ГлавнаяБаза уязвимостей БДУ → BDU:2024-04879
9высокая

BDU:2024-04879

Уязвимость файла composer.phar менеджера зависимостей для PHP Composer, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2024-06-28
Описание

Уязвимость файла composer.phar менеджера зависимостей для PHP Composer связана с работой register_argc_argv в php.ini. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Astra Linux Common Edition (1.6 «Смоленск»)ОСОН ОСнова Оnyx (до 2.10.1)Composer (до 1.10.27)Composer (от 2.0.0 до 2.2.21)Composer (от 2.3.0 до 2.6.4)
Способ устранения

Для Composer:
https://github.com/composer/composer/commit/4fce14795aba98e40b6c4f5047305aba17a6120d
https://github.com/composer/composer/commit/955a48e6319c8962e5cd421b07c00ab3c728968c
https://github.com/composer/composer/commit/95e091c921037b7b6564942845e7b738f6b95c9c
https://github.com/composer/composer/security/advisories/GHSA-jm6m-4632-36hf

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения composer до версии 1.8.4-1+deb10u3

Для ОС Astra Linux:
обновить пакет composer до 1.8.4-1+deb10u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет composer до 1.8.4-1+deb10u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Astra Linux:
обновить пакет composer до 1.2.2-1+deb9u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://github.com/composer/composer/commit/4fce14795aba98e40b6c4f5047305aba17a6120dhttps://github.com/composer/composer/commit/955a48e6319c8962e5cd421b07c00ab3c728968chttps://github.com/composer/composer/commit/95e091c921037b7b6564942845e7b738f6b95c9chttps://github.com/composer/composer/security/advisories/GHSA-jm6m-4632-36hfhttps://redos.red-soft.ru/support/secure/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.10.1/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена