Composer, das weit verbreitete PHP-Dependency-Management-Tool, ist von zwei schwerwiegenden Sicherheitslücken betroffen, die die Ausführung von Schadcode durch speziell manipulierte Git- und Mercurial-Branch-Namen ermöglichen. Diese Schwachstellen, katalogisiert unter den CVE-Nummern CVE-2024-35241 und CVE-2024-35242, wurden von Seldaek im GitHub Security Advisory (GHSA) vor zwei Tagen veröffentlicht.
CVE-2024-35241 betrifft die status, reinstall und remove Kommandos in Composer. Bei diesen Kommandos kann Schadcode ausgeführt werden, wenn Pakete von Git-Quellen stammen, die manipulierte Branch-Namen enthalten. Dies betrifft Composer-Versionen ab 2.0 bis vor 2.2.24 sowie ab 2.3 bis vor 2.7.7. Die Sicherheitslücke wird ausgenutzt, indem bösartige Branch-Namen im Repository hinterlegt werden, die beim Ausführen der genannten Kommandos zur Code-Ausführung führen.
CVE-2024-35242 betrifft das install Kommando von Composer. Diese Schwachstelle ermöglicht Befehlseinschleusung, wenn das install Kommando in einem Git- oder Mercurial-Repository mit manipulierten Branch-Namen ausgeführt wird. Die betroffenen Composer-Versionen sind dieselben wie bei CVE-2024-35241: ab 2.0 bis vor 2.2.24 und ab 2.3 bis vor 2.7.7.
Für beide Schwachstellen wurden Patches bereitgestellt, die in den Versionen 2.2.24 und 2.7.7 verfügbar sind. Benutzer, die diese Composer-Versionen nutzen, sollten dringend auf die neuesten Versionen aktualisieren, um diese Sicherheitslücken zu schließen.
Als temporäre Schutzmaßnahme wird empfohlen, die Installation von Abhängigkeiten über Git-Quellen zu vermeiden, indem --prefer-dist oder die Konfigurationsoption preferred-install: dist verwendet wird. Ebenso sollte das Klonen von Repositories aus unsicheren oder unbestätigten Quellen vermieden werden, um das Risiko einer Ausnutzung dieser Schwachstellen zu minimieren.
Diese Vorfälle verdeutlichen die Wichtigkeit, stets aktuelle Sicherheitsupdates zu installieren und die Quellen von Softwarepaketen sorgfältig zu überprüfen, um die Integrität von Projekten und Systemen zu gewährleisten.
Weitere Informationen finden sich in den GitHub Security Advisories zu CVE-2024-35241 und CVE-2024-35242.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: