
01-04 351
作者 | Paul Sawers编译 | 李磊导语:2021 年,开源首次被列入「十四五规划」,代码托管平台 Gitlab 上市、OpenHarmony 开源、CentOS 8 停止维护…...
开源软件 安全风险_3开源安全风险及其解决方法
weixin_26713521的博客
09-12 2989
开源软件 安全风险Open source software is very popular and makes up a significant portion of business applications. According to Synopsys, 99% of commercial databases contain at least one open source component...
MinIO如何禁止桶遍历
qq_42108331的博客
08-26 1143
Minio如何禁止桶遍历
对象存储遍历文件url漏洞处理
weixin_42749814的博客
01-28 962
访问时,会得到一个超大的XML,原来minio的桶有一个listObjects的功能,默认最多1000条记录,这就意味着,如果你打开永久下载链接模式,那么任何人可以通过桶路径来获取你保存的所有资源的信息,然后一个一个下载下来。http://minio_out_url/bucket_path/ 展示无权限。minio public桶禁止在直接访问桶位置时列出所有文件url,这就需要对minio地址进行设置。这里临时开下权限,屏蔽MINIO_BROWSER。2、点击bucket_path 设置权限。
MinIO集群模式信息泄露漏洞(CVE-2023-28432)
EnerY3的博客
12-12 4212
Minio 是一个开源的对象存储服务,它是一个完全兼容 Amazon S3 的存储系统,可以用来构建可扩展的应用程序。Minio 的主要目标是为开发人员提供一个可靠、安全、可扩展的对象存储系统,以便他们可以专注于构建自己的应用程序,而不是存储基础设施。漏洞编号:CVE-2023-28432漏洞评分:高(Critical)影响版本:MinIO 2022.10.0至2023.4.20间的所有版本漏洞描述:MinIO集群模式中存在一个信息泄露漏洞。攻击者可以利用该漏洞获取存储在MinIO中的敏感数据。
【漏洞复现】MinIO敏感信息泄露(CVE-2023-28432)
刘家华(游戏开发)
04-23 1162
MinIO发现了信息泄露漏洞
欧拉22.03版本的 yum源配置
04-18
欧拉22.03版本是一个基于CentOS的Linux发行版,yum是其包管理器。在配置yum源之前,你需要确保你的系统已经安装了yum。以下是欧拉22.03版本的yum源配置步骤: 1. 打开终端,以root用户身份登录。 2. 进入/etc/yum....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值