2022-0847: Composer: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-04-19 14:36): Neues Advisory
Version 2 (2022-05-10 18:14): Für openSUSE Backports SLE 15 SP3 steht ein Sicherheitsupdate für 'php-composer' bereit, um die beiden Schwachstellen zu beheben. Die Software wird damit auf Version 1.10.26 aktualisiert.
Version 3 (2022-09-05 18:15): Für SUSE Linux Enterprise High Performance Computing 15 SP4, SUSE Linux Enterprise Module for Web Scripting 15 SP4, SUSE Linux Enterprise Server 15 SP4, SUSE Linux Enterprise Server for SAP Applications 15 SP4, SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3, SUSE Manager Server 4.3 sowie für openSUSE Leap 15.4 stehen Sicherheitsupdates für 'php-composer2' bereit, um die Schwachstelle CVE-2022-24828 zu beheben.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Für Fedora 34 und 35 sowie für Fedora EPEL 7 und 9 stehen Sicherheitsupdates auf die Versionen 2.3.5, 2.2.12 und 1.10.26 im Status 'testing' bereit, welche die Schwachstelle CVE-2022-24828 für das Paketrepository 'packagist.org' beheben. Das Update für Fedora EPEL 7 adressiert dabei auch die Schwachstelle CVE-2021-41116, welche bereits mit Version 1.10.23 behoben wurde und nur für Windows relevant ist.

Schwachstellen:

CVE-2021-41116

Schwachstelle in Composer ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-24828