Sun, Jan 01 2023

OSCS开源安全周报第24期：XStream 栈缓冲区溢出漏洞

本周周报重点来啦⚠️本周 OSCS 社区共收录安全漏洞 11 个，针对 NPM 、PyPI仓库，共监测到 40 个不同版本的投毒组件。……

OSCS Follow

# 本周安全态势综述

OSCS 社区共收录安全漏洞 11 个，公开漏洞值得关注的是 XStream < 1.4.20 栈缓冲区溢出漏洞（CVE-2022-41966）,Linux Kernel ksmbd模块存在任意代码执行漏洞（CVE-2022-47939）,Squid 存在整数溢出漏洞（CVE-2022-41318）,MeterSphere <2.5.0 存在 SSRF 漏洞（CVE-2022-23544）,elrond-go 存在资源转移错误漏洞（CVE-2022-46173）。

针对 NPM 、PyPI 仓库，共监测到 40 个不同版本的 NPM 、PyPI 投毒组件。

# 重要安全漏洞列表

1、Linux Kernel ksmbd模块存在任意代码执行漏洞（CVE-2022-47939）

ksmbd是Linux内核从5.15版本开始集成的模块，主要功能为在内核空间中实现 SMB3 协议。

由于在对对象执操作之前没有验证对象是否存在，导致处理 SMB2_TREE_DISCONNECT 方法时存在释放后重用漏洞，未经身份验证的攻击者可以利用漏洞此远程执行任意代码。（只有启用了ksmbd模块的Linux内核容易受到攻击）如果存在且启用了ksmbd 模块，缓解措施为禁用 ksmbd 模块。

参考链接：https://www.oscs1024.com/hd/MPS-2022-69476 (opens new window)

2、Squid 存在整数溢出漏洞（CVE-2022-41318）

Squid 是一个HTTP代理，用于提供网络缓存、流量过滤、网络代理等功能。

2.5 至 5.6 版本的 Squid 在使用 libntlmauth 库构建身份验证助手时存在整数溢出漏洞，导致 Squid SSPI 和 SMB 身份验证助手容易读取意外的内存地址。当 Squid 配置中使用 NTLM 或 libntlmauth 库构建的身份验证助手时，远程客户端可从 Squid 主机内存中提取用户明文凭据或造成 Squid 拒绝服务。用户可通过 (squid -k parse 2>&1) | grep "Processing: auth_param" 命令判断 Squid 配置中是否包含受以下身份验证助手：ntlm_smb_lm_auth、ntlm_sspi_auth、ntlm_fake_auth、negotiate_sspi_auth。

参考链接：https://www.oscs1024.com/hd/MPS-2022-57751 (opens new window)

3、XStream < 1.4.20 栈缓冲区溢出漏洞（CVE-2022-41966）

XStream 是一个轻量级的、简单易用的开源Java类库，它主要用于将对象序列化成XML（JSON）或反序列化为对象。

在1.4.20之前的版本中存在栈缓冲区溢出漏洞，从而导致通过操纵已处理的输入流来造成拒绝服务。在使用集合和映射的哈希码来实现强制递归哈希计算时，远程攻击者可以通过栈缓冲区溢出的错误来终止应用程序造成拒绝服务攻击。通过在调用应用程序中捕获 StackOverflowError，可以避免此漏洞的这种影响。

参考链接：https://www.oscs1024.com/hd/MPS-2022-58603 (opens new window)

4、MeterSphere <2.5.0 存在 SSRF 漏洞（CVE-2022-23544）

MeterSphere 是一款涵盖测试管理、界面测试、UI测试和性能测试等功能的一站式开源测试平台。

由于 IssueProxyResourceService::getMdImageByUrl 未对用户传入的 url 参数进行过滤，攻击者可通过向 /md/get/url 端点发送包含恶意 url 参数的请求访问 MeterSphere 系统内部资源，或者发送包含恶意 JavaScript 代码的 url 参数进行反射型 XSS 攻击。

参考链接：https://www.oscs1024.com/hd/MPS-2022-1971 (opens new window)

5、elrond-go 存在资源转移错误漏洞（CVE-2022-46173）

elrond-go 是用 golang 编写的 Elrond protocol 的官方实现。

elrond-go 1.3.50 之前版本在使用 smart contract 部署事务数据处理 cross-shard relayed transaction 时，如果交易发送超出所需的gas，则本应返回剩余 gas 的 smart contract 结果（SCR transaction）将被错误地添加到处理单元未考虑的缓存中，节点将停止规格化 metachain 模块。

参考链接：https://www.oscs1024.com/hd/MPS-2022-65566 (opens new window)

# 投毒风险监测

OSCS针对 NPM 、PyPI仓库监测的恶意组件数量如下所示。

本周新发现 40 个不同版本的恶意组件:

100%的投毒组件为：获取主机敏感信息（获取了主机的用户名、IP 等敏感信息发送给恶意服务器）。

# 其他资讯

1、发现 PrivateLoader PPI 服务分发信息窃取 RisePro 恶意软件。

https://thehackernews.com/2022/12/privateloader-ppi-service-found.html (opens new window)

安全周报