Se stai cercando l'istanza Mastodon di inSicurezzaDigitale puoi cliccare questa barra (mastodon.insicurezzadigitale.com)

Un difetto in PHP Composer potrebbe consentire attacchi alla catena di approvvigionamento

Un ricercatore di sicurezza di SonarSource ha scoperto una vulnerabilità di sicurezza di iniezione di comandi (CVE-2021-29472) in un popolare pacchetto PHP. Questa vulnerabilità potrebbe consentire a un utente malintenzionato di eseguire comandi arbitrari e stabilire una backdoor in ogni pacchetto PHP, provocando un attacco alla catena di approvvigionamento.

Di recente, SonarSource ha rilasciato un advisory che include correzioni per questa vulnerabilità che colpisce i manutentori del pacchetto PHP Composer. 

  • Durante la ricerca sulla sicurezza, è stata scoperta una vulnerabilità critica nel codice sorgente di Composer. La vulnerabilità ha consentito ai ricercatori di eseguire comandi di sistema arbitrari sul server Packagist [.] Org.
  • La vulnerabilità deriva dalla disinfezione impropria degli URL per i repository nei file root composer.json. L’URL di download sorgente del pacchetto potrebbe essere interpretato come opzioni per i comandi di sistema eseguiti da Composer.
  • L’iniezione di parametri è ora corretta in tutti i compositori. Thomas Chauchefoin e il team di SonarSource hanno separato gli argomenti dei comandi posizionali dalle opzioni con il separatore ove possibile.
  • Secondo i ricercatori, il problema è stato introdotto per la prima volta nel novembre 2011. Inoltre, è stato segnalato il 22 aprile e i manutentori lo hanno affrontato rapidamente.

Le minacce alla sicurezza in PHP o nei suoi componenti, che servono più di 100 milioni di richieste di metadati di pacchetti ogni mese, potrebbero avere un impatto enorme. Questo accesso potrebbe essere utilizzato per reindirizzare i download di pacchetti a server di terze parti che diffondono dipendenze backdoor o rubano le credenziali dei manutentori. Pertanto, linguaggi come PHP necessitano di livelli di sicurezza aggiuntivi per prevenire un altro grave incidente informatico.