PHP-Paket-Repository Packagist.org war für Schadcode anfällig
In der Webseite Packagist.org klaffte eine gefährliche Sicherheitslücke. Angreifer hätten mit vergleichsweise wenig Aufwand Schadcode ausführen können.
(Bild: Comfreak)
Die Betreiber des PHP-Paket-Repositorys Packagist.org haben eine Sicherheitslücke in ihrer Webseite geschlossen. Aufgrund einer unzureichenden Überprüfung hätten Angreifer Schadcode auf dem Server ausführen können. So etwas läuft in der Regel auf eine Kompromitierung einer Seite hinaus. Der Sicherheitsforscher Max Justicz berichtet in einem Blog-Eintrag über den Vorfall.
Der Upload zu Packagist ist über das Bereitstellen einer URL, beispielsweise zu einem Git, realisiert. In dem URL-Feld auf der Webseite konnte man in einem gewissen Rahmen Befehle eingeben und ausführen. Weitere Details beschreibt Justicz in seinem Beitrag. Die Webseiten-Betreiber haben die Schwachstelle dem Sicherheitsforscher zufolge zügig geschlossen.
Packagist ist ein großer Hoster für PHP-Pakete – pro Monat finden mittlerweile mehr als 400 Millionen Uploads statt. Packagist ist mit dem Paketmanager Composer verwoben. (des)
