idNSA.id - Kerentanan dalam PHP Composer memungkinkan attacker mengeksekusi perintah sewenang-wenang dan mem-backdoor setiap paket PHP.
Pemelihara paket PHP Composer telah mengatasi kerentanan kritis, dilacak sebagai CVE-2021-29472, yang dapat memungkinkan penyerang untuk menjalankan perintah sewenang-wenang dan membuat pintu belakang di setiap paket PHP.
Komposer adalah tool utama untuk mengelola dan menginstal dependensi perangkat lunak, ia menggunakan Packagist layanan online untuk menentukan supply chain yang benar untuk pengunduhan paket. Diperkirakan infrastruktur Packagist melayani sekitar 1,4 miliar permintaan unduhan setiap bulan.
"Harap segera perbarui Composer ke versi 2.0.13 atau 1.10.22 ( composer.phar self-update). Rilis baru ini mencakup perbaikan untuk kerentanan keamanan injeksi perintah ( CVE-2021-29472 ) yang dilaporkan oleh Thomas Chauchefoin dari SonarSource .” membaca nasihat yang diterbitkan oleh SonarSource.
Kerentanan command injection ditemukan oleh para peneliti dari SonarSource yang memperingatkan bahwa cacat itu berpotensi dieksploitasi untuk melakukan supply chain attack.
“Selama penelitian keamanan kami, kami menemukan kerentanan kritis dalam source code Komposer yang digunakan oleh Packagist. Itu memungkinkan kami untuk menjalankan perintah sistem yang sewenang-wenang di server Packagist.org. ” membaca posting yang diterbitkan oleh SonarSource , “Kerentanan dalam komponen sentral, melayani lebih dari 100 juta permintaan metadata paket per bulan, memiliki dampak besar karena akses ini dapat digunakan untuk mencuri kredensial pengelola atau untuk mengarahkan unduhan paket ke ketiga- server pihak yang memberikan dependensi backdoor ".
Masalah ini dilaporkan pada 22 April dan pengelola mengatasinya dalam waktu kurang dari 12 jam. Kerentanan tersebut berasal dari sanitasi yang tidak tepat dari URL untuk repositori di file composer.json root dan URL download sumber paket yang dapat diartikan sebagai opsi untuk command sistem yang dijalankan oleh Composer.
Menurut para peneliti yang menemukan masalah tersebut, cacat tersebut diperkenalkan pada November 2011.
“Masalah ini saja belum memungkinkan eksekusi perintah, karena nilai-nilainya telah lolos dengan semestinya. Injeksi parameter telah diperbaiki di seluruh Komposer dengan bantuan Thomas Chauchefoin dari SonarSource dengan memisahkan argumen perintah posisi dari opsi dengan - separator jika memungkinkan, misalnya hg clone - '$ URL' alih-alih hg clone '$ URL'. ” melanjutkan penasehat.
Di bawah garis waktu untuk masalah ini:
TANGGAL | TINDAKAN |
2021-04-22 | Kontak pertama ke keamanan (at) packagist.org |
2021-04-22 | Perbaikan terbaru digunakan di packagist.org |
2021-04-26 | CVE-2021-29472 ditugaskan oleh GitHub |
2021-04-27 | Komposer 1.10.22 dan 2.0.13 dirilis |
