修复了十年历史的供应链漏洞影响作曲家
安全研究人员警告说软件供应链漏洞影响PHP可能会使数百万个网站处于危险之中。beplay体育能用吗
Sonarsource的安全研究人员发现的缺陷影响了作曲家,作曲家是用于管理和安装依赖关系的主要工具php。
作曲家本身使用包装师,用于管理PHP软件包请求的在线服务,这是发现缺陷的地方。
Sonarsource发现了一个漏洞,使攻击者能够执行任意系统命令在Packagist服务器上。这可以用来获得维护者的凭据或重定向包请求。
“攻击者更改与软件包相关的symfony/symfony相关的URL,他们的控制权将欺骗作曲家下载错误的源代码,并且随着该攻击者在运行作曲家的服务器上部署攻击者的后门,” Sonarsource在Sonarsourability thomas chauchefoin上告诉每日swbeplay2018官网ig。
供应链攻击
根据Chauchefoin的说法,Sonarsource在研究软件供应链攻击并研究了PHP包生态系统的组件。
Sonarsource认为,即使脆弱性是在相同的代码中找到研究员Max Justicz于2018年。
Chauchefoin解释说:“它的可利用性非常依赖于所谓的命令。”“这很容易忽略,因为通常已经针对其他注射漏洞正确对用户控制的数据进行了正确消毒。”
PHP的总体受欢迎程度以及使用作曲家的PHP项目数量增加了风险。
php在80%的网站上运行beplay体育能用吗。Sonarsource估计,三分之二的PHP项目使用作曲家来管理其依赖性。
Chauchefoin说:“公共Packagist基础架构有助于下载,但没有直接托管源代码。”
“据估计,公共Packagist基础设施每月提供约1亿个元数据请求。这些可能是我们报道的脆弱性的后久。”
补丁发布
现在的缺陷已经固定,研究人员说,使用PHP对网站构成的风险有限。
他补充说:“但是,如果您将用户控制到Composer.json或使用内部APIS VCSREPOSITOR / VCSDRIVER和衍生产品,则绝对应该升级到Composer 1.10.22和2.0.13。”
尽管如此,网络开发人员应该beplay体育能用吗保持警惕,笔测试负责人杰德·卡菲兹(Jed Kafetz)
在Redscan告诉每日swbeplay2018官网ig。
他说:“如果攻击者能够重新放置通用软件包,则将影响每个尝试使用该工具或软件的其他应用程序。”
受到推崇的COVID-19的164,000个怀俄明州居民的测试结果错误地暴露在GitHub上
“然后,攻击者可以利用此访问来渗透数据,从而导致大规模违反,或妥协基础网络,或者将其用作进一步攻击的基础。”
“供应链妥协是攻击者采取的一条非常有利的路线。它超越了目标攻击的领域,可以制造出大量以前安全的系统,突然变得脆弱。”
完整的技术细节可以在Sonarsource博客文章。
你可能还喜欢存储在开源防火墙pfsense中修补的XSS漏洞
