ГлавнаяБаза уязвимостей БДУ → BDU:2024-04878
10критическая

BDU:2024-04878

Уязвимость функции getUnpushedChanges() менеджера зависимостей для PHP Composer, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2024-06-28
Описание

Уязвимость функции getUnpushedChanges() менеджера зависимостей для PHP Composer связана с неправильной нейтрализацией специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды с помощью команд `status`, `reinstall` и `remove`

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Astra Linux Common Edition (1.6 «Смоленск»)Composer (до 2.2.24)Composer (до 2.7.7)ОСОН ОСнова Оnyx (до 2.11)Astra Linux Special Edition (1.8)
Способ устранения

Для Composer:
https://github.com/composer/composer/commit/b93fc6ca437da35ae73d667d0618749c763b67d4
https://github.com/composer/composer/commit/ee28354ca8d33c15949ad7de2ce6656ba3f68704
https://github.com/composer/composer/security/advisories/GHSA-47f6-5gq3-vx9c

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения composer до версии 1.8.4-1+deb10u4

Для ОС Astra Linux:
обновить пакет composer до 1.8.4-1+deb10u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для ОС Astra Linux Special Edition 1.8:
обновить пакет composer до 2.5.5-1+deb12u2.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет composer до 1.8.4-1+deb10u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Astra Linux:
обновить пакет composer до 1.2.2-1+deb9u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/composer/composer/commit/b93fc6ca437da35ae73d667d0618749c763b67d4https://github.com/composer/composer/commit/ee28354ca8d33c15949ad7de2ce6656ba3f68704https://github.com/composer/composer/security/advisories/GHSA-47f6-5gq3-vx9chttps://redos.red-soft.ru/support/secure/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.11/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MDhttps://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена