PHP包管理器Composer组件 Packagist中存在漏洞,可导致软件供应链攻击
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
SonarSource 公司的安全研究员发现,PHP 应用程序的主要包管理器 Composer的重要组件 Packagist 中含有一个漏洞,可被滥用于攻击编码仓库。
Packagist 可使Composer 判断并下载软件依赖,供软件开发人员在项目中使用。Composer 每个月大约提供20亿个软件包。该漏洞可被用于向服务器分发恶意后门包,影响35万个依赖。好在,就在报告给项目维护人员的几小时内,漏洞就得到修复。
一年前,研究人员曾在 Packagist 中发现并报告了另外一个供应链漏洞。该漏洞位于与版本控制系统如Git、Mercurial和 Subversion 交互以解析代码仓库中依赖的类中。虽然Packagist 的维护人员修复了该漏洞,但研究人员发现该类实现的另外一些部分仍然易受攻击。
漏洞研究员 Thomas Chauchefoin 指出,“之前的研究帮助我们快速导航到代码库的重点部分,但同时我们在审计和之前漏洞相关的代码和补丁时,多次错过现在的这个漏洞。”
为了显示程序包信息,Packagist 从 readme.md 或代码仓库中的用户指定文件中读取内容。Packagist 中包含单个实现,用于从不同的VCS系统中检索文件数据。每个实现都由包含用户所提供文件内容的shell命令组成。
研究人员指出,如果攻击者在信息文件中插入恶意命令,则这些命令以参数的方式插入在系统上运行的shell命令中。而且即使Packagist使用逃逸机制阻止恶意代码,仍然留下一些敞口。
研究人员在 PoC 视频中展示了如何利用该漏洞在服务器上运行任意命令。
攻击者可滥用该漏洞修改包定义并将其指向非预期目的,在这一过程中污染软件开发管道。Chauchefoin评论道,“与之前数十年我们向开发人员推送的所有技术相比,防御参数注入漏洞非常不寻常,我认为这就是我们为何找到很多这类漏洞的原因。虽然第三方数据可被编码、逃逸和严格验证,但通常这还不够!”
Packagist 维护人员很快修复了上述漏洞。如果你使用的是官方默认的Packagist 实例或 Private Packagist,则是安全的。如果你将 Composer集成为一个库并在不可信仓库上运行,则必须升级至该库的其中一个已修复版本。
Chauchefoin 指出,“距离之前发现漏洞的一年后,一切都没有改变。而由于这些重要项目是多年努力的结果,因此情有可原。执行多种特性如签名任意build工件(程序包)将可能在数百万开发人员的工作流中引入不小的改变。”
同时,Chauchefoin 希望更多像sigstore的新标准出台,助力缓解供应链攻击,“在理想情况下,包管理器应当仅仅是维护人员和包用户之间的通道,在里面流动的内容不应遭篡改。签名一切是关键,sigstore让一切更加可控。”
美国政府发布关于“通过软件安全开发实践增强软件供应链安全”的备忘录(全文)
OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节
美国政府发布联邦机构软件安全法规要求,进一步提振IT供应链安全
Apache开源项目 Xalan-J 整数截断可导致任意代码执行
Linux和谷歌联合推出安全开源奖励计划,最高奖励1万美元或更多
开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞
Juniper Networks修复200多个第三方组件漏洞
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center
奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖
热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥
趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击
和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN
不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环
NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?
200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击
NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100
热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分
原文链接:
https://portswigger.net/daily-swig/javascript-sandbox-vm2-remediates-remote-code-execution-risk
题图:Pexels License
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。