Dopo apt di Debian, anche PHP PEAR ha una vulnerabilità. Abbiamo un problema generale con i gestori di pacchetti?

Era solamente la scorsa settimana quando vi raccontavamo della vulnerabilità relativa ad apt, il package managed di tutte le distribuzioni Debian e derivate, scoperta e risolta in tempi brevissimi ed oggi siamo a parlare di una nuova vulnerabilità, stavolta relativa ad un altro package manager (PEAR) relativo ad un altro ambito (il linguaggio di programmazione PHP), che è ancora allo studio.

Il tutto è nato con questo thread Twitter:

2/5 What we know: The taint was an embedded line designed to spawn a reverse shell via Perl to IP 104.131.154.154. This IP has been reported to its host in relation to the taint.

— PEAR (@pear) January 23, 2019

Nel quale viene segnalato come esiste (o meglio esisteva, visto che il servizio è stato nel frattempo disabilitato) una linea che cerca di aprire una Shell in Perl verso un IP remoto.

È comunque possibile installare pacchetti PEAR utilizzando questo workaround:

Workaround for installing PEAR packages while https://t.co/dwKlscDEFf is down:
get the latest Release of the package at GitHub (e.g. https://t.co/BXkQWhkioP), unpack it, cd into that dir, and run `pear install package.xml` or `pear install package2.xml`.

— PEAR (@pear) January 24, 2019

Ma la questione rimane aperta: cosa succede quando un ambiente che si ritiene affidabile per antonomasia diventa insicuro? Come è possibile installare una patch quando ad esser stato compromesso è il sistema stesso di pacchettizzazione?

In entrambi i casi descritti (apt e PEAR) non paiono esserci state evidenze di violazioni delle informazioni o di sfruttamento delle vulnerabilità, ma questi due esempi potrebbero rappresentare un brusco risveglio così come lo sono stati Spectre e Meltdown nel caso delle CPU: nemmeno i sistemi di pacchettizzazione sono un luogo sicuro.

Ma lo sappiamo già vero? Rilassarsi non è cosa da informatici.

Leggi il contenuto originale su Mia mamma usa Linux!