修复十年旧供应链漏洞影响作曲家

PHP包管理器安全漏洞留下了数百万的Web应用程序才能滥用beplay体育能用吗

安全研究人员警告说软件供应链漏洞影响PHP可能会使数百万个网站面临风险。beplay体育能用吗

SonarSource的安全研究人员发现的缺陷会影响作曲家,主要用于管理和安装依赖项的主工具PHP.

作曲家本身使用包装商,用于管理PHP包请求的在线服务,这是发现缺陷的位置。

Sonarsource发现了一种允许攻击者执行的漏洞任意系统命令在Packagist服务器上。这可用于获取维护者的凭据,或重定向包请求。

“在其控件下,一个攻击者更改与包Symfony / symfony关联的URL将欺骗作曲家在下载错误的源代码中,并且在Sonarsource的Sonarsource漏洞研究员托马斯Chauchefoin,宣布托马斯Chauchefoin的攻击者的后门部署了攻击者的后门每日SWbeplay2018官网IG.

供应链攻击

根据Chauchefoin的说法,Sonarsource发现了缺陷研究软件供应链攻击并调查PHP包生态系统的组件。

索诺斯源认为缺陷已经未被发现10年,即使漏洞是在同一代码中找到2018年研究员Max Justicz。

“它的利用性非常依赖于被称为的命令,”Chauchefoin解释说。“这很容易忽略,因为用户控制的数据通常已经与其他注射漏洞正确消毒。”


阅读更多最新的开源软件安全新闻


PHP的整体普及,结合使用作曲家的PHP项目的数量,增加了风险。

PHP.在80%的网站上运行beplay体育能用吗。Sonarsource估计,三分之二的PHP项目使用Composer来管理其依赖项。

“公共包装基础架构有助于下载,但不直接托管源代码,”Chauchefoin说。

“据估计,公共包装机基础架构每月提供约1亿元的元数据请求。这些可能已经回到了我们报道的脆弱性。“

补丁发布

该缺陷现已修复,研究人员表示,使用PHP为网站带来的风险有限。

“但是,如果您将用户控制到Composer.json或使用内部API VCSrepository / VCSDriver和衍生物,则肯定应该升级到Composer 1.10.22和2.0.13,”他添加。

尽管如此,Web开发人员应beplay体育能用吗该保持警惕,jed Kafetz,笔测试负责人
在Redscan告诉每日SWbeplay2018官网IG.

“如果攻击者可以追溯到一个常见的软件包,则尝试利用工具或软件的每个进一步的应用程序都会受到影响,”他说。


受到推崇的Covid-19测试结果164,000个怀俄明州仍然在Github上暴露


“然后,攻击者可以利用这种访问导致大规模的exfiltrate数据违反或者损害底层网络,或者将其作为进一步攻击的基础,“添加了Kafetz。

“供应链妥协是攻击者采取的一条非常有利的路线。它超出了目标攻击的领域,并且可以制作重要的系统,以前安全,突然脆弱。“

可以在完整的技术细节找到Sonarsource博客文章


你可能还喜欢存储XSS漏洞在开源防火墙PFSense中修补