PHP: Command Injection Sicherheitslücken in composer entdeckt

Composer, das weit verbreitete PHP-Dependency-Management-Tool, ist von zwei schwerwiegenden Sicherheitslücken betroffen, die die Ausführung von Schadcode durch speziell manipulierte Git- und Mercurial-Branch-Namen ermöglichen. Diese Schwachstellen, katalogisiert unter den CVE-Nummern CVE-2024-35241 und CVE-2024-35242, wurden von Seldaek im GitHub Security Advisory (GHSA) vor zwei Tagen veröffentlicht.

CVE-2024-35241 betrifft die status, reinstall und remove Kommandos in Composer. Bei diesen Kommandos kann Schadcode ausgeführt werden, wenn Pakete von Git-Quellen stammen, die manipulierte Branch-Namen enthalten. Dies betrifft Composer-Versionen ab 2.0 bis vor 2.2.24 sowie ab 2.3 bis vor 2.7.7. Die Sicherheitslücke wird ausgenutzt, indem bösartige Branch-Namen im Repository hinterlegt werden, die beim Ausführen der genannten Kommandos zur Code-Ausführung führen.

CVE-2024-35242 betrifft das install Kommando von Composer. Diese Schwachstelle ermöglicht Befehlseinschleusung, wenn das install Kommando in einem Git- oder Mercurial-Repository mit manipulierten Branch-Namen ausgeführt wird. Die betroffenen Composer-Versionen sind dieselben wie bei CVE-2024-35241: ab 2.0 bis vor 2.2.24 und ab 2.3 bis vor 2.7.7.

Für beide Schwachstellen wurden Patches bereitgestellt, die in den Versionen 2.2.24 und 2.7.7 verfügbar sind. Benutzer, die diese Composer-Versionen nutzen, sollten dringend auf die neuesten Versionen aktualisieren, um diese Sicherheitslücken zu schließen.

Als temporäre Schutzmaßnahme wird empfohlen, die Installation von Abhängigkeiten über Git-Quellen zu vermeiden, indem --prefer-dist oder die Konfigurationsoption preferred-install: dist verwendet wird. Ebenso sollte das Klonen von Repositories aus unsicheren oder unbestätigten Quellen vermieden werden, um das Risiko einer Ausnutzung dieser Schwachstellen zu minimieren.

Diese Vorfälle verdeutlichen die Wichtigkeit, stets aktuelle Sicherheitsupdates zu installieren und die Quellen von Softwarepaketen sorgfältig zu überprüfen, um die Integrität von Projekten und Systemen zu gewährleisten.

Weitere Informationen finden sich in den GitHub Security Advisories zu CVE-2024-35241 und CVE-2024-35242.

Related Posts

Sicherheitslücke im Johnson Controls iStar Pro Door Zugriffskontrollsystem entdeckt

Am 6. Juni 2024 hat die Cybersecurity and Infrastructure Security Agency (CISA) eine kritische Sicherheitswarnung für den iStar Pro Door Controller von Johnson Controls veröffentlicht. Unter der Meldung ICSA-24-158-04 wird eine gravierende Schwachstelle dokumentiert, die erhebliche Risiken für den sicheren Betrieb von Zutrittskontrollsystemen darstellt. In diesem Artikel werden die Details dieser Schwachstelle und die empfohlenen Maßnahmen zur Risikominderung erläutert.

Read More

Kritische Sicherheitslücken in Fuji Electric Monitouch V-SFT

Am 4. Juni 2024 veröffentlichte die Cybersecurity and Infrastructure Security Agency (CISA) eine kritische Sicherheitswarnung bezüglich des Bildschirmkonfigurationssoftware Monitouch V-SFT von Fuji Electric.

Read More

SCADA Sicherheitswarnung: Schneider Electric SAGE RTU-Produkte

In einer Sicherheitsmeldung veröffentlichte Schneider Electric eine Sicherheitswarnung zu diversen Produkten seiner Sage RTU Serie. Die betroffenen Produkte dienen zur Sammlung von Informationen in Versorgungsstationen und deren Weiterleitung an SCADA-Plattformen. Die gefundenen Schwachstellen könnten zu vollständigen Kompromittierungen der Geräte führen, was Datenverlust, Betriebsstörungen oder Leistungseinbußen zur Folge haben kann.

Read More