【发布时间】:2021-07-28 00:51:03
【问题描述】:
背景:
- 据报道,2021 年 4 月 27 日 Composer 存在影响 PHP 的漏洞。
- https://blog.packagist.com/composer-command-injection-vulnerability/
- https://portswigger.net/daily-swig/php-package-manager-flaw-left-millions-of-web-apps-open-to-abuse
- 建议的操作:更新到 Composer 2.0.13
- 作曲家 - https://getcomposer.org/
服务器环境:
- Linux
- 共享虚拟主机
这些是我采取的步骤:
第 1 步:登录终端并找出我正在使用的作曲家版本
composer -vvv about
结果:
在 Linux / 4.19.150-76.ELK.el6.x86_64 上使用 PHP 7.3.27 运行 2.0.6 (2020-11-07 11:21:17)
第 2 步:运行命令更新 Composer
composer self-update
结果:错误消息
升级到 2.0.13 版(稳定版)。
[作曲家\下载器\文件系统异常] 文件系统异常: Composer 更新失败:无法写入“/opt/cpanel/composer/bin/composer”。 重命名(/opt/cpanel/composer/bin/composer):无法打开流:只读文件系统
自我更新 [-r|--rollback] [--clean-backups] [--no-progress] [--update-keys] [--stable] [--preview] [--snapshot] [--1] [--2] [--set-channel-only] [--] []
第 3 步:找出 /opt/cpanel/composer/bin/composer 的权限
ls -l /opt/cpanel/composer/bin/composer
结果:
-rwxr-xr-x 1 bin bin 2192976 Nov 10 13:37 /opt/cpanel/composer/bin/composer*
stat /opt/cpanel/composer/bin/composer
结果:
文件:`/opt/cpanel/composer/bin/composer'
大小:2192976 块:4288 IO 块:4096 常规文件
设备:801h/2049d 索引节点:266192 链接:1
访问:(0755/-rwxr-xr-x)Uid:(1/ bin)Gid:(1/ bin)
访问:2021-05-02 02:40:36.937400521 -0600
修改:2020-11-10 13:37:13.000000000 -0700
更改:2021-04-14 16:25:27.129945713 -0600
【问题讨论】:
标签: php linux composer-php packagist