Apache 项目中存在依赖混淆漏洞

最新推荐文章于 2024-09-11 14:11:52 发布
最新推荐文章于 2024-09-11 14:11:52 发布
阅读量48 收藏
点赞数
文章标签: apache
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519338&idx=2&sn=c65a447c216d55afbb9483c48c34f453&chksm=eb5638009ac3daf1b7fcfa0af7e1354eb790372a4ee13d79dc334fa46ce26e4296b311d07149&scene=126&sessionid=0
版权

e94ba5425cde892794fcd412a3e30473.gif 聚焦源代码安全,网罗国内外最新资讯!

作者:Alessandro Mascellino

编译:代码卫士

已归档的一个 Apache 项目中存在一个依赖混淆漏洞。

Legit Security 公司发现了该漏洞,并表示这说明有必要审计第三方项目和依赖,尤其是被归档且有可能忽视了更新和安全补丁的第三方项目和依赖。该公司发布技术文章提到,尽管一般做法都是按照‘’如果没崩就不修”的心态将归档项目置之不理,但这些项目通常会含有未被修复的漏洞。

依赖混淆也被称为“依赖劫持”或“替换攻击”,可使攻击者通过渗透开源软件中易受攻击依赖的方式,发动软件供应链攻击。当引用私有/本地程序包时,不可避免地会因为包管理器配置不当而从公开注册表中提取命名类似的恶意包,从而导致利用发生。

Legit 安全团队通过利用归档 Apache 项目 Cordova App Harness“中的配置不当问题,展示了该漏洞的情况。研究人员以相同的名称上传了恶意包,成功劫持了该漏洞,三天内的下载量超过100次,这说明了归档项目仍在被继续使用以及它们所造成的潜在安全风险。利用该漏洞后,攻击者可在主机机器上执行任意代码,可能导致在生产环境中造成RCE后果。

安全研究人员在3月24日将该问题告知 Apache。后者在24小时内证实了该漏洞的存在并接受了 Legit 公司提供的解决方案,即持有该私有包的公开版本以阻止遭利用。

研究人员强调称,正确配置包管理器对于缓解依赖混淆风险至关重要。研究人员强调了采取主动安全措施和最佳实践的重要性,包括常规安全扫描、替换已降级项目、加固依赖配置安全、加强开发人员教育以及获悉最新威胁和最佳实践等。组织机构可借此加固其安全态势并保护软件生态系统免受潜在的攻陷和漏洞困扰。

6245a97570398eaca6d80542f11c826f.jpeg

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

【已复现】Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)安全风险通告

Apache OfBiz ERP 系统中存在严重 0day,可导致企业易受攻击

【已复现】Apache Struts 文件上传漏洞(CVE-2023-50164)安全风险通告第二次更新

Apache Superset 漏洞导致服务器易遭RCE攻击

Apache Ivy 注入漏洞可导致攻击者提取敏感数据

原文链接

https://www.infosecurity-magazine.com/news/dependency-confusion-flaw-found/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

479c8d3456513cdd45eb6318090f61fb.jpeg

32dc509d8c7505b8859ad0d41de7dbae.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   e52b660faa00ef543be6be6b2139439e.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java Web反序列化网络安全漏洞分析.pdf
03-31
- 过时或不安全的组件:使用了已知存在反序列化漏洞的第三方库,如Apache Commons Collections。 - 缺乏输入验证:未对输入的序列化数据进行严格的校验,使得恶意数据能够成功反序列化。 3. **攻击场景** - 通过...
十大WEB网络黑客技术
m0_59598029的博客
03-09 757
在《依赖混淆》(https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610)这篇文章,作者揭露了影响主要软件包管理者的关键设计和配置缺陷,利用软件包名称的模糊性在众多大公司上实现了RCE,并获得了超过10万美元的奖金。 依赖混淆,即依赖关系混淆攻击,是一种新颖的软件供应链攻击。它利用的是软件可能包含多种私有和公开来源组件的事实,这些外部的软件包依赖关系源自build进程的公开仓库。当攻击者将私有模块(私有模块的名称是模糊猜测
前端安全—你必须要注意的依赖安全漏洞
Innocence_0的博客
02-15 803
前端安全—你必须要注意的依赖安全漏洞
依赖包安全漏洞扫描工具——Dependency-Check,2024年最新网络安全开发谈
m0_71744044的博客
07-06 802
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。给自学的小伙伴们的意见是坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
依赖混淆 exploit 已被滥用于攻击亚马逊等多家大厂
smellycat000的专栏
03-04 391
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队研究人员发现恶意程序包正在被用于攻击亚马逊、Lyft、Slack 和 Zillow 等企业的 npm 代码公开库,提取敏感信息...
JAVA上百实例源码以及开源项目源代码
12-11
在有状态SessionBean,用累加器,以对话状态存储起来,创建EJB对象,并将当前的计数器初始化,调用每一个EJB对象的count()方法,保证Bean正常被激活和钝化,EJB对象是用完毕,从内存清除…… Java Socket 聊天...
混乱的 Java 日志体系 - ImportNew1
08-03
- 如果项目已经存在其他日志框架,考虑使用SLF4J进行桥接。 #### 4. 实例化日志记录器及配置 - **实例化日志记录器**: - 通过SLF4J API,可以轻松创建日志记录器实例: ```java import org.slf4j.Logger; ...
java源码加密-EncryptionApp:桌面应用程序的源代码(用Java编写),允许您输入消息和键(密码)。该邮件将被加密,并且该邮件可
05-19
在实际项目,我们需要正确管理和配置这些依赖,例如通过Maven或Gradle构建工具。 5. **安全编码实践**:在处理加密和解密时,必须遵循良好的安全编码规范,避免常见的安全漏洞,如SQL注入、跨站脚本攻击等。使用...
padding oracle攻击浅谈
11-26
实际上,Padding Oracle攻击是一种普遍存在的安全漏洞,不仅限于ASP.NET,还包括CAPTCHA、Ruby on Rails、Apache MyFaces、Sun Mojarra、JavaServerFaces等其他多种系统和框架都可能受到影响。甚至OWASP提供的企业级...
Apache SeaTunnel Zeta 引擎源码解析(二) Client端的任务提交流程
weixin_54625990的博客
09-11 541
大家好,我是刘乃杰,一名大数据开发工程师,参与Apache SeaTunnel的开发也有一年多的时间了,不仅给SeaTunnel提交了一些PR,而且添加的一些功能也非常有意思,欢迎大家来找我交流,其包括支持Avro格式文件,SQL Transform支持嵌套结构查询,给节点添加Tag达到资源隔离等。接之前的文章:下面我们会再从一个简单的任务开始, 从客户端看下任务的提交流程。
Apache POI用法
qq_57828911的博客
09-10 477
Apache POI是用Java编写的免费开源的跨平台的Java API,Apache POI提供API给Java程序对Microsoft Office格式档案读和写的功能,其使用最多的就是使用POI操作Excel文件。XSSF - 提供读写Microsoft Excel OOXML XLSX格式档案的功能。HSSF - 提供读写Microsoft Excel XLS格式档案的功能。HWPF - 提供读写Microsoft Word DOC格式档案的功能。
Web 基础——Apache
2401_86367135的博客
09-10 540
=就答题情况而言,第一问100%都可以回答正确,第二问大概只有50%正确率,第三问能回答正确的就不多了,第四问再正确就非常非常少了。其实此题并没有太多刁钻匪夷所思的用法,都是一些可能会遇到的场景,而大多数人但凡有1年到2年的工作经验都应该完全正确才对。只能说有一些人太急躁太轻视了,希望大家通过此文了解js一些特性。并祝愿大家在新的一年找工作面试胆大心细,发挥出最好的水平,找到一份理想的工作。
Apache SeaTunnel Committer专访刘乃杰 | 用开源推动数据同步工具的创新
weixin_54625990的博客
09-11 517
姓名:刘乃杰GitHub ID:liunaijie擅长领域:大数据处理与数据同步,深入研究数据同步平台已有几年时间。兴趣爱好:热爱编程与技术分享,闲暇时喜欢阅读与户外运动。作为一名在大数据领域不断探索的技术专家,刘乃杰不仅在公司内部推动了数据同步项目的实施,也在Apache SeaTunnel开源社区贡献了宝贵的代码与经验。
【安全漏洞Apache Tomcat 高危漏洞版本
weixin_43652507的博客
09-11 709
Apache Tomcat 高危漏洞版本
部署Apache网站
qq_45496140的博客
09-06 783
3.调整apache服务器主文件的配置,在该文件我们要进行Listen#ServerName#DocumentRoot的配置。这个页面出来了,说明lamp的大环境是没错的,已经搭出来了。2.创建文件编写php网页代码。
APACHE-ATLAS-2.1.0 - 基础运维
记录并分享
09-10 512
(一)SOLR相关 1. 如何创建/删除集合? # 1. 删除 solr/bin/solr delete -c vertex_index solr/bin/solr delete -c edge_index solr/bin/solr delete -c fulltext_index # 2. 创建 solr/bin/solr create -c vertex_index -force -d conf/solr/ solr/bin/solr create -c edge_index -force -d c
点餐|基于java的电子点餐系统小程序(源码+数据库+文档)
伟庭的博客
09-11 743
电子点餐系统采用了微信开发者工具,基于java开发了电子点餐系统小程序 ,为用户提供一个基于电子点餐系统,同时方便管理员。管理员服务端;首页、个人心、餐品分类管理、特色餐品管理、订单信息管理、用户管理、特价餐品管理、活动订单管理、系统管理。用户客户端;首页、特色餐品、特价餐品、我的(特色餐品、订单信息、特价餐品、活动订单)等详细情况进行操作。该系统满足了用户对电子点餐系统信息获取的需求,并且信息可以及时、准确、有效地进行查看并且系统化、标准化和有效的工作。点餐系统 java 小程序。
医院管理|基于java的医院管理系统小程序(源码+数据库+文档)
最新发布
伟庭的博客
09-11 1006
医院管理系统小程序的方案,医院管理系统小程序管理员功能有个人心,用户管理,医生管理,排班信息管理,医生信息管理,科室信息管理,科室预约管理,病历信息管理,体检报告管理,系统管理等。医生可以进行管理,排班,处理预约信息,体检信息,病历信息等。用户可以注册登录,进行预约等。使得医院管理系统小程序管理工作系统化、规范化。医院管理系统小程序 java 医院管理系统 医院管理。
Apache SeaTunnel基础介绍
hello.reader
09-06 729
Apache SeaTunnel(最初名为Waterdrop)是一个开源的分布式数据集成平台,专为大规模数据处理设计。SeaTunnel可以从多种数据源读取数据,进行实时流式处理或批处理,然后将处理后的数据存储到目标系统。SeaTunnel的设计宗旨是简化复杂的数据集成过程,并提供一种灵活且高效的方式来处理大数据。SeaTunnel的开发始于应对实际生产环境大规模数据处理的挑战。如今,它已成为一个稳定且功能丰富的工具,被广泛应用于数据采集、数据清洗、数据转换和数据存储等领域。
Zelix KlassMaster混淆web项目依赖步骤与配置详解
以下是针对Web项目依赖Zelix KlassMaster混淆的具体步骤和配置: 1. **准备工作**: - 首先,确保项目已清除旧的编译信息,通过命令行输入 `project --clean` 清理项目。 2. **时间调整**: - 将本机系统时间改为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值