OSCS开源安全周报第7期:本周投毒对象均为 NPM 仓库

最新推荐文章于 2025-03-21 14:37:33 发布
最新推荐文章于 2025-03-21 14:37:33 发布
阅读量673 收藏
点赞数
分类专栏: 开源安全每周总结报告 文章标签: 开源 安全 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/126464716
版权
本周OSCS社区收录33个安全漏洞,重点关注Apache Flume、Apache Airflow和Apache ActiveMQ Artemis的漏洞。此外,监测到5次针对NPM仓库的投毒事件,涉及36个组件,主要目标是获取主机敏感信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本周安全态势综述

OSCS社区共收录安全漏洞33个,公开漏洞值得关注的是Apache Flume 存在JNDI注入漏洞(CVE-2022-34916),Apache Airflow Docker Provider <3.0 存在远程代码执行漏洞(CVE-2022-38362)和Apache ActiveMQ Artemis 存在 HTML 注入漏洞(CVE-2022-35278)。

针对 NPM 仓库,共监测到 5 次投毒事件,涉及 36 个不同版本的 NPM 组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

1、Apache Flume 存在 JNDI 注入漏洞(CVE-2022-34916)

Apache Flume 是一种分布式、可靠且可用的服务,用于高效收集、聚合和移动大量日志数据。

Apache Flume 的漏洞版本中由于配置不当存在JNDI注入漏洞,攻击者可以利用此漏洞进行远程代码执行。

参考链接:https://www.oscs1024.com/hd/MPS-2022-42766

2、Apache Airflow Docker Provider <3.0 存在远程代码执行漏洞(CVE-2022-38362)

Apache Airflow Docker 是一个用于创建、管理和监控工作流程的开源平台。

在受影响版本中存在远程命令执行漏洞。

最低0.47元/天 解锁文章
安全通知】NPM遭遇供应链投毒攻击窃取K8S集群凭证
Tencent_SRC的博客
02-24 691
文|腾讯洋葱反入侵系统七夜、xnianq、柯南近日,腾讯洋葱反入侵系统检测发现 NPM官方仓库被上传了radar-cms 恶意包,并通知官方仓库下架处理。由于国内开源镜像站同步于NPM官...
软件供应链投毒NPM 恶意组件分析
smellycat000的专栏
12-14 1660
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危...
SBOM风险预警 | 恶意NPM组件开展木马投毒攻击,目标针对国内泛互企业
最新发布
weixin_64810147的博客
03-21 960
目前,公司自主研发全球范围内原创专利级“多模态SCA+DevSecOps+SBOM情报预警”的第四代DevSecOps数字供应链安全管理体系,将源鉴SCA、灵脉IAST、灵脉AI、云鲨RASP等敏捷安全技术工具进行深度联动,在DevSecOps敏捷安全体系建设、数字供应链安全审查、开源供应链安全治理和云原生安全体系建设四大典型应用场景下,为用户构筑适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。
数亿下载量的npm包被“投毒”,前端开源将如何?
CSDN资讯
03-18 7158
开发者以node-ipc包进行供应链投毒,再次引发安全问题大讨论
Apache Flume 远程代码执行漏洞CVE-2022-25167
murphysec的博客
06-14 2336
CVE-2022-25167漏洞是由于Apache Flume 的 JMSSource 类对配置的 JNDI LDAP 数据源中路径没有进行验证,导致不受信任的数据被反序列化。该漏洞影响范围小,漏洞等级中。影响版本为1.4.0到 1.9.0,官方已发布更新,建议用户更新到最新版本。参考链接: https://issues.apache.org/jira/browse/FLUME-3416 https://nvd.nist.gov/vuln/detail/CVE-2022-25167 https://secl
CVE-2022-34916 Apache Flume 远程代码执行漏洞分析
小王的储物间
01-31 500
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
OSCS开源安全周报第 56 Apache Airflow Spark Provider 任意文件读取漏洞
cc123489ll的博客
05-31 667
OSCS 社区共收录安全漏洞 3 个,公开漏洞值得关注的是 Apache NiFi 连接 URL验证绕过漏洞(CVE-2023-40037)、PowerJob 未授权访问漏洞(CVE-2023-36106)Apache Airflow SparkProvider 任意文件读取漏洞(CVE-2023-40272)。针对 NPM 、PyPI 仓库,共监测到 81 个不同版本的毒组件,其中 NPM 组件包 mall-front-babel-directive。
供应链投毒预警 | 开源供应链投毒202402月报发布啦
Anprou的博客
03-18 1723
悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获,发现大量的开源组件恶意包投毒攻击事件。在2024年2月份,悬镜供应链安全情报中心在NPM官方仓库(https://www.npmjs.com)和Pypi官方仓库(https://pypi.org)共捕获503个不同版本的恶意组件包,其中NPM仓库投毒占比89.46%, Pypi仓库投毒占比10.54%,NPM仓库依旧是开源组件包投毒的重灾区。
供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
Anprou的博客
05-16 1059
2024年4月,悬镜供应链安全情报中心在NPM官方仓库和Pypi官方仓库上共捕获772个不同版本的恶意组件包
npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除
murphysec的博客
01-06 4339
从开发者chuzhixin的回应和代码中的行为来看,作者的行为可能难以定义是恶意还是正义,所幸当前应该没有造成实质性的危害。但通过-next复刻原有项目重新发布确实容易令人混淆,对于使用开源组件的众多开发者而言又是一次信任的崩塌,开源不等于免费,也不等于安全,在使用中还是需要仔细甄别。对于企业而言,类似的开源组件投毒的情况每天都在发生,需要及时建立相应的检测识别、处置响应能力。该投毒已上线漏洞库,担心源码被删,快速检测自己的代码,查看风险详情🔍。
开源漏洞深度分析|CVE-2022-34916 JNDI命令执行漏洞
LJQClqjc的博客
09-02 1640
开源漏洞深度分析|CVE-2022-34916 JNDI命令执行漏洞
Apache多个组件漏洞公开(CVE-2022-32533/CVE-2022-33980/CVE-2021-37839)
OSCS开源安全社区
07-07 1017
7月6日,OSCS监测到Apache基金会旗下多个项目漏洞公开,请相应组件用户关注。
一个 npm 包的坎坷“续命”之生
justjavac的专栏
01-01 352
如果说 npm 的大新闻,莫过于之前的left-pad 撤包事件,event-stream 投毒事件,Ant Design 彩蛋事件。使得很多前端开发者又开始重新思考 ...
常用环境部署()——Docker部署airflow和Centos安装Python3.5
wd520521的博客
06-05 1429
Docker部署airflow和Centos安装Python3.5
【kernel exploit】CVE-2022-34918 nftables 堆溢出漏洞利用(list_head任意写)
panhewu9919的博客
07-26 2407
CVE-2022-34918 nftable堆溢出漏洞利用(list_head任意写)
Atlassian Confluence 远程代码执行漏洞CVE-2022-26134)风险通告及POC复现
qq_18209847的博客
06-07 3197
信息安全部监测到Atlassian Confluence Server and Data Center (CVE-2022-26134)远程代码执行漏洞
Apache Airflow Docker Provider远程代码执行漏洞
bocco的博客
08-17 437
安全狗应急响应中心监测到,Apache发布安全公告,修复了Apache Airflow Docker Provider中的一个远程代码执行漏洞漏洞编号:CVE-2022-38362。
开源程序opensourcecaptchasolver:赚取积分的新途径
资源摘要信息:"opensourcecaptchasolver:通过解决验证码获得学分的开源程序" 知识点: 1. 程序功能:opensourcecaptchasolver是一个开源程序,它的主要功能是通过解决验证码来帮助用户在验证码交换网站上赚取积分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值