热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分
编译:代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
Node/Express 的热门API 服务器模块 Parse Server 中存在一个严重的远程代码执行 (RCE)漏洞(CVE-2022-24760)。该漏洞影响 parse-server NPM 包4.10.7 以下版本,用户应立即修复。
3月11日,GitHub 发布安全公告表示,该漏洞位于 MongoDB 的一个默认配置中,已确认存在于该软件的 Ubuntu 和 Windows 版本中。漏洞由安全研究员 Mikhail Shcherbakov、Cristian-Alexandru Staicu 和 Musard Balliu 发现。
该漏洞的根因在于原型污染。
当攻击者滥用 JavaScript编程语言的规则攻陷应用程序时就会发生原型污染,导致RCE、XSS、SQL 注入等攻击。
Parser Server 是一款开源的适用于运行 Node.js 的服务器和系统后端软件,可同时独立或和其它 web 应用框架如 MongoDB 和 PostgreSQL 一起运行。
研究人员指出,parse-server NPM 的函数DatabaseController.js 代码是漏洞源头。
Shcherbakov 和 Staicu 表示,由于该漏洞位于数据库函数中,因此将“可能也影响 Postgres 和其它数据库后端。” Shcherbakov指出,易受攻击的代码并非特定存在于某个数据库模块中,而且从理论上来讲,“任何数据库后端应该皆可触及。然而,利用该漏洞要求小工具获得任意代码执行和某种条件竞争,按照所要求的顺序执行该小工具。我在 MongoDB 模块中找到了该小工具和条件竞争来演示exploit。虽然我并未尝试使用其它数据库,但很可能也适用。”
虽然美国国家标准与技术研究院 (NIST) 尚未给出正式CVSS评分,不过GitHub 作为CVE漏洞编号发布机构已分配了基本分10分。
Parse Server 4.10.7 中已包含补丁。部分修复方案中包含敏感关键词扫描器,以防御原型污染攻击。
建议用户至少升级至Parse Server v4.10.7 版本。
如无法使用推荐的更新,则可修复 MongoDB Node.js 驱动并禁用 BSON 代码执行缓解该漏洞。
最新发布build 是5.0.0,它绑定了新的改进的文件上传安全控制。
目前 Parse Server 的开发人员尚未就此事做出回应。我们将持续跟进事态发展。
Linux Netfilter 防火墙模块爆新漏洞,攻击者可获取root权限
因供应商遭不明网络攻击,丰田汽车宣布停产
西门子修复因使用第三方组件引起的90多个漏洞
俄罗斯政府网站遭供应链攻击
漏洞Dirty COW:影响Linux系统以及安卓设备
第三方支付处理厂商软件有漏洞,日本美容零售商Acro 10万支付卡信息遭攻击
Linux 内核 cgroups 新漏洞可导致攻击者逃逸容器
谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍
Apache Cassandra 开源数据库软件修复高危RCE漏洞2021年软件供应链攻击数量激增300%+
热门开源CMS平台 Umbraco 中存在多个安全漏洞,可使账户遭接管
详细分析开源软件项目 Ajax.NET Professional 中的RCE 漏洞(CVE-2021-23758)
SAP 严重漏洞可导致供应链攻击
Apache PLC4X开发者向企业下最后通牒:如不提供资助将停止支持
Apache 软件基金会:顶级项目仍使用老旧软件,补丁作用被削弱
美国商务部发布软件物料清单 (SBOM) 的最小元素(上)
美国商务部发布软件物料清单 (SBOM) 的最小元素(中)
美国商务部发布软件物料清单 (SBOM) 的最小元素(下)
NIST 发布关于使用“行政令-关键软件”的安全措施指南
NIST 按行政令关于加强软件供应链安全的要求,给出“关键软件”的定义及所含11类软件SolarWinds 攻击者再次发动供应链攻击
美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了
软件供应链安全现状分析与对策建议
“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响
https://portswigger.net/daily-swig/node-js-security-parse-server-remote-code-execution-vulnerability-resolved
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。