Критическая уязвимость исправлена в Packagist - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
31-08-2018, 18:01
Критическая уязвимость исправлена в Packagist - «Новости»
Рейтинг:
Категория: Новости

");
}else{
$('#mpu1-desktop').remove();
console.log('mpu1-desktop removed');
}
});

Разработчики крупнейшего репозитория пакетов PHP, Packagist, сообщили об исправлении критической уязвимости на официальном сайте сервиса. За обнаружение бага инженеры благодарят специалиста по информационной безопасности Макса Юстича (Max Justicz).


Нужно сказать, что Packagist — это не пакетный менеджер, но хостинг PHP-пакетов. Это дефолтный хостинг Composer, наиболее популярного пакетного менеджера PHP, и крупнейший хостинговый сервис в экосистеме PHP в целом. Так, только в июле 2018 года разработчики отчитались о 435 млн установок пакетов.


Так как проблема уже устранена, в своем блоге Юстич опубликовал детали найденного бага. Исследователь рассказывает, что поле Submit Package («Добавить пакет»), предназначенное для загрузки новых пакетов PHP прямо через главную страницу сайта Packagist, позволяло атакующим запустить вредоносную команду в формате «$(ВРЕДОНОСНЫЕ_КОМАНДЫ)».


Дело в том, что Packagist ожидал, что пользователь предоставит ему URL, указывающий на репозиторий с кодом на сервере Git, Perforce, Subversion или Mercurial. Как оказалось, сервис некорректно проверял, ведет ли URL к репозиторию Perforce или Subversion, из-за чего выполнял вредоносные команды дважды (один раз при проверке Perforce и еще раз при проверке Subversion).


Юстич пишет, что опасность атаки зависела от квалификации атакующего. В теории, эксплуатируя описанный баг, злоумышленник мог скомпрометировать сервер Packagist и развить атаку далее.


Источник новостиgoogle.com



Теги: CSS, сервис проверке хостинг пакетов PHP

Просмотров: 1 112
Комментариев: 0:   31-08-2018, 18:01
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: