您所在的位置: 首頁 >
安全研究 >
安全通告 >
多個包管理器中發(fā)現(xiàn)多個安全漏洞
【風險通告】多個包管理器中發(fā)現(xiàn)多個安全漏洞
0x00 風險概述
2022年3月8日,研究人員披露了在多個的包管理器中發(fā)現(xiàn)的多個安全漏洞,可執(zhí)行任意代碼并從受感染的機器訪問敏感信息,包括源代碼和訪問令牌。
0x01 攻擊詳情
軟件包管理器指的是用于自動安裝、升級、配置開發(fā)應(yīng)用程序所需的第三方依賴的系統(tǒng)或一組工具。
研究人員本次發(fā)現(xiàn)的存在漏洞的包管理器包括:Composer、Bundler、Bower、Poetry、Yarn、pnpm、Pip和Pipenv,漏洞如下:
Composer 中的命令注入(CVE-2021-41116)
Composer 是 PHP 語言的開源依賴管理器。在受影響的版本中,運行Composer來安裝不受信任的依賴關(guān)系的windows用戶會受到命令注入漏洞的影響,其他操作系統(tǒng)和WSL不受影響。該漏洞的CVSSv3評分最高為9.8,已在 composer 版本1.10.23 和 2.1.9 中修復(fù)。
Bundler 和 Poetry 中的參數(shù)注入(CVE-2021-43809和CVE-2021-43796)
Bundler 和 Poetry中存在參數(shù)命令注入漏洞,某些命令的選項可執(zhí)行任意可文件,并導(dǎo)致代碼執(zhí)行。其中,CVE-2021-43809的CVSSv3評分最高為7.3。
Yarn、Pip、Composer等中的不可信搜索路徑(暫無CVE-ID)
Yarn、pnpm、Bower、Poetry、Composer、pip 和 pipenv中存在不受信任的搜索路徑漏洞,可能導(dǎo)致執(zhí)行惡意代碼。
其中最嚴重的漏洞是Composer 中的命令注入漏洞,可以通過插入已經(jīng)發(fā)布的惡意包的URL來實現(xiàn)任意代碼執(zhí)行;而在Bundler、Poetry、Yarn、Composer、Pip和Pipenv中發(fā)現(xiàn)的參數(shù)注入和不可信任的搜索路徑漏洞,可以通過帶有惡意軟件的git可執(zhí)行文件或控制的文件(如用于指定Ruby程序依賴關(guān)系的Gemfile)來實現(xiàn)代碼執(zhí)行。
影響范圍
Composer 1.x < 1.10.23 和2.x < 2.1.9(CVE-2021-41116)
Bundler < 2.2.33(CVE-2021-43809)
Bower < 1.8.13(CVE-2021-43796)
Poetry < 1.1.9(暫無CVE-ID)
Yarn < 1.22.13(暫無CVE-ID)
pnpm < 6.15.1(暫無CVE-ID)
Pip (暫未修復(fù))
Pipenv (暫未修復(fù))
0x02 風險等級
高危。
0x03 影響范圍
這些漏洞可能會被濫用來運行任意代碼,導(dǎo)致敏感信息泄露或發(fā)起供應(yīng)鏈攻擊。
0x04 安全建議
目前部分漏洞已經(jīng)修復(fù),建議用戶及時升級更新到如下或更高版本:
pnpm 6.15.1 版本
Yarn 1.22.13 版本
Composer 1.10.23 或 2.1.9 版本
Bower 1.8.13 版本
Bundler 2.2.33 版本
Poetry 1.1.9版本
Pip 和Pipenv (暫未修復(fù))
0x05 參考鏈接
https://blog.sonarsource.com/securing-developer-tools-package-managers
https://nvd.nist.gov/vuln/detail/CVE-2021-43809
https://thehackernews.com/2022/03/multiple-security-flaws-discovered-in.html
0x06 版本信息
來源:維他命安全