PHP-Supply-Chain-Schwachstelle in Composer entdeckt

5. Mai 2021, 14:33
image

Im beliebten Paketmanager Composer wurde eine Lücke entdeckt. Sie betrifft den involvierten Service Packagist.

Sicherheitsforscher warnen, dass eine Schwachstelle in der Software-Lieferkette, die PHP betrifft, Millionen von Websites gefährden könnte. Die Lücke betrifft Composer, das wichtigste Tool zur Verwaltung und Installation von Abhängigkeiten für PHP, so die Entdecker von Sonarsource.
Der anwendungsorientierte Paketmanager selbst nutzt Packagist, einen Online-Dienst zur Verwaltung von PHP-Paket-Anfragen, und in diesem wurde die Schwachstelle gefunden. Die Sicherheitslücke ermöglicht es laut den Entdeckern, beliebige Systembefehle auf dem Packagist-Server auszuführen. Dies könnte genutzt werden, um die Anmeldeinformationen der Betreuer zu erhalten oder um Paketanfragen umzuleiten, wie die Entdecker in einem Blog-Post erläutern.
Offenbar entdeckte Sonarsource den Fehler bei der Untersuchung von Angriffen auf die Software-Supply-Chain und bei der Untersuchung der Komponenten des PHP-Ökosystems.
Sonarsource glaubt, dass die Schwachstelle 10 Jahre lang unentdeckt geblieben ist, obwohl eine Lücke im gleichen Packagist-Code vom Forscher Max Justicz 2018 gefunden wurde. Damals hatte dieser prognostiziert: "Die Sicherheit von Paketmanagern ist nicht immer grossartig, und Sie sollten wahrscheinlich damit rechnen, dass Ihre Paketmanager-Server in Zukunft kompromittiert werden."
Einen offizielle Kategorisierung des Schweregrads hat die Lücke CVE-2021-29472 noch nicht. Aber das Risiko ist in diesem Falle breit gestreut, weil PHP bei 80% aller Websites eingesetzt wird. Sonarsource schätzt, dass zwei Drittel der PHP-Projekte Composer nutzen, um ihre Abhängigkeiten zu verwalten.
"Es wird geschätzt, dass die öffentliche Packagist-Infrastruktur rund 100 Millionen Metadaten-Anfragen pro Monat bedient. Diese könnten durch die von uns gemeldete Sicherheitslücke abgefangen worden sein", heisst es dazu.
Für die Lücke ist nun ein Patch vorhanden und die Forscher sagen, dass die Risiken für Websites, die PHP verwenden, nun begrenzt seien. Man solle in jedem Falle auf Composer 1.10.22 und 2.0.13 upgraden, auch wenn die Lücke ihres Wissens noch nicht ausgenutzt werde, erklären die Packagist-Verantwortlichen ihrerseits.

Loading

Mehr zum Thema

image

Palantir übernimmt 230-Millionen-Auftrag, um US-Drohnen effizienter zu machen

Der opake Datenanalyse-Konzern des rechtslibertären Milliardärs Peter Thiel gibt auch in Europa wieder zu Reden. CEO Alex Karp inszeniert sich als kritischer Geist.

publiziert am 30.9.2022
image

Podcast: Sollten noch Produkte von Huawei und Kaspersky eingesetzt werden?

Wir debattieren, was es für die Schweiz bedeutet, wenn Produkte von Firmen aus autoritären Ländern eingesetzt werden. Zudem gehen wir den Transparenzinitiativen von zum Beispiel Kaspersky und Huawei auf den Grund und fragen uns: Sind die Amerikaner eigentlich besser?

publiziert am 30.9.2022
image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022
image

Der CTO von Microsoft Azure will künftig auf Rust setzen

Weil die Programmiersprache sicherer und zuverlässiger als C und C++ ist, soll sie in Zukunft vermehrt zum Einsatz kommen. Der C++-Erfinder hingegen sieht die Ablösung als "gewaltige Aufgabe".

publiziert am 28.9.2022