ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全新闻 → Packagist PHP包存储库中修复远程代码执行漏洞

Packagist PHP包存储库中修复远程代码执行漏洞

时间:2018-09-06 00:00:00人气:作者:本站作者我要评论

Packagist是Composer背后的默认包主机,它有超过4.35亿个软件包安装。

Packagist PHP包存储库中修复远程代码执行漏洞

安全研究人员Max Justicz报告了此漏洞,专家发现通过软件包存储库主页提交新PHP软件包的“提交软件包”输入字段允许攻击者以“$(执行我)”的格式执行恶意命令”。

“你可以在网站上的一个大文本字段中键入$(执行我),它将在shell中执行你的命令(两次)。”读取专家发布的安全建议。

“您通过提供Git,Perforce,Subversion或Mercurial存储库的URL将包上传到Packagist。为了识别URL指向哪种存储库,Packagist使用包含此URL作为参数的特定于应用程序的命令来发送到git,p4,svn和hg,“

专家指出,当用户向Packagist提供URL时,它不正确地转移输入,允许恶意执行shell中的任何命令(两次)。

缓解很简单,Packagist存储库的维护者只是为Composer存储库中的相关参数实现了转义功能。

“Packagist团队通过逃避Composer存储库中的相关参数快速解决了这个问题,”Justicz解释道。

该专家警告说,包管理器实施的安全性较低,可能为未来的攻击敞开大门。

“软件包管理器的安全性并不总是很好,您可能应该计划将来的软件包管理器服务器受到攻击。在过去一年左右的时间我已经发现的bug让我 上rubygems.org执行任意代码, 在某些故宫的官方镜(不是主要的注册表)执行代码, 一封来自PyPI删除任意版本的文件, 用在每一个网站上投放任意JS npm的流行CDN,现在在packagist.org上执行任意代码。“专家总结道。

“ 如果预计不会改变包,我认为应用程序构建管道可以从每个构建的上游服务器中获取新的软件包下载,这是一种安全反模式。如果由于某种原因你必须这样做,你应该使用加密安全散列函数来确定依赖关系。“

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网