Un bug de Composer pourrait permettre des attaques de types supply-chain

Les responsables de Composer, un gestionnaire de paquets pour PHP, ont envoyé une mise à jour pour remédier à une vulnérabilité critique qui aurait pu permettre à un attaquant d’exécuter des commandes arbitraires et de « dérober chaque paquet PHP », ce qui a entraîné une attaque de chaîne d’approvisionnement.

Identifié sous le nom de CVE-2021-29472, le problème de sécurité a été découvert et signalé le 22 avril par des chercheurs de SonarSource, après quoi un hotfix a été déployé moins de 12 heures plus tard.

« Corrigé la vulnérabilité d’injection de commande dans HgDriver/HgDownloader et durci d’autres pilotes et téléchargeurs VCS, » a déclaré Composer dans ses notes de sortie pour les versions 2.0.13 et 1.10.22 . « À notre connaissance, la vulnérabilité n’a pas été exploitée. »

Composer est présenté comme un outil de gestion de la dépendance dans PHP, permettant l’installation facile de paquets pertinents à un projet. Il permet également aux utilisateurs d’installer des applications PHP disponibles sur Packagist, un référentiel qui regroupe tous les paquets PHP publics installables avec Composer.

composer

Selon SonarSource, la vulnérabilité provient de la façon dont les URL de téléchargement source de paquet sont traitées, ce qui peut conduire à un scénario où un adversaire pourrait déclencher une injection de commande à distance. Comme preuve de ce comportement, les chercheurs ont exploité la faille d’injection d’arguments pour créer une URL de référentiel Mercurial malveillante qui tire parti de son option « alias » pour exécuter une commande shell du choix de l’attaquant.

« Une vulnérabilité dans un tel composant central, qui répond à plus de 100 millions de demandes de métadonnées par mois, a un impact énorme car cet accès aurait pu être utilisé pour voler les informations d’identification des responsables ou pour rediriger les téléchargements de paquets vers des serveurs tiers offrant des dépendances détournées », a déclaré SonarSource.

La société Genevoise de sécurité du code a déclaré que l’un des bugs a été introduit en Novembre 2011, ce qui suggère que le code vulnérable se cache dès que le développement de Composer a commencé il y’a 10 ans. La première version « alpha » est sortie le 3 juillet 2013.

« L’impact direct sur les utilisateurs de Composer est limitée car le fichier composer.json est généralement sous leur propre contrôle et les URL de téléchargement source ne peuvent être fourni par des référentiels tiers de Composer à qui ils font explicitement confiance pour télécharger et exécuter le code source à partir, par exemple de plugins de Composer », a déclaré Jordi Boggiano, l’un des principaux développeurs derrière Composer.

Vous pourriez aussi aimer
Laisser un commentaire