Package Manager Configurations
Уязвимости
2
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.06307
Распределение по критичности
Критический
0
Высокий
2
Средний
0
Низкий
0
Также сопоставлено как (исходные строки): package_manager_configurations
Топ уязвимостей
CVE-2020-36327Bundler 1.16.0 до 2.2.9 и 2.2.11 до 2.2.16 иногда выбирает источник зависимостей на основе самого высокого номера версии gem, что означает, что может быть выбран мошеннический gem, найденный в общедоступном источнике, даже если предполагаемым выбором был частный gem, который является зависимостью другого частного gem, от которого явно зависит приложение. ПРИМЕЧАНИЕ: неправильно использовать CVE-2021-24105 для каждой проблемы "Dependency Confusion" в каждом продукте.
CVE-2021-24105В зависимости от конфигурации различных менеджеров пакетов злоумышленник может вставить вредоносный пакет в репозиторий менеджера пакетов, который можно извлечь и использовать в процессах разработки, сборки и выпуска. Эта вставка может привести к удаленному выполнению кода. Мы считаем, что эта уязвимость затрагивает несколько менеджеров пакетов на разных языках, включая, но не ограничиваясь: Python/pip, .NET/NuGet, Java/Maven, JavaScript/npm.</p>
<p><strong>Сценарии атак</strong></p>
<p>Злоумышленник может воспользоваться этой общеэкосистемной проблемой, чтобы причинить вред различными способами. Первоначальные сценарии атак были обнаружены Алексом Бирсаном и подробно описаны в его техническом документе <a href="https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610">Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies</a>.</p>
<ul>
<li><p>Обладая базовыми знаниями о целевых экосистемах, злоумышленник может создать пустую оболочку для пакета и вставить вредоносный код в скрипты установки, присвоить ему высокую версию и опубликовать его в общедоступном репозитории. Уязвимые машины загрузят более высокую версию пакета между общедоступным и частным репозиториями и попытаются его установить. Из-за несовместимости кода он, вероятно, выдаст ошибку при импорте или компиляции, что облегчит обнаружение; однако злоумышленник к этому моменту получит возможность выполнения кода.</p>
</li>
<li><p>Продвинутый злоумышленник, обладающий некоторыми внутренними знаниями о цели, может взять копию работающего пакета, вставить вредоносный код (в сам пакет или в установку), а затем опубликовать его в общедоступном репозитории. Пакет, скорее всего, установится и импортируется правильно, предоставляя злоумышленнику начальную точку опоры и устойчивость.</p>
</li>
</ul>
<p>Эти два метода могут повлиять на целевые организации на любом из следующих уровней:</p>
<ul>
<li>Машины разработчиков</li>
<li>Вся команда, если конфигурация для импорта вредоносного пакета загружена в репозиторий кода</li>
<li>Конвейеры непрерывной интеграции, если они извлекают вредоносные пакеты на этапах сборки, тестирования и/или развертывания</li>
<li>Клиенты, серверы загрузки, производственные службы, если вредоносный код не был обнаружен</li>
</ul>
<p>Эта уязвимость удаленного выполнения кода может быть устранена только путем перенастройки инструментов и рабочих процессов установки, а не путем исправления чего-либо в самих репозиториях пакетов. См. раздел <strong>FAQ</strong> этого CVE для получения рекомендаций по настройке.</p>