免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 GitHub npm多个安全漏洞
一、漏洞描述:
npm是 Node.js 的包管理工具,用来安装各种 Node.js 的扩展,后被GitHub收购。
GitHub本次公开披露的两个漏洞是近两个月在npm中发现的,第一个漏洞为信息泄露漏洞,第二个漏洞为授权漏洞,详情如下:
npm信息泄露漏洞
该漏洞是npmjs的复制服务器上的数据泄漏,这是由 "日常维护 "造成的,导致暴露了私有npm包的名称列表,但在维护窗口期间,这些包的内容并没有暴露。
当在为Replication.npmjs.com 上的公共 npm 副本提供支持的数据库进行维护期间,创建的记录可能会暴露私有包的名称,虽然私有包的内容没有暴露,但这些名称信息足以让攻击者以自动化的方式进行有针对性的依赖混淆攻击和域名抢注。
虽然目前所有包含私有包名称的记录已经从 npm 的复制数据库中删除,但replicate.npmjs.com 服务仍被第三方使用,因此第三方可能会继续保留副本或可能已将数据复制到其他地方。GitHub已经对其生成公共复制数据库的过程进行了修改,以在未来消除私人软件包名称泄露问题。
npm授权漏洞
此漏洞源于处理对npm注册表的请求的多个微服务之间不正确的授权检查和数据验证,导致授权和发布的软件包存在差异。攻击者可以在没有适当授权的情况下使用账户发布任何npm包的新版本。
GitHub表示该漏洞目前尚未被恶意利用,并且已经通过确保发布服务和授权服务的一致性来缓解这个问题,以确保授权和发布使用的是同一个软件包。
此外,流行的npm库 "ua-parser-js"、"coa "和 "rc "之前在一系列攻击中被劫持,目的是用木马和加密矿工感染开源软件消费者。据 GitHub 称,这些流行库的维护者都没有在他们的账户上启用双因素身份验证 (2FA),因此,为避免这种情况再次发生,GitHub将要求 npm 维护人员在 2022 年开始启用2FA。
二、风险等级:
高危
三、影响范围:
npm =N/A
四、修复建议:
厂商已发布升级修复漏洞,用户请尽快更新至安全版本。官方链接:
https://github.blog/2021-11-15-g ... ecosystem-security/
2 Concrete CMS多个安全漏洞
一、漏洞描述:
Fortbridge的研究人员在Concrete CMS中发现多个安全漏洞,可能会让恶意攻击者获得对底层web服务器的完全控制。他们详细介绍了两个竞态条件漏洞与uniqid()函数的不安全使用相结合如何允许具有低权限的攻击者实现远程代码执行(RCE)。研究人员表示,截至今年,已有超过62000个使用Concrete CMS构建的实时网站。研究人员
二、风险等级:
高危
三、影响范围:
Concrete CMS
四、修复建议:
建议Concrete CMS用户升级到已经可用的8.5.7版本和9.0.1版本。
3 Microsoft Windows Update Assistant安全漏洞(CVE-2021-43211)
一、漏洞描述:
Microsoft Windows Update Assistant是美国微软(Microsoft)公司的一款系统更新工具。
Microsoft Windows Update Assistant 存在安全漏洞,该漏洞源于软件对于权限处理缺少过滤和限制。攻击者可以删除系统上的目标文件,但他们不会获得查看或修改文件内容的权限。
二、风险等级:
中危
三、影响范围:
Windows Update Assistant < 1.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://msrc.microsoft.com/updat ... lity/CVE-2021-43211 |
发表于 2021-11-17 19:41