OSCS 开源安全周报第 22 期：NuGet 仓库中被发现 13.5 万个包含钓鱼地址的组件包

2022-12-19
北京
本文字数：1613 字
阅读完需：约 5 分钟

本周安全态势综述

OSCS 社区共收录安全漏洞 15 个，公开漏洞值得关注的是 Jenkins Google Login Plugin 存在开放重定向漏洞（CVE-2022-46683），Netty <4.1.86.Final 存在拒绝服务漏洞（CVE-2022-41881），Apache Atlas import 功能存在路径遍历漏洞（CVE-2022-34271），Apache Zeppelin 任意文件删除漏洞（CVE-2021-28655）。

针对 NPM 、PyPI 仓库，共监测到 25 个不同版本的 NPM 、PyPI 投毒组件，投毒组件都在尝试获取主机敏感信息；Checkmarx 和 Illustria 的研究人员发现超过 14.4 万个包含钓鱼地址的软件包，其中 13.5 万个位于 NuGet 仓库。

重要安全漏洞列表

1、Jenkins Google Login Plugin 存在开放重定向漏洞（CVE-2022-46683）

Jenkins 是一个用 Java 开发的开源自动化服务器，Google Login 是一款支持用户使用 Google 帐户登录 Jenkins 的插件。

Google Login Plugin 的受影响版本中由于成功登录后的重定向 URL 没有正确指向 Jenkins，攻击者可利用此漏洞将经过登录验证的用户的 url 重定向到恶意站点进行网络钓鱼攻击，从而获取用户 token 等敏感信息，使用用户身份执行恶意操作等。

参考链接：https://www.oscs1024.com/hd/MPS-2022-66985

2、Netty <4.1.86.Final 存在拒绝服务漏洞（CVE-2022-41881）

Netty 是一个异步事件驱动的网络应用程序框架，用于快速开发可维护的高性能协议服务器和客户端。

Netty 4.1.86.Final 之前版本中的 HaProxyMessageDecoder 模块由于未对用户传入的附加数据（TLV）的递归长度进行有效限制，当解析循环嵌套的 PP2_TYPE_SSL 类型的 TLV 数据时会由于栈的缓冲区溢出造成拒绝服务。如果 HAProxyMessageDecoder 用作 Netty ChannelPipeline 的一部分解析恶意数据会捕获 StackOverflowError 异常，如果直接解析恶意数据则会抛出 Exception 异常或服务崩溃。攻击者可通过向 netty 发送恶意 TLV 数据造成拒绝服务，用户可通过使用自定义的 HaProxyMessageDecoder 缓解此漏洞。

参考链接：https://www.oscs1024.com/hd/MPS-2022-58518

3、Apache Atlas import 功能存在路径遍历漏洞（CVE-2022-34271）

Apache Atlas 是一款元数据管理和数据治理平台。

Atlas import API 支持将 zip 文件解压缩到服务器目录的部署选项。经过 Apache Atlas 身份验证的攻击者可以利用 import 功能中的路径遍历漏洞对 Web 服务器文件系统进行写入操作。

参考链接：https://www.oscs1024.com/hd/MPS-2022-19590

4、Apache Zeppelin 任意文件删除漏洞（CVE-2021-28655）

Apache Zeppelin 是一款基于 Web 可实现交互式数据分析的 notebook 产品。

在 Apache Zeppelin 0.10.1 及以前的版本中“Move folder to Trash”功能存在路径遍历漏洞，由于未对 InterpreterSettingManager 类 remove 方法中 id 参数进行正确校验，攻击者可通过构造包含../的参数实现路径穿越，利用漏洞删除 zeppelin 相关或其他任意文件。

参考链接：https://www.oscs1024.com/hd/MPS-2021-22347

*查看漏洞详情页，支持免费检测项目中使用了哪些有缺陷的第三方组件