GLSA 202508-06: Composer: Multiple Vulnerabilities

http://security.gentoo.org/

Опасность:	средняя
Заголовок:	Composer: Multiple Vulnerabilities
Дата:	06.08.2025
Ошибки:	#838268
ID:	202508-06

Сводка

Multiple vulnerabilities have been discovered in Composer, the worst of which can lead to arbitrary code execution.

Назначение

Composer is a dependency manager for the PHP programming language.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
dev-php/composer	<= 9999		All supported architectures

Описание

Integrators using Composer code to call `VcsDriver::getFileContent` can have a code injection vulnerability if the user can control the `$file` or `$identifier` argument. This leads to a vulnerability on packagist.org for example where the composer.json's `readme` field can be used as a vector for injecting parameters into hg/Mercurial via the `$file` argument, or git via the `$identifier` argument if you allow arbitrary data there (Packagist does not, but maybe other integrators do). Composer itself should not be affected by the vulnerability as it does not call `getFileContent` with arbitrary data into `$file`/`$identifier`.

Воздействие

Please review the referenced CVE identifiers for details.

Обход

There is no known workaround at this time.

Решение

Gentoo has discontinued support for composer and the package should be removed:

          # emerge --sync
          # emerge --ask --verbose  --depclean "dev-php/composer"

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-202508-06.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.