关于npm:OSCS开源安全周报第9期开源组件命令执行漏洞集中爆发

本周平安态势综述

OSCS 社区共收录安全漏洞39个，公开破绽值得关注的是 Apache OFBiz <18.12.06 存在反序列化破绽（CVE-2022-29063），Apache Geode (Java8 环境) 不受信赖的反序列化破绽（CVE-2022-37021），GitLab 中 GitHub 导入 API 存在近程代码执行破绽（CVE-2022-2992）和 OpenSSL 存在命令执行破绽（CVE-2022-1292）。

针对 NPM、PyPI 仓库，共监测到 4 次投毒事件，波及 23 个不同版本的 NPM、PyPI 组件，投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

1. Apache OFBiz <18.12.06 存在反序列化破绽（CVE-2022-29063）

Apache OFBiz 是一个用 Java 编写的企业资源布局 (ERP) 零碎。

在 Apache OFBiz 的受影响版本中 Solr 插件默认配置在 localhost 端口 1099 上并主动收回 RMI 申请。

攻击者通过在 localhost 上托管歹意 RMI 服务器，在服务器启动或重启时，能够运行任意代码。

参考链接：https://www.oscs1024.com/hd/M&＃8230;

2. Apache Geode (Java8环境) 不受信赖的反序列化破绽（CVE-2022-37021）

Apache Geode 是一个数据管理平台，可在宽泛散布的云架构中提供对数据密集型应用程序的实时，统一的拜访。

Apache Geode 的破绽版本中存在不受信赖的反序列化破绽，在 Java 8上应用 JMX over RMI 时，攻击者可利用该破绽执行任意代码，甚至接管服务器。

参考链接：https://www.oscs1024.com/hd/M&＃8230;

3. GitLab 中 GitHub 导入 API 存在近程代码执行破绽（CVE-2022-2992）

GitLab 是由 GitLab 公司开发的、基于 Git 的集成软件开发平台。

GitLab 的受影响版本中存在近程代码执行破绽，此破绽与 CVE-2022-2884 类似，容许通过身份验证的用户通过从 GitHub API 端点导入来实现近程代码执行。

攻击者可利用该破绽进行近程代码执行，甚至接管服务器。

参考链接：https://www.oscs1024.com/hd/M&＃8230;

4. OpenSSL 存在命令执行破绽（CVE-2022-1292）

OpenSSL 是 Openssl 团队的一个开源的可能实现安全套接层（SSLv2/v3）和平安传输层（TLSv1）协定的通用加密库，该产品反对多种加密算法，包含对称明码、哈希算法、平安散列算法等。

OpenSSL 存在命令执行破绽，攻击者可利用该破绽执行任意命令。

参考链接：https://www.oscs1024.com/hd/M&＃8230;

*查看破绽详情页，反对收费检测我的项目中应用了哪些有缺点的第三方组件

投毒危险监测

OSCS针对 NPM 仓库监测的歹意组件数量如下所示。

本周新发现 43 个不同版本的歹意组件，其中

• 100%的投毒组件为：获取主机敏感信息（获取了主机的用户名、IP 等敏感信息发送给歹意服务器）

其余资讯

CI/CD中的代码注入破绽会影响Google、Apache的Github开源我的项目

https://www.darkreading.com/v&＃8230;

平安研究员定位到 PyPI 网络钓鱼流动参与者

https://www.darkreading.com/a&＃8230;

情报订阅

OSCS(开源软件供应链平安社区)通过最快、最全的形式，公布开源我的项目最新的平安危险动静，包含开源组件安全漏洞、事件等信息。同时提供破绽、投毒情报的收费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时取得一手情报信息推送：

https://www.oscs1024.com/?src=free

具体订阅形式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=free