Sicherheitsforscher warnen, dass eine Schwachstelle in der Software-Lieferkette, die PHP betrifft, Millionen von Websites gefährden könnte. Die Lücke betrifft Composer, das wichtigste Tool zur Verwaltung und Installation von Abhängigkeiten für PHP, so die Entdecker von Sonarsource.

Der anwendungsorientierte Paketmanager selbst nutzt Packagist, einen Online-Dienst zur Verwaltung von PHP-Paket-Anfragen, und in diesem wurde die Schwachstelle gefunden. Die Sicherheitslücke ermöglicht es laut den Entdeckern, beliebige Systembefehle auf dem Packagist-Server auszuführen. Dies könnte genutzt werden, um die Anmeldeinformationen der Betreuer zu erhalten oder um Paketanfragen umzuleiten, wie die Entdecker in einem Blog-Post erläutern.

Offenbar entdeckte Sonarsource den Fehler bei der Untersuchung von Angriffen auf die Software-Supply-Chain und bei der Untersuchung der Komponenten des PHP-Ökosystems.

Sonarsource glaubt, dass die Schwachstelle 10 Jahre lang unentdeckt geblieben ist, obwohl eine Lücke im gleichen Packagist-Code vom Forscher Max Justicz 2018 gefunden wurde. Damals hatte dieser prognostiziert: "Die Sicherheit von Paketmanagern ist nicht immer grossartig, und Sie sollten wahrscheinlich damit rechnen, dass Ihre Paketmanager-Server in Zukunft kompromittiert werden."

Einen offizielle Kategorisierung des Schweregrads hat die Lücke CVE-2021-29472 noch nicht. Aber das Risiko ist in diesem Falle breit gestreut, weil PHP bei 80% aller Websites eingesetzt wird. Sonarsource schätzt, dass zwei Drittel der PHP-Projekte Composer nutzen, um ihre Abhängigkeiten zu verwalten.

"Es wird geschätzt, dass die öffentliche Packagist-Infrastruktur rund 100 Millionen Metadaten-Anfragen pro Monat bedient. Diese könnten durch die von uns gemeldete Sicherheitslücke abgefangen worden sein", heisst es dazu.

Für die Lücke ist nun ein Patch vorhanden und die Forscher sagen, dass die Risiken für Websites, die PHP verwenden, nun begrenzt seien. Man solle in jedem Falle auf Composer 1.10.22 und 2.0.13 upgraden, auch wenn die Lücke ihres Wissens noch nicht ausgenutzt werde, erklären die Packagist-Verantwortlichen ihrerseits.