Packagist是Composer背后的默认包主机,它有超过4.35亿个软件包安装。
安全研究人员Max Justicz报告了此漏洞,专家发现通过软件包存储库主页提交新PHP软件包的“提交软件包”输入字段允许攻击者以“$(执行我)”的格式执行恶意命令”。
“你可以在网站上的一个大文本字段中键入$(执行我),它将在shell中执行你的命令(两次)。”读取专家发布的安全建议。
“您通过提供Git,Perforce,Subversion或Mercurial存储库的URL将包上传到Packagist。为了识别URL指向哪种存储库,Packagist使用包含此URL作为参数的特定于应用程序的命令来发送到git,p4,svn和hg,“
专家指出,当用户向Packagist提供URL时,它不正确地转移输入,允许恶意执行shell中的任何命令(两次)。
缓解很简单,Packagist存储库的维护者只是为Composer存储库中的相关参数实现了转义功能。
“Packagist团队通过逃避Composer存储库中的相关参数快速解决了这个问题,”Justicz解释道。
该专家警告说,包管理器实施的安全性较低,可能为未来的攻击敞开大门。
“软件包管理器的安全性并不总是很好,您可能应该计划将来的软件包管理器服务器受到攻击。在过去一年左右的时间我已经发现的bug让我 上rubygems.org执行任意代码, 在某些故宫的官方镜(不是主要的注册表)执行代码, 一封来自PyPI删除任意版本的文件, 用在每一个网站上投放任意JS npm的流行CDN,现在在packagist.org上执行任意代码。“专家总结道。
“ 如果预计不会改变包,我认为应用程序构建管道可以从每个构建的上游服务器中获取新的软件包下载,这是一种安全反模式。如果由于某种原因你必须这样做,你应该使用加密安全散列函数来确定依赖关系。“