OSCS开源安全周报第8期:时隔百天 Apache Hadoop YARN 远程代码执行漏洞公开

最新推荐文章于 2024-04-17 12:37:30 发布
最新推荐文章于 2024-04-17 12:37:30 发布
阅读量444 收藏
点赞数
分类专栏: 开源安全每周总结报告 文章标签: 开源 安全 apache hadoop java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/126581422
版权

本周安全态势综述

OSCS社区共收录安全漏洞29个,公开漏洞值得关注的是Apache Hadoop YARN 远程代码执行漏洞(CVE-2021-25642),Firefox 内存破坏漏洞(CVE-2022-38478)和Atlassian Bitbucket Server 和 Data Center 命令注入漏洞(CVE-2022-36804)。

针对 NPM、PyPI 仓库,共监测到 5 次投毒事件,涉及 43 个不同版本的 NPM、PyPI 组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

1、 Apache Hadoop YARN 远程代码执行漏洞(CVE-2021-25642)

Apache Hadoop YARN CapacityScheduler 提供了在 Hadoop 的管理资源和调度作业的功能。

Apache Hadoop YARN CapacityScheduler 中的 ZKConfigurationStore 由于没有验证从 ZooKeeper 获得的数据就进行反序列化处理,使得有权访问 ZooKeeper 的攻击者通过特制数据以 YARN 用户身份运行任意命令。

参考链接:https://www.oscs1024.com/hd/MPS-2021-20833

2、Firefox 内存破坏漏洞(CVE-2022-38478)

Firefox 是一款网络浏览器。

在Firefox 103、Firefox ESR 102.1 和 Firefox ESR 91.12 中存在内存安全漏洞,其中一些错误回显包含敏感信息,攻击者可利用此漏洞执行任意代码。

参考链接:https://www.oscs1024.com/hd/MPS-2022-54155

3、Atlassian Bitbucket Server 和 Data Center 命令注入漏洞(CVE-2022-36804)

Atlassian Bitbucket Server是澳大利亚Atlassian公司的一款Git代码托管解决方案。

在Bitbucket Server 和 Data Center 的多个 API 端点处存在命令注入漏洞。有权访问公共 Bitbucket 存储库或对私有存储库具有读取权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。

参考链接:https://www.oscs1024.com/hd/MPS-2022-52474

投毒风险监测

OSCS针对 NPM、PyPI 仓库监测的恶意组件数量如下所示,其中 NPM 仓库仍旧是主要投毒对象。

在这里插入图片描述
在这里插入图片描述

本周新发现 43 个不同版本的恶意组件,其中

  • 84%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息)
  • 14%的投毒组件为:非预期网络访问(安装过程中自动请求远程服务地址,无实际性危害)
  • 2%的投毒组件为:反弹shell获取远程命令权限(远程执行主机系统命令)

其他资讯

微软称伊朗黑客仍在利用 Log4j 漏洞攻击以色列

https://www.bleepingcomputer.com/news/security/microsoft-iranian-hackers-still-exploiting-log4j-bugs-against-israel/

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/?src=csdn

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=csdn

开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
YARN 远程代码执行(RCE)安全漏洞问题分析与解决方案
明哥的IT随笔
04-26 1463
某客户使用Tenable.sc扫描安全漏洞后反馈,YARN 存在Remote code execution (RCE) 安全漏洞问题,攻击者可在未经过身份验证的情况下通过该漏洞在受影响主机执行任意命令,最终控制服务器。
Zeppelin未授权访问getshell
qq_34341458的博客
04-01 4258
0x01 漏洞简介 Apache Zeppelin是一个让交互式数据分析变得可行的基于网页的notebook。Zeppelin提供了数据可视化的框架。 Zeppelin 是一个提供交互数据分析且基于Web的笔记本。方便你做出可数据驱动的、可交互且可协作的精美文档,并且支持多种语言,包括 Scala(使用 Apache Spark)、Python(Apache Spark)、SparkSQL、 Hive、 Markdown、Shell等等 0x02 影响范围 fofa语句:title=“Zeppelin” 需
Hadoop Yarn RPC未授权访问漏洞_hadoop yarn未授权访问漏洞修复如何开启身份验证
2401_83947353的博客
04-17 311
一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
任意文件读取及删除漏洞
qq_50854662的博客
09-27 2089
任意文件读取漏洞及危害 通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容,往往能够使攻击者从服务器上获取敏感信息文件,正常读取的文件没有经过校验或者不严格,用户可以控制这个变量读取任意文件。 任意文件读取漏洞,是web安全里高危的漏洞,...
Hadoop Yarn RPC远程命令执行
Fly_鹏程万里
11-25 5814
影响范围 Hadoop Yarn RPC 漏洞类型 远程命令执行 利用条件 可未授权访问 漏洞概述 2021年11月15日,有安全研究人员披露Hadoop Yarn RPC存在未授权访问漏洞,此漏洞存在于Hadoop的核心组件Hadoop Yarn中,因Hadoop Yarn默认对外开放RPC服务,导致远程攻击者可利用此未授权漏洞并通过RPC服务执行任意命令,从而达到控制目标服务器的目的,鉴于此漏洞为高危状态,危害较大,且细节已公开、被在野利用,建议所有使用Apache Hadoop的用户及时
DLTA-ZnO为阴极界面层的高效非富勒烯有机太阳能电池.docx
12-15
有机太阳能电池(Organic Solar Cells, OSCs)因其高效能、轻便以及可柔性化的特点,近年来备受关注。非富勒烯有机太阳能电池(Non-Fullerene Organic Solar Cells, NF-OSCs)通过发展高效的光活性材料和界面材料,...
电子功用-含二噻唑苯并噻二唑基的聚合物及其制备方法和有机太阳能电池器件
09-15
这篇资料主要涉及的是有机电子领域的研究,特别是有机太阳能电池(Organic Solar Cells, OSCs)中的关键材料——含二噻唑苯并噻二唑基的聚合物。在深入讨论这个主题之前,我们先来理解一下有机太阳能电池的基本原理...
tcap.rar_tcap_信令
09-19
TCAP的设计目的是为了处理事务性通信,它允许交换机和其他网络节点执行多步骤的操作,如呼叫建立、计费、路由选择等。TCAP的核心特性是其能力来处理复杂的交互式对话,这些对话可以跨越多个网络节点,并且可能涉及多...
行业-电子政务-带有机太阳能电池的有机电致发光显示屏.zip
11-21
有机太阳能电池(Organic Solar Cells, OSCs)是一种新型的可再生能源技术,由有机或聚合物材料制成。相较于传统的硅基太阳能电池,它们具有轻便、柔韧和成本较低的优点,适合于各种创新应用。在电子政务设备中使用...
电子功用-导电聚合物组合物以及应用它的有机光电器件
09-15
尤其在有机光电器件(Organic Optoelectronic Devices,OLEDs)中,如有机发光二极管(Organic Light-Emitting Diodes, OLEDs)、有机太阳能电池(Organic Solar Cells, OSCs)等。本资料详细介绍了导电聚合物的合成...
Hadoop Yarn RPC 0 Day在野利用分析与传播手段披露
Innocence_0的博客
07-25 151
近日,阿里云安全监测到Kinsing僵尸网络变种,除了沿用之前攻击手法,最新利用了Hadoop Yarn RPC未授权访问漏洞进行传播。Hadoop作为一个分布式计算应用框架,种类功能繁多,而HadoopYarn作为其核心组件之一,负责将资源分配至各个集群中运行各种应用程序,并调度不同集群节点上的任务执行。RPC未授权访问使得攻击者无需认证即可通过RPC通信执行恶意命令。Hadoop作为大数据计算基础组件往往集群化部署,一旦一台主机沦陷其整个集群都将受到威胁,其对外暴露端口服务会造成极大威胁。
火狐浏览器内存泄漏
qq_34754747的博客
04-08 746
可使用Firemin帮助浏览器的内存释放
漏洞复现-DiscuzX ≤3.4 任意文件删除漏洞
qq_59350385的博客
05-10 869
一、环境搭建 本次用的是vulhub靶场 执行下列命令部署 Discuz!X 安装环境 docker-compose up -d 安装时,只用修改数据库地址为`db`,其他保持默认即可: 二、漏洞复现 (1)访问`http://your-ip/robots.txt`可见robots.txt是存在的: (2)注册用户hahaha (3)在个人设置页面找到自己的formhash (4)带上自己的Cookie、formhash发送如下数据包 (5)查看个人设置页面的出生地
三天竟然爆发两起大漏洞事件!我们来教你如何跳过以太坊的坑
区块链大本营
04-26 7370
“现在进入你还是先行者,最后观望者进场才是韭菜。”美图董事长蔡文胜在三点钟群中的预言一语成谶。在4月22日,随着BEC智能合约漏洞的爆出,一行代码蒸发了644727768...
vulhub漏洞复现-Hadoop YARN未授权访问
遇事不决冲冲冲
10-29 3855
Hadoop Hadoop就是存储海量数据和分析海量数据的工具。Hadoop到底是干什么用的? 思路 由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,攻击者可以通过 hdsf 提供的 restful api 对 hdfs 存储数据进行操作,如进行删除,下载,目录浏览甚至命令执行等,总体的操作思路是 在本地监听等待反弹 shell 连接 调用 New Application API 创建 Application 调用 Submit Application
hadoop漏洞_首发预警 | 黑客利用Hadoop Yarn资源管理系统未授权访问漏洞进行攻击...
weixin_39731271的博客
12-20 317
4月30日,阿里云发现,俄罗斯黑客利用Hadoop Yarn资源管理系统REST API未授权访问漏洞进行攻击。Hadoop是一款由Apache基金会推出的分布式系统框架,它通过著名的 MapReduce 算法进行分布式处理,YarnHadoop集群的资源管理系统。此次事件主要因Hadoop YARN 资源管理系统配置不当,导致可以未经授权进行访问,从而被攻击者恶意利用。攻击者无需认证即可通过R...
解决Firefox及Firebug内存泄漏的问题
Java Tang
08-21 788
原文出处: http://www.javatang.com/archives/2010/08/21/0946448.html 作者: Jet Mah from Java堂 声明: 可以非商业性任意转载, 转载时请务必以超链接形式标明文章原始出处、作者信息及此声明!   Firebug现在基本是调试Javascript脚本必备的工具,但是由于Firefox运行...
FireFox内存泄漏解决
timnity的博客
04-08 316
1. Open Firefox and go to the Address Bar. Type in about:config and then press Enter. 2. Right Click in the page and select New -> Boolean. 3. In the box that pops up enter config.trim_on_minimize....
欧拉22.03版本的 yum源配置
最新发布
04-18
欧拉22.03版本是一个基于CentOS的Linux发行版,yum是其包管理器。在配置yum源之前,你需要确保你的系统已经安装了yum。以下是欧拉22.03版本的yum源配置步骤: 1. 打开终端,以root用户身份登录。 2. 进入/etc/yum.repos.d目录,该目录存放yum源的配置文件。 3. 创建一个新的yum源配置文件,可以使用任意文本编辑器打开并编辑该文件,比如使用vi编辑器:`vi euler.repo`。 4. 在新建的配置文件中,输入以下内容: ``` [euler] name=Euler Yum Repository baseurl=http://mirror.euler.oscs.io/euler/22.03/os/x86_64/ enabled=1 gpgcheck=0 ``` 这里的baseurl指定了yum源的地址,可以根据实际情况进行修改。 5. 保存并退出配置文件。 6. 运行以下命令来清除缓存并更新yum源: ``` yum clean all yum makecache ``` 7. 现在你可以使用yum命令来安装、更新和删除软件包了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值