Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Araştırmacılar Packagist PHP Deposunda Tedarik Zinciri Güvenlik Açığı Bildirdi
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Araştırmacılar Packagist PHP Deposunda Tedarik Zinciri Güvenlik Açığı Bildirdi

GenelSiber Güvenlik

Araştırmacılar Packagist PHP Deposunda Tedarik Zinciri Güvenlik Açığı Bildirdi

teknomers
Son güncelleme: 5 Ekim 2022 06:30
teknomers
Paylaş
Paylaş


Araştırmacılar, bir PHP yazılım paketi deposu olan Packagist’te, yazılım tedarik zinciri saldırılarını gerçekleştirmek için kullanılabilecek, şu anda yamalı, yüksek önemde bir güvenlik açığıyla ilgili ayrıntıları açıkladılar.

“Bu güvenlik açığı, paketçi,” SonarSource araştırmacısı Thomas Chauchefoin söz konusu The Hacker News ile paylaşılan bir raporda. Packagist, PHP paket yöneticisi Composer tarafından geliştiriciler tarafından projelerine dahil edilen yazılım bağımlılıklarını belirlemek ve indirmek için kullanılır.

Açıklama, açık kaynak depolarına kötü amaçlı yazılım yerleştirmenin, yazılım tedarik zinciri saldırılarını başlatmak için çekici bir kanala dönüşmesiyle ortaya çıkıyor.

olarak izlendi CVE-2022-24828 (CVSS puanı: 8.8), sorun bir komut enjeksiyonu vakası olarak tanımlanmıştır ve Nisan 2021’de ortaya çıkan ve yetersiz bir yama olduğunu düşündüren benzer bir Composer hatasıyla (CVE-2021-29472) bağlantılıdır.

“Bir projenin URL’sinde açıkça listelenen bir Git veya Mercurial deposunu kontrol eden bir saldırgan besteci.json besteci güncellemesini çalıştıran makinede komutları yürütmek için özel hazırlanmış dal adlarını kullanabilir, “Packagist ifşa Nisan 2022 tavsiyesinde.

Kusurun başarılı bir şekilde kullanılması, bir paketi güncelleme isteklerinin, Packagist’in resmi örneğini çalıştıran arka uç sunucusunda rastgele komutlar yürütülerek kötü amaçlı bağımlılıkları dağıtmak için kaçırılmış olabileceği anlamına geliyordu.

“uzlaşma [the backend services] Chauchefoin, saldırganların, bir dahaki sefere yeni bir kurulum veya bir Composer paketi güncellemesi yaptıklarında, kullanıcıları arka kapılı yazılım bağımlılıklarını indirmeye zorlamalarına izin verecek” dedi.

Bununla birlikte, bugüne kadar güvenlik açığından yararlanıldığına dair bir kanıt yok. SonarSource’un 7 Nisan 2022’de kusuru bildirmesinden sonra, Composer 1.10.26, 2.2.12 ve 2.3.5 sürümlerinde düzeltmeler yapıldı.

Açık kaynak kodu, yazılım tedarik zincirine karşı kolayca silahlandırılabilmeleri nedeniyle tehdit aktörleri için giderek daha kazançlı bir tercih edilen hedef haline geldi.

Bu Nisan ayının başlarında, SonarSource, PEAR PHP deposunda, bir saldırganın yetkisiz erişim elde etmesine, sahte paketler yayınlamasına ve rastgele kod yürütmesine izin verebilecek 15 yıllık bir güvenlik açığını da ayrıntılı olarak açıkladı.

Chauchefoin, “Tedarik zincirleri farklı biçimler alabilirken, bunlardan biri önemli ölçüde daha etkilidir: Bu üçüncü taraf yazılım bileşenlerini dağıtan sunuculara erişim sağlayarak, tehdit aktörleri, kullanıcılarının sistemlerinde bir yer elde etmek için bunları değiştirebilir.” .



siber-2

Palworld sunucusunun maliyeti %359 arttı, bu oranda yıllık 5 milyon dolar olacak
NVIDIA, İlk DGX H100 Sistemlerinin Piyasaya Sürülmesiyle Donanıma %20, Yazılıma %80 Zaman Harcadığını Söyledi
“Çünkü ben siyah değilim,” Ilon Musk, Starlink’in Güney Afrika’daki engellemesinin beklenmedik nedenini aradı
Çevrimiçi sinema Okko oyunları başlattı
Toon’a Ad Ver: Sonbahar Temizliği
ETİKETLENDİ:Açığıağ güvenliğiAraştırmacılarbildirdibilgi Güvenliğibilgisayar Güvenliğibugün siber güvenlik haberlerideposundafidye yazılımıgüvenlikhack haberlerihacker haberleriNasıl heklenirPackagistPHPsiber güncellemelersiber güvenlik güncellemelerisiber güvenlik haberlerisiber habersiber saldırılartedarikveri ihlaliyazılım güvenlik açığıZinciri
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Fransa’da elektrikli otomobil satışları ilk kez dizeli geçti
Sonraki Makale NVIDIA, Ada Lovelace ve Hopper GPU’ları için Destek Sağlayan CUDA 11.8’i Yayınladı

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Yarıdan Fazla Milyon Güç Aletleri Pili Geri Çağrıldı
Liste
Okula Dönüş İçin En İyi Laptop ve Teknoloji Fırsatları
Donanım
Tasarruf uygulamam için anahtar kelime araştırması yaptım. Sonrasında arama sonuçlarına baktım.
Yazılım
Netflix Oyun İşinde Büyük Bir Büyüme Yaşandı, Gelecek Hazineyi Bekliyor
Oyun
Trump’ın Konuşması İsyan Yasası’na Giden Yolu Açtı mı?
Genel
Acil: Karting İçin Temiz Konut Proksilerinin Peşinde!
Siber Güvenlik
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?