【风险通告】多个包管理器中发现多个安全漏洞

0x00 风险概述

2022年3月8日，研究人员披露了在多个的包管理器中发现的多个安全漏洞，可执行任意代码并从受感染的机器访问敏感信息，包括源代码和访问令牌。

0x01 攻击详情

软件包管理器指的是用于自动安装、升级、配置开发应用程序所需的第三方依赖的系统或一组工具。

研究人员本次发现的存在漏洞的包管理器包括：Composer、Bundler、Bower、Poetry、Yarn、pnpm、Pip和Pipenv，漏洞如下：

Composer 中的命令注入(CVE-2021-41116)

Composer 是 PHP 语言的开源依赖管理器。在受影响的版本中，运行Composer来安装不受信任的依赖关系的windows用户会受到命令注入漏洞的影响，其他操作系统和WSL不受影响。该漏洞的CVSSv3评分最高为9.8，已在 composer 版本1.10.23 和 2.1.9 中修复。

Bundler 和 Poetry 中的参数注入(CVE-2021-43809和CVE-2021-43796)

Bundler 和 Poetry中存在参数命令注入漏洞，某些命令的选项可执行任意可文件，并导致代码执行。其中，CVE-2021-43809的CVSSv3评分最高为7.3。

Yarn、Pip、Composer等中的不可信搜索路径(暂无CVE-ID)

Yarn、pnpm、Bower、Poetry、Composer、pip 和 pipenv中存在不受信任的搜索路径漏洞，可能导致执行恶意代码。

其中最严重的漏洞是Composer 中的命令注入漏洞，可以通过插入已经发布的恶意包的URL来实现任意代码执行;而在Bundler、Poetry、Yarn、Composer、Pip和Pipenv中发现的参数注入和不可信任的搜索路径漏洞，可以通过带有恶意软件的git可执行文件或控制的文件(如用于指定Ruby程序依赖关系的Gemfile)来实现代码执行。

影响范围

Composer 1.x < 1.10.23 和2.x < 2.1.9(CVE-2021-41116)

Bundler < 2.2.33(CVE-2021-43809)

Bower < 1.8.13(CVE-2021-43796)

Poetry < 1.1.9(暂无CVE-ID)

Yarn < 1.22.13(暂无CVE-ID)

pnpm < 6.15.1(暂无CVE-ID)

Pip (暂未修复)

Pipenv (暂未修复)

0x02 风险等级

高危。

0x03 影响范围

这些漏洞可能会被滥用来运行任意代码，导致敏感信息泄露或发起供应链攻击。

0x04 安全建议

目前部分漏洞已经修复，建议用户及时升级更新到如下或更高版本：

pnpm 6.15.1 版本

Yarn 1.22.13 版本

Composer 1.10.23 或 2.1.9 版本

Bower 1.8.13 版本

Bundler 2.2.33 版本

Poetry 1.1.9版本

Pip 和Pipenv (暂未修复)

0x05 参考链接

https://blog.sonarsource.com/securing-developer-tools-package-managers

https://nvd.nist.gov/vuln/detail/CVE-2021-43809

https://thehackernews.com/2022/03/multiple-security-flaws-discovered-in.html

0x06 版本信息

来源：维他命安全