Die beiden Schwachstellen sind als Command-Injection-Lücken im Perforce-VCS-Treiber von Composer beschrieben. Der entscheidende Punkt aus dem Hinweis der Maintainer: Composer würde die eingeschleusten Befehle auch dann ausführen, wenn das Versionskontrollsystem Perforce VCS überhaupt nicht installiert ist. Damit reicht die bloße Verarbeitung manipulierter Perforce-Angaben aus.
Für die betroffenen Versionen wurden Patches veröffentlicht. Lässt sich nicht sofort aktualisieren, empfehlen die Maintainer eine Reihe von Vorsichtsmaßnahmen: Vor jedem Composer-Aufruf sollten die composer.json-Dateien geprüft werden, wobei sich kontrollieren lässt, ob Perforce-bezogene Felder gültige Werte enthalten. Darüber hinaus sollten ausschließlich vertrauenswürdige Composer-Repositories genutzt und Composer-Befehle nur auf Projekten aus vertrauenswürdigen Quellen ausgeführt werden. Vom Installieren von Abhängigkeiten über die Einstellung “–prefer-dist” beziehungsweise “preferred-install: dist” wird abgeraten.
Composer durchsuchte nach eigenen Angaben die Paketquelle Packagist.org und fand keine Belege dafür, dass die Schwachstellen von Angreifern ausgenutzt wurden, etwa durch das Veröffentlichen von Paketen mit bösartigen Perforce-Informationen. Für Kunden von Private Packagist Self-Hosted soll eine neue Version ausgeliefert werden.
Als Vorsichtsmaßnahme wurde die Veröffentlichung von Perforce-Quellmetadaten auf Packagist.org bereits deaktiviert. “Composer-Installationen sollten unabhängig davon umgehend aktualisiert werden”, erklärte das Projekt.
