2023攻防演练必修开源组件漏洞合集 admin 102360文章 87评论 2023年8月10日21:18:13评论102 views字数 10531阅读35分6秒阅读模式 前言 近年来,随着互联网技术的不断发展,网络安全问题也日益凸显。攻击者们利用各种手段对网络系统进行攻击,开源软件的漏洞已经深深影响了应用系统的安全性,历史的高风险漏洞及大量的0day漏洞,往往可能会导致攻击者突破企业的防御体系。 攻防演练已盛大开启,软安科技梳理了历史常见及近期爆发的开源漏洞共计20个,旨在帮助广大企业更好地了解开源组件漏洞,排查企业中当前使用的开源软件的潜在风险,实现快速响应,进行针对性的修复,提高网络系统的安全性。 软安SCA已支持以下漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 漏洞汇总概览 图1:漏洞汇总概览 自查高风险漏洞详情 1. nginxWebUI 远程命令执行漏洞 漏洞描述 nginxWebUI 是一款图形化管理 nginx 配置的工具,可以使用网页来快速配置 nginx 的各项功能,包括 http 协议转发、tcp 协议转发、反向代理、负载均衡、静态 html 服务器、ssl 证书自动申请、续签、配置等。配置好后可一键生成 nginx.conf 文件,同时可控制 nginx 使用此文件进行启动与重载,完成对 ng inx 的图形化控制闭环。 nginxWebUI 存在未授权远程命令执行漏洞,攻击者可以直接在服务器上执行任意命令,甚至接管服务器。 披露时间 2023 年 6 月 28 日 影响版本 nginxWebUI <= 3.4.6 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: nginxWebUI > 3.4.6 官方下载链接: https://github.com/cym1102/nginxWebUI/releases 2. Openfire 身份认证绕过(CVE-2023-32315) 漏洞描述 Openfire是一个基于开源Apache许可证的XMPP服务器。Openfire的管理控制台是一个基于HTTP协议的Web应用程序,被发现可以使用路径遍历的方式绕过权限校验。 成功利用漏洞后,未经身份验证的用户可以访问 Openfire 管理控制台中的需要认证的页面。同时由于Openfire管理控制台的后台提供了安装插件的功能,所以攻击者可以通过安装恶意插件达成远程代码执行的效果。 披露时间 2023 年 6 月 28 日 影响版本 3.10.0 <= Openfire < 4.6.8 4.7.0 <= Openfire < 4.7.5 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: Openfire >= 4.6.8 Openfire >= 4.7.5 官方下载链接: https://github.com/igniterealtime/Openfire/releases 3.Nacos 反序列化漏洞(CNVD-2023-45001) 漏洞描述 Nacos是Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现,配置管理和服务管理平台。 Nacos Jraft Hessian存在反序列漏洞,攻击者可利用该漏洞远程执行代码。 披露时间 2023 年 6 月 8 日 影响版本 1.4.0 <= Nacos < 1.4.6 2.0.0 <= Nacos < 2.2.3 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: Nacos >= 1.4.6 Nacos >= 2.2.3 官方下载链接: https://github.com/alibaba/nacos/releases 4. GitLab 路径遍历漏洞(CVE-2023-2825) 漏洞描述 在GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的web服务。 在GitLab CE/EE 中存在一个仅影响6.0.0版本的问题。当嵌套在至少五个组中的公共项目中存在附件时,未经身份验证的恶意用户可以使用路径遍历漏洞读取服务器上的任意文件。 披露时间 2023 年 5 月 29 日 影响版本 GitLab CE 16.0.0 GitLab EE 16.0.0 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: GitLab CE 16.0.1 GitLab EE 16.0.1 官方下载地址: https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/ 5. ApacheRocketMQ命令注入漏洞(CVE-2023-33246) 漏洞描述 RocketMQ出自 阿里公司的开源产品,用 Java 语言实现,在设计时参考了 Kafka,并做出了自己的一些改进。RocketMQ在阿里集团被广泛应用在订单,交易,充值,流计算,消息推送,日志流式处理,binglog分发等场景。后捐赠给Apache软件基金会。 对于RocketMQ 5.1.0及以下版本,在特定条件下存在远程命令执行的风险。RocketMQ的多个组件,包括NameServer、Broker和Controller,在外网上泄露并缺乏权限验证,攻击者可以利用更新配置功能执行命令,以系统用户的身份运行RocketMQ。此外,攻击者还可以通过伪造RocketMQ协议内容实现相同的效果。 披露时间 2023 年 5 月 24 日 影响版本 Apache RocketMQ 5.x<5.1.1 Apache RocketMQ 4.x<4.9.6 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: Apache RocketMQ 5.x >= 5.1.1 Apache RocketMQ 4.x >= 4.9.6 官方下载下载链接: https://rocketmq.apache.org/download/ 6. Grafana JWT 泄露漏洞(CVE-2023-1387) 漏洞描述 Grafana 是一个监控仪表系统,它是由 Grafana Labs 公司开源的的一个系统监测 (System Monitoring) 工具。它可以简化监控的复杂度,使用者只需要提供需要监控的数据,Grafana就可以帮助使用者生成各种可视化仪表。 从9.1分支开始,Grafana引入了在URL查询参数auth_token中搜索JWT并将其用作身份验证令牌的功能。通过启用“url_login”配置选项(默认情况下禁用),JWT可能会被发送到数据源。如果攻击者可以访问数据源,则泄漏的令牌可以用于对Grafana进行身份验证。 披露时间 2023 年 4 月 26 日 影响版本 9.1.0<=Grafana<9.2.17 9.3.0<=Grafana<9.3.13 9.4.0<=Grafana<9.4.9 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: Grafana >= 9.2.17 Grafana >= 9.3.13 Grafana >= 9.4.9 官方下载链接: https://github.com/grafana/grafana/releases 7. ApacheSuperset会话认证漏洞(CVE-2023-27524) 漏洞描述 Apache Superset 是一个开源的数据探索和可视化平台。 Apache Superset版本2.0.1及以下存在Session Validation攻击。如果安装过程中没有按照安装说明更改默认配置的SECRET_KEY,则允许攻击者进行身份验证并访问未授权的资源。这不会影响已更改SECRET_KEY配置的Superset管理员。 披露时间 2023 年 4 月 24 日 影响版本 Apache Superset <= 2.0.1 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: Apache Superset > 2.1.0 官方下载链接: https://superset.apache.org/docs/installation/installing-superset-using-docker-compose 缓解措施 1.创建一个文件 superset_config.py,并将其添加到 PYTHONPATH 中。 2.在该文件中,设置一个强随机字符串作为 SECRET_KEY 的值,例如 SEC RET_KEY = 'YOUR_OWN_RANDOM_GENERATED_SECRET_KEY'。可以使用 openss l rand -base64 42 命令生成一个强随机字符串。 3.重启 Superset 服务,使配置生效。 8. Apache Druid 远程代码执行漏洞(CVE-2023-25194) 漏洞描述 Apache Druid 是一款分布式实时列存储系统,用于快速分析大规模数据集。 Apache Druid 存在远程代码执行漏洞,Apache Druid 受到 Apache Kafka Connect远程代码执行漏洞(CVE-2023-25194)的影响,攻击者可以利用 CVE-2023-25194 使其进行 RCE 利用。 披露时间 2023 年 4 月 19 日 影响版本 Apache Druid <= 25.0.0 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 Druid 开启认证,参考链接: https://druid.apache.org/docs/latest/development/extensions-core/druid-basic-security.html 9. Apache Solr远程代码执行漏洞(CNVD-2023-27598) 漏洞描述 Apache Solr是一个用于创建搜索应用程序的开源搜索平台,使用Java编写,主要基于 HTTP 和 Apache Lucene 实现。Apache Solr也可以和Hadoop一起使用,Solr可帮助我们从Hadoop存储的庞大的数据种中找到所需的信息。不仅搜索,Solr也可以用于存储目的。 Apache Solr 默认配置下存在服务端请求伪造漏洞(SSRF),当SolrCloud启动且可出网时,远程攻击者可利用此漏洞在目标系统上执行任意代码。 披露时间 2023 年 4 月 17 日 影响版本 8.10.0 <= Apache Solr < 9.2.0 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: Apache Solr >= 9.2.0 Apache Solr < 8.10.0 官方下载链接: https://github.com/apache/solr/tags 缓解措施 1.设置 Solrcloud 模式机器进行不出网限制 2.添加身份验证,不允许未授权使用 Solr 功能 10. MinIO 信息泄露(CVE-2023-28432) 漏洞描述 Minio是一个多云对象存储框架。在从RELEASE.2019-12-17T23-16-33Z开始到RELEASE.2023-03-20T20-16-18Z之前的集群部署中,MinIO返回所有环境变量,包括 “MINIO_SECRET_KEY” 和 “MINIO_ROOT_PASSWORD”等重要敏感信息,从而导致信息泄露。分布式部署的所有用户都会受到影响。建议所有用户升级到RELEASE.2023-03-20T20-16-18Z。 披露时间 2023 年 3 月 22 日 影响版本 RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: MinIO >= RELEASE.2023-03-20T20-16-18Z 官方下载链接: https://github.com/minio/minio/tags 11. Apache Dubbo 反序列化漏洞(CVE-2023-23638) 漏洞描述 Apache Dubbo通用调用时存在反序列化漏洞,这可能导致恶意代码执行。此问题影响Apache Dubbo 2.7.x版本2.7.21和先前版本; Apache Dubbo 3.0.x版本3.0.13和先前版本; Apache Dubbo 3.1.x版本3.1.5和先前版本。 披露时间 2023 年 3 月 8 日 影响版本 2.7.0 <= Apache Dubbo <= 2.7.21 3.0.0 <= Apache Dubbo <= 3.0.13 3.1.0 <= Apache Dubbo <= 3.1.5 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: Apache Dubbo >= 2.7.22 Apache Dubbo >= 3.0.14 Apache Dubbo >= 3.1.6 官方下载链接: https://github.com/apache/dubbo/releases 12. Apache HTTP Server HTTP请求走私漏洞(CVE-2023-25690) 漏洞描述 Apache HTTP服务器版本2.4.0至2.4.55中的一些mod_proxy配置存在HTTP请求走私攻击的风险。当启用mod_proxy并使用某种形式的RewriteRule或ProxyPassMatch时,会影响配置,其中非特定模式匹配用户提供的请求目标(URL)数据的某些部分,然后使用变量替换重新插入到代理请求目标中。例如,类似以下内容的东西: RewriteEngine on RewriteRule ^/here/(.*) http://example.com:8080/elsewhere?$1; [P] ProxyPassReverse /here/ http://example.com:8080/ 请求拆分/走私可能导致绕过代理服务器中的访问控制,将意外的URL代理到现有的源服务器,并污染缓存。建议用户更新至至少Apache HTTP服务器2.4.56版本。 披露时间 2023 年 3 月 7 日 影响版本 2.4.0 <= Apache HTTP Server <= 2.4.55 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: Apache HTTP Server >= 2.4.56 官方下载链接: https://httpd.apache.org/download.cgi 13.Apache Kafka 代码问题漏洞(CVE-2023-25194) 漏洞描述 在Apache Kafka Connect中发现了一个可能的安全漏洞。这需要攻击者能够访问Kafka Connect worker,并能够使用任意Kafka客户端SASL JAAS配置和基于SASL的安全协议在其上创建/修改连接器,这在自Apache Kafka 2.3.0以来在Kafka Connect集群上已经实现。 通过Kafka Connect REST API配置连接器时,经过身份验证的操作员可以将任何连接器的Kafka客户端的 sasl.jaas.config 属性设置为 “com.sun.security.auth.module.JndiLoginModule”,这可以通过 producer.override.sasl.jaas.config 来完成,consumer.override.sasl.jaas.config 或 admin.override.sasl.jaas.config 属性。这将允许服务器连接到攻击者的LDAP服务器并反序列化LDAP响应,攻击者可以使用该响应在Kafka Connect服务器上执行Java反序列化Gadgets。当类路径中存在Gadgets时,攻击者可以不受限制的反序列化不受信任的数据从而导致RCE。 自Apache Kafka 3.0.0起,允许用户在连接器配置中指定这些属性,用于运行开箱即用的Kafka Connect集群。在Apache Kafka 3.0.0之前,除非使用允许它们的连接器客户端覆盖策略重新配置了Kafka Connect群集,否则用户不能指定这些属性。自Apache Kafka 3.4.0以来,Apache Kafka添加了一个新的系统属性 (“-Dorg.apache.kafka.disallowed.login.mo dules”) 来禁用SASL JAAS配置中有问题的登录模块使用。同样默认情况下,“com.sun.security.auth.mo dule.JndiLoginModule” 在Apache Kafka 3.4.0中被禁用,同时建议Kafka Connect用户验证连接器配置,并且仅允许受信任的JNDI配置。还要检查易受攻击版本的连接器依赖性,并升级其连接器,升级该特定依赖性或删除连接器作为补救选项。最后,除了利用 “org.apache.kafka.disallowed.login.mo dules” 系统属性之外,Kafka Connect用户还可以实现自己的connector client config覆盖策略,该策略可以控制哪些Kafka客户端属性可以直接在connector config中覆盖,哪些不能。 披露时间 2023 年 2 月 7 日 影响版本 Apache Kafka 2.3.0 - 3.3.2 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: Apache Kafka >= 3.4.0 官方下载链接: https://kafka.apache.org/downloads 14. 禅道研发项目管理系统命令注入漏洞 漏洞描述 禅道研发项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管 理、任务管理、bug 管理、缺陷管理、用例管理、计划发布等功能,实现了软件的完整 生命周期管理。 禅道研发项目管理软件存在命令注入漏洞。攻击者可以利用该漏洞来执行任意命令,写入后门,从而入侵服务器,获取服务器 权限,直接导致服务器沦陷。 披露时间 2023 年 1 月 6 日 影响版本 17.4 <= 禅道研发项目管理软件 <= 18.0.beta1 (开源版) 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: 禅道研发项目管理软件 > 18.0.beta1 (开源版) 15. Linux DirtyPipe 权限提升漏洞(CVE-2022-0847) 漏洞描述 Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。 Linux kernel 存在安全漏洞,该漏洞源于新管道缓冲区结构的“flag”变量在 Linux 内核中的 copy_page_to_iter_pipe 和 push_pipe 函数中缺乏正确初始化。非特权本地用户利用该漏洞可以提升权限至root。以下产品和版本受到影响:Linux Kernel 5.8-5.16.11、5.8-5.15.25、5.8-5.10.102。 披露时间 2022 年 3 月 7 日 影响版本 Linux Kernel 5.8-5.16.11、5.8-5.15.25、5.8-5.10.102 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: Linux Kernel >= 5.16.11 Linux Kernel >= 5.15.25 Linux Kernel >= 5.10.102 16. Apache CouchDB 访问控制错误漏洞(CVE-2022-24706) 漏洞描述 Apache CouchDB是美国阿帕奇(Apache)基金会使用Erlang开发的一套面向文档的数据库系统。 Apache CouchDB 3.2.2 之前存在访问控制错误漏洞,该漏洞源于攻击者可以在不进行身份验证的情况下访问不正确的默认安装并获得管理员权限。 披露时间 2022 年 4 月 26 日 影响版本 Apache CouchDB <3.2.2 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: Apache CouchDB>= 3.2.2 官方下载链接: https://github.com/apache/couchdb/tags 17.Fastjson 1.2.8 反序列化漏洞(CVE-2022-25845) 漏洞描述 Fastjson是一款基于Java的快速JSON解析器/生成器。 Fastjson 1.2.83 之前版本存在安全漏洞,该漏洞源于默认关闭的autoType 关闭限制被绕过从而导致攻击者可以任意反序列化不受信任的数据。攻击者利用该漏洞可以进行远程代码执行。 披露时间 2022 年 6 月 10 日 影响版本 FastJson< 1.2.83 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: FastJson >= 1.2.83 官方下载链接: https://github.com/alibaba/fastjson2/releases 18. ApacheLog4j2远程代码执行漏洞(CVE-2021-44228) 漏洞描述 Apache Log4j 是一个基于 Java 的日志记录组件。Apache Log4j2 是 Log4j 的升级版本,通过重写 Log4j 引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。 2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。 披露时间 2021 年 12 月 10 日 影响版本 Apache Log4j 2.x <= 2.14.1 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: log4j >= 2.15.0-rc1 官方下载链接: https://github.com/apache/logging-log4j2/tags 缓解措施 1.添加 jvm 启动参数-Dlog4j2.formatMsgNoLookups=true 2.在应用 classpath 下添加 log4j2.component.properties 配置文件,文件内容为 log4j2.formatMsgNoLookups=true; 3.JDK 使用 11.0.1、8u191、7u201、6u211 及以上的高版本; 4.部署使用第三方防火墙产品进行安全防护。 19. Apache Commons Text远程代码执行漏洞(CVE-2022-42889) 漏洞描述 Apache Commons Text 项目实现了一系列关于文本字符串的算法,专注于处理字符串和文本块。10月13日,Apache发布安全公告,修复了Apache Commons Text中的一个远程代码执行漏洞(CVE-2022-42889)。 Apache Commons Text v1.5到v1.9版本中,在进行DNS、JS脚本和 URL 查找期间执行的字符串替换时可能导致任意代码执行。 披露时间 2022 年 10 月 13 日 影响版本 1.5 <= Apache Commons Text < 1.10.0 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: Apache Commons Text >= 1.10.0 官方下载链接: https://github.com/apache/commons-text/tags 20. Spring Framework 安全绕过漏洞(CVE-2023-20860) 漏洞描述 Spring Security 是一套为基于Spring的应用程序提供说明性安全保护的安全框架。 在受影响版本中,当Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式时,在Spring Security 和 Spring MVC 之间会发生模式不匹配,最终可能导致身份认证绕过。 披露时间 2023 年 3 月 27 日 影响版本 5.3.0 <= Spring Framework < 5.3.26 6.0.0 <= Spring Framework < 6.0.7 扫描检测 软安SCA已支持该漏洞的扫描检测,如有检测需求或其他疑问可联系电话:400-857-0808。 修复方案 建议该产品的用户尽快升级更新到安全版本: Spring Framework >= 5.3.26 Spring Framework >= 6.0.7 官方下载链接: https://github.com/spring-projects/spring-framework/releases 本文来自 软安科技 公众号 回复攻防演练必修漏洞下载完整版报告 原文始发于微信公众号(数世咨询):2023攻防演练必修开源组件漏洞合集 点赞 http://cn-sec.com/archives/1946987.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论