Пре неколико дана избила је вест да је идентификована критична рањивост en управник зависности од Саставити (ЦВЕ-2021-29472) која вам омогућава покретање произвољних наредби на систему приликом обраде пакета са посебно формираном вредношћу УРЛ адресе која одређује правац преузимања изворног кода.
Проблем се манифестује у компонентама ГитДривер, СвнДривер и ХгДривер користи се са системима за контролу извора Гит, Субверсион и Мерцуриал. Рањивост је отклоњена у верзијама Цомпосер 1.10.22 и 2.0.13.
Конкретно, посебно је погођено Цомпосерово подразумевано спремиште пакета Пацкагист, које садржи 306.000 ПХП пакета за програмере и нуди више од 1.400 милијарде преузимања месечно.
У ПХП екосистему, Цомпосер је главни алат за управљање и инсталирање софтверских зависности. Развојни тимови широм света користе га како би олакшали процес надоградње и осигурали да апликације раде без напора у свим окружењима и верзијама.
Експеримент је показао да ако постоје информације о проблему, нападачи могу да преузму контролу над инфраструктуром Пацкагист и пресретну акредитиве одржавача или преусмере преузимање пакета на независни сервер, договарајући испоруку варијанти пакета са променама. злонамерно заменити бацкдоор током инсталације зависности.
Опасност за крајње кориснике је ограничена због чињенице да је садржај цомпосер.јсон обично кориснички дефинисан, а везе до извора се прослеђују приликом приступа независним спремиштима, која су обично поуздана. Главни ударац пао је на спремиште Пацкагист.орг и услугу Привате Пацкагист, тај позив Цомпосер са преносом података примљених од корисника. Нападачи су могли покретати свој код на Пацкагист серверима испуштањем посебно направљеног пакета.
Тим Пацкагист-а је решио рањивост у року од 12 сати од обавештења рањивости. Истраживачи су 22. априла приватно обавестили програмере Пацкагист-а, а проблем је решен истог дана. Јавно ажурирање Цомпосер-а са исправком рањивости објављено је 27. априла, а детаљи су откривени 28. априла. Ревизија евиденција на серверима Пацкагист-а није открила никакве сумњиве активности повезане са рањивошћу.
Грешке убризгавања аргумената су заиста занимљива класа грешака које се често превиде током прегледа кода и потпуно превиде у интеракцијама црног оквира.
Проблем је узрокован грешком у коду за проверу УРЛ-а у основној датотеци цомпосер.јсон и у изворним везама за преузимање. Грешка се налази у вашем коду од новембра 2011. Пацкагист користи посебне слојеве за управљање преузимањима кода без везивања за одређени систем контроле извора, који се извршава позивањем „фромСхеллЦоммандлине“ са аргументима командне линије.
Срж проблема је у томе што вам је метода ПроцессЕкецутор омогућила да наведете све додатне параметре позива у УРЛ-у. Такво бекство је недостајало у управљачким програмима ГитДривер.пхп, СвнДривер.пхп и ХгДривер.пхп. ГитДривер.пхп напад омела је чињеница да наредба „гит лс-ремоте“ није подржавала специфицирање додатних аргумената након путање.
Напад на ХгДривер.пхп је омогућен прослеђивањем параметра „–цонфиг“ услужном програму „хк“, који омогућава организовање извршавања било које наредбе манипулишући конфигурацијом „алиас.идентифи“.
Подношењем пробног пакета са сличним УРЛ-ом Пацкагисту, истраживачи су осигурали да након објављивања њихов сервер прими ХТТП захтев од једног од Пацкагист сервера на АВС који садржи списак датотека у тренутном директоријуму.
Треба напоменути да одржаваоци нису идентификовали никакве знаке претходног искоришћавања ове рањивости у јавној инстанци паковања.
На крају, ако сте заинтересовани да сазнате више о томе, можете се обратити детаљима У следећем линку.