原标题:Packagist修补官网的远端程式执行漏洞
图片来源:Packagist
安全研究人员Max△Justicz本周披露,Packagist官方网站(packagist.org)存在一远端程式执行漏洞,将允许骇客挟持该站服务。
Packagist为PHP生态体系中规模最大的套件储存库,PHP开发者借由热门的套件管理员Composer即可直接安装存放于Packagist的套件,根据Packagist的估计,从2012年4月迄今,该站的注册套件数量为19.3万,套件安装次数更超过100亿次,现在每个月的套件安装数量已超过40万。
开发人员于Packagist上提交套件的方式是提供来自Git、Perforce、Subversion或Mercurial等储存库的网址,然而,Justicz却发现Packagist在检查该网址是否连至Perforce或Subversion时会不当地转义网址上的参数,而让骇客得以执行恶意指令。一个高明的骇客可能借此挟持Packagist伺服器并执行更具破坏力的行动。
幸好Packagist在收到Justicz通知之后已于日前修补了该漏洞。
相关:
开源的加密通讯专案OpenSSH在最近接连被踢爆两个用户名称枚举(Username△Enumeration)漏洞,它们分别是CVE-2018-15473与CVE-2018-15919,虽然OpenSSH团队已经修补了前一个漏洞,但他们认为这并不是什么大不了的漏洞
研究员揭 Windows 10 权限漏洞 恐被黑客利用 | 香港 UNWIRE.HK 玩生活.乐科技
日前有保安研究人员在一部完全安装 Windows 10 保安升级档的电脑上,成功利用“Zero-day”零时差攻击漏洞取得系统管理员级权限。这位人士在微软未发表修补更新的情况下,就在 Twitter 公布了这个漏洞,更在 GitHub 公
图片来源: SandboxEscaper的Twitter个人页面 一般而言,资安研究员若是发现到软件的弱点,会先行通报厂商,让厂商能进行相关的修补作业,待完成并提供更新档案后,资安研究员才会公开揭露他们发现的细节,减少弱点遭
IG用户未来除了简讯,还可选择从第三方的安全程式取得验证码。 图片来源: Instagram 曾多次传出用户帐号遭盗事件的Instagram周二(8/28)宣布即将开始支援第三方的身份认证程式。身为全球第五大社交平台的Instagra
不负责爆料?研究人员揭露还没有修补程式的Windows 工作排程器零时差漏洞
示意图,与新闻事件无关。 一位研究人员在没有通报微软的情况下,就通过推特公布了微软工作排程器(task△scheduler)一项权限升级的零时差攻击漏洞,以及PoC攻击程式码。名为SandboxEscaper的研究人员并未说明任何