Срочно. Новая ошибка PHP Composer может привести к массовым атакам на цепочку поставок
Разработчики призывают немедленно применить патч
Администрация менеджера пакетов для PHP Composer распространили обновление для устранения критической уязвимости. Она может позволить злоумышленнику выполнять произвольные команды и «скрыть каждый пакет PHP», что приводит к атаке на цепочки поставок.Новая ошибка менеджера пакетов для PHP Composer может привести к массовым атакам на цепочку поставок. Фото: Pixabay
Проблема безопасности, получившая код CVE-2021-29472, была обнаружена 22 апреля исследователями из SonarSource. Менее чем через 12 часов было развёрнуто исправление.
Представители Composer: «Устранена уязвимость внедрения команд в HgDriver / HgDownloader, а также усилены другие драйверы и загрузчики VCS. Насколько нам известно, уязвимость не использовалась».
Composer позиционируется как инструмент для управления зависимостями в PHP, позволяющий легко устанавливать пакеты, относящиеся к проекту. Он также позволяет пользователям устанавливать приложения PHP, доступные в Packagist , репозитории, в котором собраны все общедоступные пакеты PHP, устанавливаемые с помощью Composer.
Как сообщают в SonarSource, уязвимость связана с тем, как обрабатываются URL-адреса загрузки исходных пакетов, что потенциально может привести к сценарию, при котором злоумышленник может запустить удалённые команды.
Представители SonarSource: «Уязвимость в таком центральном компоненте, обслуживающем более 100 миллионов запросов метаданных пакетов в месяц, имеет огромное влияние, поскольку этот доступ мог быть использован для кражи учётных данных обслуживающего персонала или для перенаправления загрузки пакетов на сторонние серверы».
Администрация сервиса призывает срочно применить патч, если пользователи по каким-то причинам этого ещё не сделали.
Комментариев пока не было