聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
研究人员分析NuGet 仓库上托管的现成可用软件包后指出,51个唯一的软件组件易受多个可活跃利用高危漏洞的影响,再次说明了第三方依赖关系对软件开发进程所带来的威胁。
当前针对软件供应链的网络攻击事件不断增长,因此迫切需要评估这类第三方模块所带来的安全风险并最小化攻击面。
NuGet 是 .NET 平台的受微软支持的机制,可用作包管理器,使开发人员能够共享可复用代码。该框架维护了由超过26.4万个唯一程序包组成的中心仓库,而这些程序包的下载量已累计超过1090亿次。
研究人员指出,“我们在研究中识别出的所有预编译软件组件都是7Zip、WinSCP 和 PUTTYgen 的不同版本,提供复杂的压缩和网络功能。它们持续更新以改进功能并解决已知的安全漏洞。然而,有时候其它软件包虽然已更新但仍然使用包含已知漏洞的已过时多年的依赖关系。”
在某个实例中,研究人员发现下载次数超过3.5万次的远程服务器文件管理库 “WinSCPHelper” 使用老旧且易受攻击的 WinSCP 版本5.11.2,而实际上今年1月份初发布的WinSCP 版本5.17.10 解决了一个严重的任意执行缺陷 (CVE-2021-3331),因此使用户易受漏洞影响。
另外,研究人员表示,从NuGet 包中提取的5万多个软件组件静态链接到 “zlib” 数据压缩库的易受攻击版本,使其易受多个已知漏洞影响如 CVE-2016-9840、CVE-2016-9841、CVE-2016-9842和CVE-2016-9843。
被指存在 zlib 漏洞的某些程序包是 “DicomObjects” 和 “librdkafka.redist“,它们的下载次数分别不少于5万次和1820万次。更令人担心的是,”librdkafka.redist” 被列为多个其它流行程序包的依赖关系,例如Confluent 的 Apache Kafka 的 .Net Client (Confluent.Kafka) 的下载次数超过1760万次。
研究人员指出,“软件解决方案开发企业应当重视这类风险,谨慎处理。应检查软件开发流程中的输入和最终输出中是否存在篡改和代码质量问题。透明的软件开发是启动提早检测并阻止软件供应链攻击的重点之一。”
推荐阅读
供应链勒索攻击登场,REvil 利用0day 迫使安全事件响应工具 VSA部署勒索软件
NIST 按行政令关于加强软件供应链安全的要求,给出“关键软件”的定义及所含11类软件
Linux 应用市场易受RCE和供应链攻击,多个0day未修复
原文链接
https://thehackernews.com/2021/07/dozens-of-vulnerable-nuget-packages.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
279
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
