Compositeur PHP

Les mainteneurs de Composer, un gestionnaire de paquets pour PHP, ont publié une mise à jour pour corriger une vulnérabilité critique qui aurait pu permettre à un attaquant d’exécuter des commandes arbitraires et de «faire une porte dérobée à chaque paquet PHP», entraînant une attaque de la chaîne d’approvisionnement.

Suivi comme CVE-2021-29472, le problème de sécurité a été découvert et signalé le 22 avril par des chercheurs de SonarSource, à la suite de quoi un correctif a été déployé moins de 12 heures plus tard.

«Correction d’une vulnérabilité d’injection de commande dans HgDriver / HgDownloader et durcissement d’autres pilotes et téléchargeurs VCS», Composer mentionné son notes de version pour les versions 2.0.13 et 1.10.22 publiées mercredi. “A notre connaissance, la vulnérabilité n’a pas été exploitée.”

auditeur de mot de passe

Compositeur est présenté comme un outil de gestion des dépendances en PHP, permettant une installation facile des packages pertinents pour un projet. Il permet également aux utilisateurs d’installer des applications PHP disponibles sur Emballeur, un référentiel qui regroupe tous les packages PHP publics installables avec Composer.

Selon SonarSource, la vulnérabilité découle de la manière dont les URL de téléchargement de la source du package sont gérées, ce qui peut conduire à un scénario dans lequel un adversaire pourrait déclencher une injection de commande à distance. Pour preuve de ce comportement, les chercheurs ont exploité le défaut d’injection d’argument pour créer une URL de référentiel Mercurial malveillante qui tire parti de son “alias“option pour exécuter une commande shell au choix de l’attaquant.

«Une vulnérabilité dans un tel composant central, qui traite plus de 100 millions de demandes de métadonnées de package par mois, a un impact énorme car cet accès aurait pu être utilisé pour voler les informations d’identification des responsables ou pour rediriger les téléchargements de packages vers des serveurs tiers fournissant des dépendances détournées, “A déclaré SonarSource.

auditeur de mot de passe

La société de sécurité du code basée à Genève a déclaré que l’un des bogues était introduit en novembre 2011, suggérant que le code vulnérable se cachait depuis le début du développement sur Composer il y a 10 ans. La première version “alpha” de Composer est sortie le 3 juillet 2013.

“L’impact direct sur les utilisateurs de Composer est limité car compositeur.json le fichier est généralement sous leur propre contrôle et les URL de téléchargement source ne peuvent être fournies que par des référentiels Composer tiers auxquels ils font explicitement confiance pour télécharger et exécuter le code source, par exemple les plugins Composer, “Jordi Boggiano, l’un des principaux développeurs derrière Composer, mentionné.



Leave a Reply