В менеджере пакетов Composer обнаружена уязвимость, позволяющая внедрить бэкдор

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

30 апреля 2021 года

Wikinews-logo-ru.svg

Разработчики Composer, менеджера пакетов для PHP, выпустили обновление, устраняющее опасную уязвимость в исходном коде, предоставлявшую возможность выполнить произвольные команды и внедрить «бэкдор в каждый PHP пакет».

Проблема была обнаружена специалистами нидерландской ИБ-компании SonarSource 22 апреля нынешнего года. Спустя менее 12 часов после получения сообщения об уязвимости команда Composer выпустила хотфикс. По словам разработчиков, на данный момент нет свидетельств эксплуатации уязвимости в реальных атаках.

Как пояснили специалисты SonarSource, проблема связана с обработкой URL загрузки пакетов, что может позволить злоумышленнику удаленно внедрить команды. Воспользовавшись уязвимостью, экспертам удалось выполнить произвольные системные команды на сервере библиотеки Packagist.org.

«Уязвимость в столь центральном компоненте, обслуживающем более чем 100 млн запросов пакетов метаданных в месяц, имеет огромное влияние, поскольку может использоваться для кражи учетных данных разработчиков или для переадресации загрузок на сторонние серверы, доставляющие зависимости с бэкдором», - отметили специалисты SonarSource.

 

Источники[править]

Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:В менеджере пакетов Composer обнаружена уязвимость, позволяющая внедрить бэкдор