php包装管理器中的供应链缺陷未被发现15年|每日swbeplay2018官网ig

通过加密缺陷和虫子在过时的依赖性中，梨已经成熟用于剥削

PHP包装经理中的严重供应链缺陷梨未发现15年

更新攻击者可能会通过利用一对长期来对PHP生态系统造成严重破坏漏洞据安全研究人员称，直到最近才在Package Manager Pear中进行修补。

瑞士安全公司Sonarsource的一名脆弱性研究人员Thomas Chauchefoin透露，梨开发人员的帐户被密码重置功能上的弱熵弱熵引起的缺陷造成恶意接管的风险。博客文章。

然后，攻击者可以通过滥用捆绑依赖性的过时版本滥用单独的漏洞来确保对中央梨服务器的持续访问。

这些缺陷未发现超过15年。Chauchefoin告诉每日swbeplay2018官网ig鉴于“梨存储库的妥协将允许攻击者劫持任何托管在平台上的任何包裹”并发布恶意发行版，因此研究人员而不是攻击者发现缺陷是“幸运的逃生”。

Sonarsource已发表了视频解释了两种占有的攻击情况。

在竞争对手PHP包装经理作曲家的主导地位的统治中，梨已经失利了。披露了类似的严重脆弱性去年。

但是，梨仍被广泛使用，net_smtp和邮件软件包仅通过PHP安装程序每月下载100,000个。

这供应链漏洞Chauchefoin表示：“本可以很容易被威胁参与者识别和利用，只有最低限度的技术专长，从而在世界范围内造成重要的破坏和安全漏洞。”

梨的密码重置功能使用mt_rand（）即使该技术已过时，也会产生随机值不合适用于生成密码固定的值。

一旦值连接并与MD5（），“最终值仅基于两个未知数，这是mt_rand（）和时间（）” Chauchefoin说。

“第一个不能产生许多值（10），并且第二个值可以由攻击者轻松近似。此外，Pear.php.net的HTTP服务器还为其响应添加了一个日期标题，将其缩小到只有几个值（<5）。”

研究人员得出的结论是，攻击者可以在50次尝试中获得有效的密码重置令牌。

另一个错误为继续攻击提供了后门，即使第一个错误已修复。Chauchefoin说：“这也可以通过修改访问日志来帮助他们隐藏自己的曲目。”

出现了缺陷，因为Pearweb将版本1.4.7的版本beplay体育能用吗Archive_tar，这很容易受到伤害CVE-2020-36193，一个目录遍历可能导致梨上远程代码执行（RCE）的问题。

Sonarsource在2021年7月30日警告梨维护者有关虫子的信息。

他们在3月13日发布的PearWeb版本1.32版beplay体育能用吗中进行了修补，所有以前的版本都受到影响。

但是，Chauchefoin建议Pear用户“考虑迁移到作曲家，其中贡献者社区更加活跃并且可以使用相同的包裹”。

Chauchefoin说，针对梨和类似开发人员工具的软件供应链攻击具有特别重大的影响，因为开发人员通常在部署到生产服务器之前将其运行到计算机上，“为攻击者创造机会，使攻击者转移到公司内部网络中”。

多年来，梨缺陷的持久性突出了资源良好的公司如何依赖包装管理人员的工作方式不足以确保它们。研究人员解释说：“包裹经理的后端服务仅受到安全贡献者的关注，而他们是每种语言生态系统的核心组成部分。”

引用在作曲家中发现的可比缺陷，可可录Chauchefoin和Rubygems警告说：“将再次发现类似的漏洞，因此，通过消除我们对后端服务的信任来减少其影响非常重要；类似的倡议SIGSTORE是一个很好的答案，我们应该推动他们的收养。”

本文于4月5日更新了Sonarsource的其他评论。

php包装管理器中的供应链缺陷未被发现15年