您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
盤點(diǎn):2020年十大開(kāi)源漏洞回顧
WhiteSource 公司基于 NVD、安全公告和開(kāi)源項(xiàng)目問(wèn)題追蹤工具等回顧了2020年出現(xiàn)的十大開(kāi)源漏洞。如下:
1、Lodash
CVE-2020-8203:CVSS 評(píng)分:7.4,高危,受影響版本:4.17.2之前版本
易受攻擊的 Lodash 版本在使用 _.zipObjectDeep 時(shí),存在一個(gè)原型污染漏洞。HackerOne 發(fā)布的原始報(bào)告指出,該漏洞可被用于在 Object.prototype 中注入屬性,從而導(dǎo)致敏感信息暴露、數(shù)據(jù)增加或修改或者拒絕服務(wù)。該報(bào)告提供了復(fù)現(xiàn)步驟:
通過(guò) lodash 的 “zipObjectDeep” 函數(shù)構(gòu)建一個(gè)對(duì)象:
Lodash 是一個(gè) JavaScript 工具庫(kù),文檔指出,Lodash 通過(guò)簡(jiǎn)化和數(shù)組、數(shù)字、對(duì)象、字符串等的工作,使得 JavaScript 更易于處理。這也是為何很多開(kāi)發(fā)人員喜歡用這個(gè)開(kāi)源庫(kù)迭代數(shù)組、對(duì)象和字符串;操縱和測(cè)試值;以及創(chuàng)建復(fù)合函數(shù)的原因所在。
2、FasterXML jackson-databind
CVE-2020-24616:CVSS評(píng)分8.1,高危,影響 2.9.10.6 之前的 2.x 版本
易受攻擊的 FasterXML Jackson-databind 錯(cuò)誤地處理了和 br.com.anteros.dbcp.AnterosDBCPDataSource (即 Anteros-DBCP)之間存在關(guān)系的序列化小工具和鍵入之間的交互。
序列化是Java 開(kāi)發(fā)人員的常見(jiàn)實(shí)踐。多年來(lái),Java 序列化框架和庫(kù)中都出現(xiàn)了很多序列化問(wèn)題。因 JSON 庫(kù)而聞名的一名開(kāi)源開(kāi)發(fā)人員 @cowtowncoder 指出,“序列化小工具”的負(fù)面作用是能夠執(zhí)行惡意操作,造成遠(yuǎn)程代碼執(zhí)行、拒絕服務(wù)或敏感數(shù)據(jù)泄露等攻擊。雖然這種 exploit 類型可能會(huì)造成實(shí)際后果,但該開(kāi)發(fā)員表示這些攻擊不易執(zhí)行且要求具備很多前提條件。
多年來(lái),得益于它翻譯流行數(shù)據(jù)交換轉(zhuǎn)換器 JSON 和 Java 的方式,jackson-databind 都是人們的最愛(ài),是開(kāi)發(fā)人員運(yùn)行 API 的必選。如果你也是 Java 開(kāi)發(fā),請(qǐng)務(wù)必保證 Jackson-databind 是最新版本。
3、HtmLUnit
CVE-2020-5529:CVSS 8.1分,高危,影響2.37.0之前的版本
易受攻擊的 HtmlUnit 中存在代碼執(zhí)行問(wèn)題。從NVD 中可看到,當(dāng) HtmlUnit 不正確地初始化 Rhino 引擎時(shí),惡意 JavaScript 代碼可在應(yīng)用程序中執(zhí)行任意 Java 代碼。當(dāng)被嵌入安卓應(yīng)用程序中時(shí),由于對(duì) Rhino 引擎的初始化未正確執(zhí)行,惡意 JavaScript 代碼可在應(yīng)用上執(zhí)行任意 Java 代碼。
從文檔可知,HtmlUnit 是 “Java 程序的 GUI-Less 瀏覽器”,同時(shí)支持 JavaScript 和 AJAX 庫(kù)。它為 HTML 文檔建模,并提供 API 供用戶調(diào)用頁(yè)面、填寫表單、單擊鏈接等。該開(kāi)源項(xiàng)目通常用于測(cè)試或從網(wǎng)站檢索信息。
4、Handlebars
CVE-2019-20920,CVSS 評(píng)分8.1,高危,影響3.0.8之前的版本以及4.5.3之前的 4.x 版本。
NPM 安全公告指出,易受攻擊的 Handlebars 中存在一個(gè)任意代碼執(zhí)行問(wèn)題。該安全公告解釋稱,該包的 lookup 助手未正確驗(yàn)證模板,使得惡意人員能夠提交在系統(tǒng)中執(zhí)行任意 JavaScript 的模板。該漏洞可用于在服務(wù)器處理 Handlebars 模板中或者在受害者瀏覽器中運(yùn)行任意代碼。該漏洞之前漏洞的修復(fù)方案不完整導(dǎo)致的。
Handlebars 是 Mustache 模板語(yǔ)言的一個(gè)擴(kuò)展,是一種“無(wú)邏輯的模板語(yǔ)言,使查看和代碼分離“更容易。目前從 npm 每周的下載超過(guò)700萬(wàn)次,它是一個(gè)極其熱門的開(kāi)源項(xiàng)目,由認(rèn)真負(fù)責(zé)的社區(qū)支持和維護(hù)。
5、http-proxy
CVE 編號(hào)尚未分配:影響1.18.1之前的版本
某些 http-proxy 版本易受拒絕服務(wù)攻擊。主體部分較長(zhǎng)的HTTP 請(qǐng)求能夠觸發(fā) ERR_HTTP_HEADERS_SENT 未被處理的異常,從而使代理服務(wù)器崩潰。只有當(dāng)代理服務(wù)器通過(guò)使用 proxyReq.setHeader 函數(shù)在代理請(qǐng)求中設(shè)置標(biāo)頭時(shí),才會(huì)發(fā)生這種情況。
Http-proxy 是一種 HTTP 可編程代理庫(kù),支持 websocket 并有助于實(shí)現(xiàn)多個(gè)組件如反向代理和負(fù)載平衡器之類的組件。它是一個(gè)非常受歡迎的開(kāi)源庫(kù),目前每周的 NPM 下載量接近1200萬(wàn),而且支持2000多個(gè)依賴。鑒于此,用戶有必要確保使用的是最新版本 1.18.1。
6、decompress
CVE-2020-12265,CVSS 評(píng)分9.8,嚴(yán)重,影響 4.2.1 以前的版本
NPM 安全公告指出,受影響的 decompress 版本易受任意文件寫入漏洞影響。惡意人員可通過(guò)包含含有 ../ 的文件名稱寫入任意文件夾,因?yàn)樵撥浖粫?huì)通過(guò)相對(duì)路徑阻止文件提取。
Decompress 是一個(gè)致力于輕松提取文檔的開(kāi)源項(xiàng)目。它說(shuō)明了相對(duì)小型項(xiàng)目中的漏洞,很多人通過(guò)它執(zhí)行簡(jiǎn)單的任務(wù),如果漏洞未得到修復(fù)可為用戶造成巨大損害。Decompress 等項(xiàng)目讓編程更容易,但雖然它們執(zhí)行的任務(wù)看似簡(jiǎn)單,但不能因此忽視對(duì)開(kāi)源漏洞的管理工作。
安全公告建議更新至版本 4.2.1 或后續(xù)版本。
7、XStream
CVE-2020-26217,CVSS評(píng)分8.8,高危,影響1.4.14之前版本
易受攻擊的 XStream 中存在一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。XStream 解釋稱,“在解組時(shí)處理的流包括重構(gòu)之前寫入對(duì)象的類型信息。因此,XStream 基于這些類型信息創(chuàng)建新的實(shí)例。攻擊者能夠操縱處理后的輸入流,并替換或注入可以執(zhí)行任意 shell 命令的對(duì)象。“
GitHub 安全公告建議依賴 XStream 的用戶將安全框架的默認(rèn)黑名單更新到 1.4.14 或后續(xù)版本。遵循建議通過(guò)白名單設(shè)置 XStream 的 Security Framework 的用戶不受影響。
XStream 是一個(gè)開(kāi)源庫(kù),執(zhí)行從 Java 到 XML 的序列化,然后再返回。文檔列出了傳輸、持久性、配置和單元測(cè)試的典型用法。由于它是許多開(kāi)源 Java Web 應(yīng)用程序所使用的非常流行的庫(kù),因此確保正在使用最新版本并遵循建議非常重要。
8、Netty
CVE-2020-11612,CVSS 評(píng)分9.8,影響 4.1.46 之前的 4.1.x 版本。
ZlibDecoders 易受攻擊的 Netty 版本在解碼 ZlibEncoded 字節(jié)流時(shí),可導(dǎo)致無(wú)限制的內(nèi)存分配。惡意人員可利用該漏洞向 Netty 服務(wù)器發(fā)送較大的 ZlibEncoded 字節(jié)流,從而迫使服務(wù)器將所有可用內(nèi)存分配給單個(gè)解碼器。
Netty 是一個(gè)異步事件驅(qū)動(dòng)的網(wǎng)絡(luò)應(yīng)用程序框架,旨在快速開(kāi)發(fā)可維護(hù)的高性能協(xié)議服務(wù)器和客戶端。該項(xiàng)目的文檔指出,此 NIO 客戶端/服務(wù)器框架有助于簡(jiǎn)化和梳理 TCP 和 UDP 套接字服務(wù)器等網(wǎng)絡(luò)編程。
9、Spring Framework
CVE-2020-5398,CVSS 評(píng)分7.5,影響版本包括:5.2.3之前的 5.2.x 版本、5.1.13 之前的 5.1.x 版本以及5.0.16之前的5.0.x版本。
在受影響的 Spring Framework 版本中,當(dāng)應(yīng)用程序在響應(yīng)(文件名稱屬性是由用戶提供的衍生輸入)中設(shè)置 “Content-Disposition” 標(biāo)頭時(shí),應(yīng)用程序易受反射型文件下載 (RFD) 攻擊的影響。
如果你正在使用 Java,很可能會(huì)遇到 Spring。它是極其流行的 Java 應(yīng)用開(kāi)發(fā)框架,得益于其模塊化和輕量的特點(diǎn),可使開(kāi)發(fā)人員輕松創(chuàng)建出強(qiáng)大的應(yīng)用程序。眾所周知,它顛覆了控制設(shè)計(jì)原理(結(jié)合了分層、輕量級(jí)容器以及可在接口上編程的能力)。
10、PyYAML
CVE-2020-1747,CVSS 評(píng)分9.8,影響 5.3.1 之前的版本。
當(dāng)不受信任的 YAML 文件通過(guò) full_load 方法或通過(guò) FullLoader 負(fù)載器處理時(shí),易受攻擊的 PyYAML 庫(kù)易受任意代碼執(zhí)行漏洞的影響。攻擊者可利用該漏洞通過(guò)濫用 python/object/new 構(gòu)建器在系統(tǒng)上濫用任意代碼。
PyYAML 是一款極其流行的針對(duì) Python 的 YAML 解析器和發(fā)射器。由于近年來(lái) Python 的熱度高居不下,因此用戶最好確保使用的是 PyYAML 的更新版本。
原文鏈接:
https://resources.whitesourcesoftware.com/blog-whitesource/top-security-open-source-vulnerabilities-2020
文章來(lái)源: 代碼衛(wèi)士