Einmal updaten, bitte

Composer & Mercurial: Sicherheitslücke macht Security Update erforderlich
Keine Kommentare

Aufgrund einer nun aufgedeckten Command Injection Vulnerability wird dringend dazu geraten, den PHP-Paketmanager Composer so schnell wie möglich auf die Versionen 2.0.13 oder 1.10.22 zu aktualisieren. Zum jetzigen Zeitpunkt sind noch keine Exploits bekannt, damit dies auch so bleibt, wurden die entsprechenden Fixes zur Verfügung gestellt.

PHPs Dependency Manager PHP berichtet über eine Sicherheitslücke bei Systemen, die mit Mercurial laufen, welche zu Parameter Injections führen könnte. Die entsprechenden Fixes wurden 12 Stunden nach dem veröffentlichten CVE-Bericht deployed, sodass die Entwickler alle Nutzer dringend dazu aufrufen, auf die Composer-Versionen 2.0.13 oder 1.10.22 zu aktualisieren.

Was passiert ist

Der Grund für die Schwachstelle liegt laut Composer/Packagist-Entwickler Nils Adermann bei nicht ausreichend zensierten URLs in Root-Composer.json-Dateien und Paket-Source-Download-URLs. Dies führt zu der Möglichkeit, dass hier Systembefehle interpretiert werden könnten. Zwar wurde dies durch die Trennung von Befehlsargument bei Composer mit dem Zeichen – – verhindert, betroffen sind nun allerdings alle Systeme, die auf Mercurial setzen. Hier gibt es die Option - - config, um Configuration Values temporär zu überschreiben. Aufgrund der Tatsache, dass die Alias-Konfiguration ein Neudefinieren von Mercurial-Befehlen in Systembefehle erlaubt, kann so ein Command im HgDriver ausgeführt werden.

Eine erste vorsichtige Entwarnung kann aber laut den Entwicklern gegeben werden. Zwar sind theoretisch sowohl Packagist.org als auch Private Packagist von der Schwachstelle betroffen, ein erster Scan der Protokolle deutet aber wohl darauf hin, dass diese noch nicht ausgenutzt wurde.

Was jetzt zu tun ist

Nach dem nötigen ersten Schritt der Update-Installation sollten composer.lock-Dateien auf mögliche URLs überprüft werden, die mit - - beginnen und damit als Befehl in der Kommandozeile interpretiert werden könnten. Sollten hier URLs gefunden werden, können und sollten Nutzer schnellstens unter security@packagist.org Kontakt mit den Composer-Entwicklern aufnehmen. Für Private Packagist Enterprise wurde die Version 1.10.6 veröffentlicht, zu welcher hier ebenfalls dringend geraten wird. Nach der Installation kann mittels des Befehls replicated admin audit --vulnerability=CVE-2021-29472 nach kompromittierenden Paketen gesucht werden. Bei Fragen können Nutzer sich auch direkt an den Support wenden: contact@packagist.com.

Die gesamten Ankündigung von Nils Adermann ist auf dem Packagist-Blog zu finden.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments
X
- Gib Deinen Standort ein -
- or -