В менеджере пакетов Composer обнаружена уязвимость, позволяющая внедрить бэкдор

Пт 30 Апрель 2021 11:57

Разработчики Composer, менеджера пакетов для PHP, выпустили обновление, устраняющее опасную уязвимость в исходном коде, предоставлявшую возможность выполнить произвольные команды и внедрить «бэкдор в каждый PHP пакет».

Проблема была обнаружена специалистами нидерландской ИБ-компании SonarSource 22 апреля нынешнего года. Спустя менее 12 часов после получения сообщения об уязвимости команда Composer выпустила хотфикс. По словам разработчиков, на данный момент нет свидетельств эксплуатации уязвимости в реальных атаках.

Как пояснили специалисты SonarSource, проблема связана с обработкой URL загрузки пакетов, что может позволить злоумышленнику удаленно внедрить команды. Воспользовавшись уязвимостью, экспертам удалось выполнить произвольные системные команды на сервере библиотеки Packagist.org.

«Уязвимость в столь центральном компоненте, обслуживающем более чем 100 млн запросов пакетов метаданных в месяц, имеет огромное влияние, поскольку может использоваться для кражи учетных данных разработчиков или для переадресации загрузок на сторонние серверы, доставляющие зависимости с бэкдором», - отметили специалисты SonarSource.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 133 дня 9 часов 32 минуты 42 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.