本周安全态势综述
OSCS社区共收录安全漏洞41个,值得关注的是Hadoop 存在shell命令注入漏洞(CVE-2022-35918),MinIO 存在路径遍历漏洞(CVE-2022-35919)和 rsync < 3.2.5 存在路径校验不严漏洞(CVE-2022-29154)。
针对NPM、Python仓库,共监测到 5 次投毒事件,涉及 131 个不同版本的NPM、Python组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。
重要安全漏洞列表
1、Hadoop 存在shell命令注入漏洞(CVE-2022-35918)
Hadoop 是一款分布式系统基础架构和开发开源软件。
由于 Hadoop 中 org.apache.hadoop.fs.FileUtill 类的 unTar 中针对 tar 文件的处理使用了系统命令去解压,造成了 shell 命令注入的风险。
攻击者可以通过该漏洞实现任意命令执行。
参考链接:https://www.oscs1024.com/hd/MPS-2022-6800
2、MinIO 存在路径遍历漏洞(CVE-2022-35919)
MinIO是一个用 Golang 开发的基于 Apache License v2.0 开源协议的对象存储服务。
在受影响的版本