Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04880

Опубликовано: 10 июн. 2024
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость компонента Branch Name Handler менеджера зависимостей для PHP Composer связана с использованием команды composer install, запущенной внутри репозитория git/hg. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
Nils Adermann, Jordi Boggiano
АО "НППКТ"

Наименование ПО

РЕД ОС
Astra Linux Special Edition
Composer
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.2.24 (Composer)
до 2.7.7 (Composer)
до 2.11 (ОСОН ОСнова Оnyx)
1.8 (Astra Linux Special Edition)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Для Composer:
https://github.com/composer/composer/commit/6bd43dff859c597c09bd03a7e7d6443822d0a396
https://github.com/composer/composer/commit/fc57b93603d7d90b71ca8ec77b1c8a9171fdb467
https://github.com/composer/composer/security/advisories/GHSA-v9qv-c7wm-wgmf
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения composer до версии 1.8.4-1+deb10u4
Для ОС Astra Linux:
обновить пакет composer до 1.8.4-1+deb10u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для ОС Astra Linux Special Edition 1.8:
обновить пакет composer до 2.5.5-1+deb12u2.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет composer до 1.8.4-1+deb10u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 90%
0.05494
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-35242

CVSS3: 8.8
ubuntu
около 1 года назад

Composer is a dependency manager for PHP. On the 2.x branch prior to versions 2.2.24 and 2.7.7, the `composer install` command running inside a git/hg repository which has specially crafted branch names can lead to command injection. This requires cloning untrusted repositories. Patches are available in version 2.2.24 for 2.2 LTS or 2.7.7 for mainline. As a workaround, avoid cloning potentially compromised repositories.

nvd логотип

CVE-2024-35242

CVSS3: 8.8
nvd
около 1 года назад

Composer is a dependency manager for PHP. On the 2.x branch prior to versions 2.2.24 and 2.7.7, the `composer install` command running inside a git/hg repository which has specially crafted branch names can lead to command injection. This requires cloning untrusted repositories. Patches are available in version 2.2.24 for 2.2 LTS or 2.7.7 for mainline. As a workaround, avoid cloning potentially compromised repositories.

debian логотип

CVE-2024-35242

CVSS3: 8.8
debian
около 1 года назад

Composer is a dependency manager for PHP. On the 2.x branch prior to v ...

github логотип

GHSA-v9qv-c7wm-wgmf

CVSS3: 8.8
github
около 1 года назад

Composer has multiple command injections via malicious git/hg branch names

suse-cvrf логотип

SUSE-SU-2024:2107-1

suse-cvrf
около 1 года назад

Security update for php-composer2

EPSS

Процентиль: 90%
0.05494
Низкий

8.8 High

CVSS3

10 Critical

CVSS2