काही दिवसांपूर्वी एक गंभीर असुरक्षा ओळखली गेली आहे अशी बातमी पसरली en च्या अवलंबन व्यवस्थापक संगीतकार (सीव्हीई -2021-29472) जे स्त्रोत कोड डाउनलोड करण्यासाठी दिशा निश्चित करते अशा खास यूआरएल मूल्यासह पॅकेजवर प्रक्रिया करताना आपल्याला सिस्टमवर अनियंत्रित आज्ञा चालविण्याची परवानगी देते.
गिटड्रायव्हर, एसव्हीएनड्रायव्हर आणि एचजीड्रायव्हर घटकांमध्ये ही समस्या स्वतः प्रकट होते गिट, सबवर्जन आणि मर्क्युरीअल सोर्स कंट्रोल सिस्टमसह वापरले जाते संवेदनशीलता संगीतकार आवृत्ती 1.10.22 आणि 2.0.13 मध्ये निश्चित केली गेली.
विशेषतः, संगीतकाराचा डीफॉल्ट पॅकेजॅजिस्ट पॅकेज रेपॉजिटरी, ज्यात 306.000 पीएचपी डेव्हलपर पॅकेजेस असतात आणि दरमहा 1.400 अब्जहून अधिक डाउनलोड ऑफर होतात, विशेषत: प्रभावित होतात.
पीएचपी इकोसिस्टममध्ये, सॉफ्टवेयर अवलंबन व्यवस्थापित आणि स्थापित करण्यासाठी संगीतकार हे मुख्य साधन आहे. जगभरातील विकास कार्यसंघ याचा वापर अपग्रेड प्रक्रिया सुलभ करण्यासाठी करतात आणि अनुप्रयोग सर्व वातावरण आणि आवृत्त्यांवर सहजतेने चालतात याची खात्री करतात.
प्रयोगाने असे दर्शविले की जर समस्येबद्दल माहिती असेल तर हल्लेखोर पॅकेजिस्ट इन्फ्रास्ट्रक्चरचा ताबा घेऊ शकतील आणि देखभाल करणार्यांच्या क्रेडेन्शियल्समध्ये अडथळा आणू शकतील किंवा पॅकेजेसचे डाउनलोड तृतीय-पक्षाच्या सर्व्हरवर पुनर्निर्देशित करू शकतील आणि बदलांसह पॅकेज व्हेरिएंटची वितरण व्यवस्था करतील. अवलंबन स्थापनेदरम्यान बॅकडोर पुनर्स्थित करणे दुर्भावनापूर्ण
वापरकर्त्यांचा शेवट होण्याचा धोका मर्यादित आहे कंपोजर.जेसनची सामग्री सहसा वापरकर्त्याद्वारे परिभाषित केली जाते आणि तृतीय-पक्ष रेपॉजिटरिजमध्ये प्रवेश करताना स्त्रोत दुवे संमत केले जातात जे सहसा विश्वसनीय असतात. मुख्य धक्का पॅकॅगिस्ट. आरओजी रेपॉजिटरी आणि खाजगी पॅकॅगिस्ट सेवेवर पडला, वापरकर्त्यांकडून प्राप्त झालेल्या डेटाच्या हस्तांतरणासह ते संगीतकार कॉल करतात. हल्लेखोर खास क्राफ्ट्ड पॅकेज टाकून पॅकेजॅगिस्ट सर्व्हरवर त्यांचा कोड चालवू शकले.
पॅकेजीस्ट कार्यसंघाने सूचनेच्या 12 तासांच्या आत असुरक्षिततेचे निराकरण केले असुरक्षा च्या 22 एप्रिल रोजी संशोधकांनी पॅकेजॅगिस्ट विकसकांना खाजगीरित्या सूचित केले आणि त्याच दिवशी हा मुद्दा निश्चित करण्यात आला. असुरक्षिततेच्या निराकरणासह सार्वजनिक संगीतकार अद्यतन 27 एप्रिल रोजी प्रसिद्ध झाले आणि तपशील 28 एप्रिल रोजी उघडकीस आला. पॅकेजिस्टच्या सर्व्हरवरील लॉगच्या ऑडिटमध्ये असुरक्षाशी संबंधित कोणतीही संशयास्पद क्रियाकलाप उघड झाले नाहीत.
युक्तिवाद इंजेक्शन त्रुटी ही त्रुटींचा खरोखरच एक मनोरंजक वर्ग आहे जी बर्याचदा कोड पुनरावलोकनांदरम्यान दुर्लक्षित केली जाते आणि ब्लॅक बॉक्स संवादामध्ये पूर्णपणे दुर्लक्ष केली जाते.
URL च्या प्रमाणीकरण कोडमधील त्रुटीमुळे समस्या उद्भवली आहे रूट कंपोझरजेसन फाइलमध्ये आणि स्त्रोत डाउनलोड दुव्यांमध्ये. बग नोव्हेंबर २०११ पासून आपल्या कोडमध्ये आहे. विशिष्ट डाउनलोड कंट्रोल सिस्टमवर बंधन न ठेवता कोड डाउनलोड व्यवस्थापित करण्यासाठी पॅकेगिस्ट विशेष स्तरांचा वापर करतात, ज्याला कमांड लाइन युक्तिवादांसह "fromShellCommandline" वर कॉल करून कार्यान्वित केले जाते.
समस्येचे केंद्रस्थान अशी आहे की प्रोसेक्सेक्श्यूटर पद्धतीने आपल्याला URL मध्ये कोणतेही अतिरिक्त कॉल पॅरामीटर्स निर्दिष्ट करण्याची परवानगी दिली. गिटड्रायव्हर.एचपीपी, एसव्हीएनड्रायव्हर.पीपीपी आणि एचजीड्राइव्हर.एचपी ड्राइव्हर्स्मधून असा बचाव गहाळ होता. GitDriver.php हल्ला "गिट एलएस-रिमोट" कमांड पाथ नंतर अतिरिक्त युक्तिवाद निर्दिष्ट करण्यास समर्थन देत नाही या कारणामुळे अडथळा ठरला.
HgDriver.php वर हल्ला "qconfig" पॅरामिटरला "HQ" युटिलिटीमध्ये पुरवणे शक्य झाले, जे "उर्फ. अज्ञात" कॉन्फिगरेशनमध्ये कोणत्याही कमांडची अंमलबजावणी आयोजित करण्यास परवानगी देते.
पॅकेजॅगिस्टला तत्सम युआरएलसह चाचणी पॅकेज सबमिट करून, संशोधकांनी हे सुनिश्चित केले की ते प्रकाशित झाल्यानंतर, त्यांच्या सर्व्हरला एडब्ल्यूएसवरील पॅकेजिस्ट सर्व्हरकडून एचटीटीपी विनंती प्राप्त झाली आहे ज्यामध्ये वर्तमान निर्देशिकेतील फायलींची यादी आहे.
हे लक्षात घ्यावे की पॅकेजिस्टच्या सार्वजनिक घटनेत देखभालकर्त्यांनी या असुरक्षाचे पूर्वी शोषण केल्याची कोणतीही चिन्हे ओळखली नाहीत.
शेवटी, आपल्याला त्याबद्दल अधिक जाणून घेण्यास स्वारस्य असल्यास आपण तपशीलांचा सल्ला घेऊ शकता पुढील लिंकवर