BDU:2022-02944

АО "НППКТ", ООО «Ред Софт», Nils Adermann, Jordi Boggiano, ООО «РусБИТех-Астра», Tenable, Inc., Fedo Tenable.sc, Composer, Astra Linux Common Edition, Fedora, Astra Linux Special Edition, ОСОН ОСнова О

НЕ ОЦЕНЕНО

Дата обнаружения

2022-04-13

Официальное описание

Уязвимость реализации метода VcsDriver::getFileContent() менеджера зависимостей для PHP Composer связана с недостаточной проверкой вводимых данных при обработке аргументов «$file» или «$identifier». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Использование рекомендаций: Для Composer: https://github.com/composer/composer/commit/2c40c53637c5c7e43fff7c09d3d324d632734709

Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GWT6LDSRY7SFMTDZWJ4MS2ZBXHL7VQEF/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QD7JQWL6C4GVROO25DTXWYWM6BPOPPCG/

Для Tenable.sc: https://www.tenable.com/security/tns-2022-09

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения composer до версии 1.8.4-1+deb10u2

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux: обновить пакет composer до 1.2.2-1+deb9u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей