События

В Packagist исправлена опасная уязвимость

Разработчики Packagist, крупнейшего репозитория пакетов в экосистеме PHP, исправили на своем официальном сайте опасную уязвимость, позволявшую взломать сервис. Проблема была обнаружена исследователем безопасности Максом Юстичем (Max Justicz).

По словам исследователя, поле «Submit Package», предназначенное для добавления новых пакетов PHP через домашнюю страницу Packagist, позволяло атакующему запускать вредоносные команды в формате «$ (MALICIOUS_COMMANDS)».

Проблема заключалась в том, что сервис Packagist ожидал добавления в поле «Submit Package» URL-ссылки на репозиторий Git, Perforce, Subversion или Mercurial. Как обнаружил Юстич, при проверке, ведет ли ссылка на репозитории Perforce/Subversion, Packagist неправильно пропускал введенные символы и дважды выполнял вредоносные команды – при проверке Perforce и проверке Subversion. Достаточно умелый хакер мог воспользоваться этим, с легкостью взломать сервер Packagist и осуществить целый ряд вредоносных действий.

Packagist является не менеджером пакетов PHP, а только хостингом для них. Packagist – хостинг по умолчанию, используемый популярнейшим менеджером пакетов Composer, а также самый крупный хостинговый сервис в экосистеме PHP. Только в июле текущего года на его долю пришлось свыше 435 млн установок пакетов.

Источник

Автор: Сергей Куприянов
29.08.2018 (15:48)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.