В менеджере пакетов Composer обнаружена уязвимость, позволяющая внедрить бэкдор

В менеджере пакетов Composer обнаружена уязвимость, позволяющая внедрить бэкдор

Alexander Antipov

Уязвимость может спровоцировать еще одну масштабную атаку на цепочку поставок.

image

Разработчики Composer, менеджера пакетов для PHP, выпустили обновление, устраняющее опасную уязвимость в исходном коде, предоставлявшую возможность выполнить произвольные команды и внедрить «бэкдор в каждый PHP пакет».

Проблема была обнаружена специалистами нидерландской ИБ-компании SonarSource 22 апреля нынешнего года. Спустя менее 12 часов после получения сообщения об уязвимости команда Composer выпустила хотфикс. По словам разработчиков, на данный момент нет свидетельств эксплуатации уязвимости в реальных атаках.

Как пояснили специалисты SonarSource, проблема связана с обработкой URL загрузки пакетов, что может позволить злоумышленнику удаленно внедрить команды. Воспользовавшись уязвимостью, экспертам удалось выполнить произвольные системные команды на сервере библиотеки Packagist.org.

«Уязвимость в столь центральном компоненте, обслуживающем более чем 100 млн запросов пакетов метаданных в месяц, имеет огромное влияние, поскольку может использоваться для кражи учетных данных разработчиков или для переадресации загрузок на сторонние серверы, доставляющие зависимости с бэкдором», — отметили специалисты SonarSource.


Розыгрыш уникальной хакерской игры и билетов на Phdays а также традиционный обзор самых жарких ИБ новостей на нашем Yotube канале.


Источник: Securitylab