Ein neuer PHP-Composer-Bug könnte weit verbreitete Supply-Chain-Angriffe ermöglichen

Cyber Security News

Die Betreuer von Composer, einem Paketmanager für PHP, haben ein Update zur Verfügung gestellt, um eine kritische Schwachstelle zu beheben, die es einem Angreifer erlaubt hätte, beliebige Befehle auszuführen und “jedes PHP-Paket durch die Hintertür” zu öffnen, was zu einem Supply-Chain-Angriff geführt hätte.

Die Sicherheitslücke mit der Bezeichnung CVE-2021-29472 wurde am 22. April von Forschern von SonarSource entdeckt und gemeldet, woraufhin weniger als 12 Stunden später ein Hotfix bereitgestellt wurde.

“Die Command-Injection-Schwachstelle in HgDriver/HgDownloader wurde behoben und andere VCS-Treiber und Downloader wurden gehärtet”, heißt es in den Release Notes von Composer für die am Mittwoch veröffentlichten Versionen 2.0.13 und 1.10.22. “Nach unserem besten Wissen wurde die Schwachstelle nicht ausgenutzt.”

[Blocked Image: https://thehackernews.com/images/-va9G8j8L8t0/YHc_zcfiuFI/AAAAAAAA3ws/2KY886mKSJkGD0dDrseOimw0dTJfitfmwCLcBGAsYHQ/s300-e100/thn-300-6.png]

Composer wird als Werkzeug für das Abhängigkeitsmanagement in PHP angepriesen, das die einfache Installation von Paketen ermöglicht, die für ein Projekt relevant sind. Es erlaubt Benutzern auch, PHP-Anwendungen zu installieren, die auf Packagist verfügbar sind, einem Repository, das alle öffentlichen PHP-Pakete zusammenfasst, die mit Composer installiert werden können.

Laut SonarSource rührt die Schwachstelle von der Art und Weise her, wie Download-URLs von Paketquellen gehandhabt werden, was möglicherweise zu einem Szenario führt, in dem ein Angreifer eine Remote-Befehlsinjektion auslösen kann. Als Beweis für dieses Verhalten nutzten die Forscher den Argument-Injection-Fehler aus, um eine bösartige Mercurial-Repository-URL zu erstellen, die die Option “alias” ausnutzt, um einen Shell-Befehl nach Wahl des Angreifers auszuführen.

“Eine Schwachstelle in einer so zentralen Komponente, die mehr als 100 Millionen Paket-Metadaten-Anfragen pro Monat bedient, hat eine enorme Auswirkung, da dieser Zugang genutzt werden könnte, um die Anmeldeinformationen der Betreuer zu stehlen oder Paket-Downloads auf Server von Drittanbietern umzuleiten, die gefälschte Abhängigkeiten liefern”, sagte SonarSource.

[Blocked Image: https://thehackernews.com/images/-2ibgW7bDKMc/YHc_0pMR5EI/AAAAAAAA3w8/EE6wVpkGbUY0VZP5aow4-q3xEzY1SGWFwCLcBGAsYHQ/s728-e100/thn-728-6.png]

Die in Genf ansässige Firma für Codesicherheit sagte, dass einer der Fehler im November 2011 eingeführt wurde, was darauf hindeutet, dass der verwundbare Code schon seit der Entwicklung von Composer vor Jahren lauerte. Die erste “Alpha”-Version von Composer wurde am 3. Juli 2013 veröffentlicht.

“Die Auswirkungen auf Composer-Benutzer direkt sind begrenzt, da die composer.json-Datei in der Regel unter ihrer eigenen Kontrolle steht und die URLs zum Herunterladen des Quellcodes nur von Composer-Repositories von Drittanbietern bereitgestellt werden können, denen sie explizit vertrauen, um Quellcode herunterzuladen und auszuführen, z. B. Composer-Plugins”, sagte Jordi Boggiano, einer der Hauptentwickler hinter Composer.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com