Die Betreiber des PHP-Paket-Repositorys Packagist.org haben in ihrer Webseite eine Sicherheitslücke geschlossen. Angreifer hätten aufgrund einer unzureichenden Überprüfung Schadcode auf dem Server ausführen können. In der Regel läuft so etwas auf eine Kompromitierung einer Seite hinaus. In einem Blog-Eintrag hat der Sicherheitsforscher Max Justicz über den Vorfall berichtet.

Über das Bereitstellen einer URL ist der Upload zu Packagist realisiert und im URL-Feld auf der Webseite konnten in gewissem Rahmen Befehle eingegeben und ausgeführt werden. Dem Sicherheitsforscher zufolge haben die Webseiten-Betreiber diese Schwachstelle bereits geschlossen.

Für PHP-Pakete ist Packagist ein großer Hoster, bei dem pro Monat mehr als 400 Millionen Uploads stattfinden. Packagist ist mit dem Paketmanager Composer verwoben.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE