થોડા દિવસો પહેલા સમાચાર તૂટી પડ્યા કે એક ગંભીર નબળાઈ ઓળખાઈ છે en ના અવલંબન મેનેજર રચયિતા (CVE-2021-29472) કે જે તમને સ્રોત કોડ ડાઉનલોડ કરવાની દિશા નિર્ધારિત કરે છે તે વિશેષ રચિત URL મૂલ્યવાળા પેકેજની પ્રક્રિયા કરતી વખતે સિસ્ટમ પર મનસ્વી આદેશો ચલાવવાની મંજૂરી આપે છે.
ગિટડ્રાઇવર, સ્વેનડ્રાઇવર અને એચજીડ્રાઇવર ઘટકોમાં સમસ્યા પોતાને મેનીફેસ્ટ કરે છે ગિટ, સબવર્ઝન અને મર્ક્યુરિયલ સ્રોત નિયંત્રણ સિસ્ટમો સાથે વપરાય છે. નબળાઈ કંપોઝર આવૃત્તિઓ 1.10.22 અને 2.0.13 માં સુધારાઈ હતી.
ખાસ કરીને, કમ્પોઝરનું ડિફોલ્ટ પેકેજિસ્ટ પેકેજ રિપોઝિટરી, જેમાં 306.000 પીએચપી ડેવલપર પેકેજ હોય છે અને તે દર મહિને 1.400 અબજથી વધુ ડાઉનલોડ્સ પ્રદાન કરે છે, ખાસ કરીને અસર કરે છે.
પીએચપી ઇકોસિસ્ટમમાં, સ softwareફ્ટવેર અવલંબનનું સંચાલન અને ઇન્સ્ટોલ કરવા માટે કમ્પોઝર મુખ્ય સાધન છે. વિશ્વભરની વિકાસ ટીમો તેનો ઉપયોગ અપગ્રેડ પ્રક્રિયાને સરળ બનાવવા માટે કરે છે અને સુનિશ્ચિત કરે છે કે એપ્લિકેશંસ બધા વાતાવરણ અને સંસ્કરણો પર સહેલાઇથી ચાલે છે.
પ્રયોગ બતાવ્યું કે જો સમસ્યા વિશે માહિતી હોત, તો હુમલાખોરો પેકેજિસ્ટ ઇન્ફ્રાસ્ટ્રક્ચરનો નિયંત્રણ લઈ શકતા હતા અને જાળવણીકારોના ઓળખપત્રોને અટકાવી શકતા હતા અથવા પેકેજોના ડાઉનલોડને તૃતીય-પક્ષ સર્વર પર રીડાયરેક્ટ કરી શકતા હતા, ફેરફાર સાથે પેકેજ ચલોની ડિલિવરીની ગોઠવણ કરી હતી. પરાધીનતા ઇન્સ્ટોલેશન દરમિયાન બેકડોરને બદલવા માટે દૂષિત.
વપરાશકર્તાઓને સમાપ્ત કરવાનો ભય મર્યાદિત છે એ હકીકતને કારણે કે કમ્પોઝ. જેસનની સામગ્રી સામાન્ય રીતે વપરાશકર્તા-નિર્ધારિત હોય છે અને તૃતીય-પક્ષ રિપોઝિટરીઝને whenક્સેસ કરતી વખતે સ્રોતની લિંક્સ પસાર કરવામાં આવે છે, જે સામાન્ય રીતે વિશ્વસનીય હોય છે. મુખ્ય ફટકો Packagist.org રીપોઝીટરી અને ખાનગી પેકેજિસ્ટ સેવા પર પડ્યો, તે વપરાશકર્તાઓ તરફથી પ્રાપ્ત ડેટાના સ્થાનાંતરણ સાથે ક callલ રચયિતા છે. હુમલાખોરો પેકેજિસ્ટ સર્વર્સ પર વિશિષ્ટ ઘડતર કરાયેલા પેકેજને છોડીને તેમનો કોડ ચલાવી શકતા હતા.
પેકેજિસ્ટ ટીમે સૂચનાના 12 કલાકની અંદર નબળાઈઓને હલ કરી નબળાઈ છે. સંશોધનકારોએ 22 એપ્રિલે પેકેજિસ્ટ વિકાસકર્તાઓને ખાનગીમાં સૂચિત કર્યું હતું, અને તે જ દિવસે આ મુદ્દો ઠીક કરવામાં આવ્યો હતો. નબળાઈ માટેના ફિક્સ સાથે સાર્વજનિક સંગીતકાર અપડેટ 27 એપ્રિલના રોજ બહાર પાડવામાં આવ્યું હતું, અને વિગતો 28 એપ્રિલે જાહેર થઈ હતી. પેકેજિસ્ટના સર્વર્સ પરના લsગ્સનું auditડિટ નબળાઈ સાથે સંકળાયેલ કોઈપણ શંકાસ્પદ પ્રવૃત્તિને જાહેર કરતું નથી.
દલીલ ઈન્જેક્શન ભૂલો એ ભૂલોનો ખરેખર રસપ્રદ વર્ગ છે જે ઘણી વાર કોડ સમીક્ષાઓ દરમિયાન અવગણવામાં આવે છે અને બ્લેક બ inteક્સ ક્રિયાપ્રતિક્રિયામાં સંપૂર્ણપણે અવગણવામાં આવે છે.
સમસ્યા URL માન્યતા કોડમાંની ભૂલને કારણે છે રૂટ કંપોઝર.જસન ફાઇલમાં અને સ્રોત ડાઉનલોડ લિંક્સમાં. બગ નવેમ્બર 2011 થી તમારા કોડમાં છે. પેકેજિસ્ટ કોઈ વિશિષ્ટ સ્ત્રોત નિયંત્રણ સિસ્ટમ સાથે બંધાયેલા વિના કોડ ડાઉનલોડ્સનું સંચાલન કરવા માટે વિશેષ સ્તરોનો ઉપયોગ કરે છે, જે આદેશ વાક્ય દલીલો સાથે "fromShellCommandline" ક callingલ કરીને ચલાવવામાં આવે છે.
સમસ્યાનું કેન્દ્ર એ છે કે પ્રોસેસીએક્ઝેક્ટર પદ્ધતિથી તમને URL માં કોઈપણ વધારાના ક callલ પરિમાણોનો ઉલ્લેખ કરવાની મંજૂરી આપવામાં આવી છે. આવા એસ્કેપ GitDriver.php, SvnDriver.php અને HgDriver.php ડ્રાઇવરોમાં ખૂટે છે. GitDriver.php હુમલો એ હકીકત દ્વારા અવરોધાયેલો હતો કે "git ls-দূরતમ" આદેશ પાથ પછી વધારાની દલીલો સ્પષ્ટ કરવાને સમર્થન આપતો નથી.
એચજીડ્રાઇવર.એફપીપી પર હુમલો "fconfig" પરિમાણને "HQ" યુટિલિટીમાં પસાર કરીને શક્ય બન્યું હતું, જે "ઉપનામ.
પેકેજિસ્ટને સમાન URL સાથે પરીક્ષણ પેકેજ સબમિટ કરીને, સંશોધનકારોએ ખાતરી કરી કે તે પ્રકાશિત થયા પછી, તેમના સર્વરને AWS પરના પેકેજિસ્ટ સર્વર્સમાંથી એક HTTP વિનંતિ પ્રાપ્ત થઈ છે જેમાં વર્તમાન ડિરેક્ટરીમાં ફાઇલોની સૂચિ શામેલ છે.
એ નોંધવું જોઇએ કે પેકેજિસ્ટના જાહેર દાખલામાં જાળવણીકારોએ આ નબળાઈના અગાઉના શોષણના કોઈ ચિહ્નો ઓળખ્યા નથી.
અંતે, જો તમને તેના વિશે વધુ જાણવામાં રુચિ છે, તો તમે વિગતોની સલાહ લઈ શકો છો નીચેની કડીમાં