Maalmo ka hor war ayaa soo baxay in nuglaansho daran loo aqoonsaday en maamulaha ku tiirsanaanta laxamiistaha (CVE-2021-29472) taasi waxay kuu ogolaaneysaa inaad amarro aan loo meel dayin ku maamusho nidaamka markii aad xirmo ka shaqeyneyso xirmo leh qiime gaar ah oo URL oo go'aaminaya jihada lagu soo dejinayo koodhka isha.
Dhibaatadu waxay ku muuqataa qaybaha GitDriver, SvnDriver iyo HgDriver loo adeegsaday nidaamyada xakamaynta isha Git, Subversion, iyo Mercurial. Jilicsanaanta waxaa lagu hagaajiyay noocyada Composer 1.10.22 iyo 2.0.13.
Gaar ahaan, keydkii xirmooyinka xirmooyinka 'Comager' ee 'Packagist', oo ka kooban 306.000 xirmo horumariyaha PHP oo bixiya in ka badan 1.400 bilyan oo soo dejin ah bishii, ayaa si gaar ah u saameynaya.
Nidaamka deegaanka ee PHP, Composer waa aaladda ugu weyn ee lagu maareeyo laguna rakibo ku tiirsanaanta barnaamijyada. Kooxaha horumarinta adduunka oo dhan waxay u adeegsadaan inay yareeyaan nidaamka casriyeynta iyo inay hubiyaan in codsiyada si habsami leh ugu socdaan dhammaan bey'adaha iyo noocyada.
Tijaabadu waxay muujisay in haddii ay jiraan macluumaad ku saabsan dhibaatada, kuwa wax weeraraya ay la wareegi karaan kaabayaasha Packagist isla markaana ay ka hortegi karaan aqoonsiga dayactirayaasha ama ay u rogi karaan soo dejinta baakadaha server saddexaad, iyagoo diyaarinaya bixinta noocyada xirmooyinka ee isbeddelada leh. isticmaaleyaasha xun ee beddelka albaabka dambe inta lagu jiro rakibidda ku tiirsanaanta.
Khatarta dadka isticmaala dhamaadka waa xaddidan tahay iyada oo ay ugu wacan tahay xaqiiqda ah in waxa ku jira curiyaha.json inta badan uu qeexo isticmaalaha isla markaana iskuxirayaasha isha laga soo gudbiyo la marinayo marka la galayo goobaha saddexaad ee keydka, kuwaas oo inta badan lagu kalsoonaan karo. Jugtii ugu weyneyd waxay ku dhacday bakhaarka Packagist.org iyo adeegga Gawaarida Gaarka loo leeyahay, kaas oo ku magacaaba Composer leh wareejinta xogta laga helay isticmaalayaasha. Weeraryahannadu waxay ku ordi karaan koodhkooda server-yada 'Packagist' iyagoo daadinaya xirmo si gaar ah loo farsameeyay.
Kooxda xirmooyinka waxay xaliyeen dayacanka 12 saacadood gudahood ogeysiinta kadib u nuglaanta Cilmi-baarayaashu waxay si gaar ah ugu wargeliyeen horumariyeyaasha Packagist Abriil 22, arrintana waa la xalliyay isla maalintaas. Cusboonaysiinta qoraallada dadweynaha ee hagaajinta nuglaanta ayaa la sii daayay Abriil 27, faahfaahinna waxaa la muujiyay Abriil 28. Baadhitaan lagu sameeyay diiwaanada kujira server-yada Packagist ma muujin wax dhaqdhaqaaq shaki leh oo laxiriira dayacanka.
Khaladaadka la isku duro ee doodaha ah ayaa ah runtii xiisad xiiso leh oo khaladaad ah oo inta badan la iska indhatiro inta lagu jiro dib u eegista koodhka isla markaana gebi ahaanba laga iloobo isdhexgalka sanduuqa madow.
Dhibaatada waxaa keenay cilad ku timid lambarka ansaxinta URLka ku jirta faylka composer.json iyo isha xiriirinta soo dejinta. Cayayaanka ayaa ku jiray koodh ilaa Nofeembar 2011. Packagist wuxuu adeegsadaa lakabyo gaar ah si uu u maareeyo soo dejinta koodhka adoon ku xidhnayn nidaam ilaalin gaar ah oo ilaalin ah, kaas oo lagu fuliyo wicitaanka "fromShellCommandline" oo leh doodaha qadka amarka.
Wadnaha dhibaatada ayaa ah in habka loo yaqaan 'ProcessExecutor' uu kuu ogolaaday inaad ku qeexdo xuduudaha wicitaan kasta oo dheeri ah URL-ka. Baxsashada noocan oo kale ah ayaa lagu waayey GitDriver.php, SvnDriver.php iyo HgDriver.php wadayaasha. Weerarka GitDriver.php waxaa caqabad ku noqday xaqiiqda ah in amarka "git ls-remote" uusan taageerin qeexida doodaha dheeriga ah wadada kadib.
Weerar lagu soo qaaday HgDriver.php wuxuu suurta gal ku ahaa in loo gudbiyo halbeegga "–config" utility-ka "hq", kaas oo u oggolaanaya abaabulka fulinta amar kasta adoo adeegsanaya qaabeynta "alias.identify".
U soo gudbinta xirmo tijaabo ah oo leh URL la mid ah Packagist, cilmi-baarayaashu waxay xaqiijiyeen in ka dib markii la daabacay, server-kooda ay heleen codsi HTTP oo ka yimid mid ka mid ah server-yada Packagist-ka ee AWS oo ay ku jiraan liiska faylasha galka hadda jira.
Waa in la ogaadaa in dayactirayaashu aysan aqoonsanin wax calaamado ah oo ah ka-faa'iideysi hore oo u nuglaantaas tusaalaha dadweynaha ee baakadka.
Ugu dambeyntii, haddii aad xiiseyneyso inaad waxbadan ka ogaato, waad la tashan kartaa faahfaahinta Xiriirka soo socda.