Packagist fordert sofortigen Composer-Update nach GitHub Actions-Token-Leak
Packagist warnt PHP-Entwickler weltweit vor einer Sicherheitslücke. Ein Fehler in Composer, dem weit verbreiteten PHP-Abhängigkeitsmanager, führte dazu, dass GitHub-Authentifizierungstokens kurzzeitig in öffentlich einse Packagist warnt PHP-Entwickler weltweit vor einer Sicherheitslücke.
Kurzfassung
Warum das wichtig ist
- Packagist warnt PHP-Entwickler weltweit vor einer Sicherheitslücke.
- Ein Fehler in Composer, dem weit verbreiteten PHP-Abhängigkeitsmanager, führte dazu, dass GitHub-Authentifizierungstokens kurzzeitig in öffentlich einsehbare CI-Logs gelangten und damit dringende Bedenken hinsichtlich der Exposition Softwareprojekte weltweit aufwarfen.
- Das Problem begann, als GitHub Ende April 2026 stillschweigend ein neues Token-Format für seinen GitHub Actions-Dienst einführte.
Das aktualisierte Format enthielt einen Bindestrich im Token-String, was vom internen Validierungscode ücksichtigt worden war. Wenn Composer auf ein solches Token im neuen Stil traf, lehnte es das Token sofort ab und druckte den vollständigen Token-Wert direkt in die Actions-Logs als Teil einer Standardfehlermeldung aus, wo jeder mit Zugriff auf die Logs ihn potenziell ohne besonderen technischen Aufwand einsehen konnte.
Forscher bei Socket.dev gehörten zu denjenigen, die den gesamten Umfang und die Schwere dieses Problems für die breitere Entwicklergemeinschaft aufzeigten. Die Untersuchung verdeutlichte, dass es sich nicht um einen marginalen Sonderfall oder eine theoretische Schwachstelle handelte, sondern um ein reales Risiko, das jedes PHP-Projekt betreffen kann, das Composer innerhalb eines GitHub Actions-Workflows verwendet.
Die Exposition resultiert aus der Art und Weise, wie zahlreiche gängige Setup-Workflows in der Praxis täglich funktionieren.
Wenn Entwickler einen verbreiteten GitHub Actions-Helfer
Wenn Entwickler einen verbreiteten GitHub Actions-Helfer wie `shivammathur/setup-php` einsetzen, wird automatisch das `GITHUB_TOKEN` in die globale Authentifizierungskonfiguration Token während des Rollout-Fensters zufällig dem neuen Format entsprechen, lehnt Composer es ab und gibt das vollständige Credential im Log aus, ohne dem Entwickler, der den Workflow ursprünglich eingerichtet hat, eine Warnung oder ein sichtbares Signal zu geben.
Packagist fordert eine sofortige Aktualisierung das neue Token-Format zurückgenommen, was die unmittelbare Wahrscheinlichkeit neuer Lecks derzeit verringert.
Der Co-Gründer, Nils Adermann, hat jedoch deutlich gemacht, dass der Rollback nicht rückgängig macht, was bereits geschehen ist, und Teams müssen Composer unverzüglich aktualisieren und ihre jüngsten Logs sorgfältig auf Anzeichen einer Credential-Exposition prüfen, bevor GitHub in den kommenden Wochen erneut einen Rollout des geänderten Formats versucht. Drei Versionen offiziellen Patch für dieses Problem.
Entwickler mit modernen Setups sollten ohne
Entwickler mit modernen Setups sollten ohne Verzögerung auf Composer 2.9.8 oder die Long-Term-Support-Version 2.2.28 LTS aktualisieren. Legacy-Nutzer, die sich noch auf älteren Branches befinden, können auf Composer 1.10.28 upgraden, der denselben Fix enthält; Packagist empfiehlt jedoch, wo immer möglich, auf die Composer 2.x-Linie zu wechseln, um eine stärkere langfristige Sicherheitsabdeckung zu gewährleisten.
Der Fix funktioniert, indem der abgelehnte Token-Wert vollständig aus dem Fehlerausgang die Validierungslogik gelockert wird, sodass das Tool Tokens nicht mehr gegen ein festcodiertes Zeichenmuster prüft. Dies macht Composer deutlich widerstandsfhiger gegenber zuknftigen nderungen des Token-Formats durch jede Plattform.
Die wesentliche Erkenntnis ist klar: Werkzeuge sollten Zugangs-Token als undurchsichtige Zeichenfolgen behandeln und niemals Annahmen ber ihre Lnge, Struktur oder den Zeichensatz treffen, insbesondere wenn Plattformen diese Formate aktiv weiterentwickeln. Was Teams jetzt tun sollten: Packagist.org selbst wurde, da das ffentliche Register keine GitHub-App-Installations-Token verwendet und Composer nicht direkt damit ausfhrt.
Auch Private Packagist hat die Korrektur
Auch Private Packagist hat die Korrektur angewendet und seine eigenen Update-Protokolle vollstndig berprft; dabei wurde keine Token-Exposition in irgendeiner aufgezeichneten Aktivitt festgestellt.
Das Risiko bleibt jedoch real fr jedes Projekt, das Composer innerhalb, insbesondere wenn Setup-Aktionen automatisch das GITHUB_TOKEN in die Authentifizierungsschicht zunchst unverzglich Composer auf eine der drei gepatchten Versionen aktualisieren.
Sie sollten dann die jüngsten GitHub Actions-Logs durchsuchen, um fehlgeschlagene Composer-Ausführungen zu identifizieren, bei denen möglicherweise versehentlich ein Token-Wert im Ausgabe-Stream gedruckt wurde. Solange dies möglich ist, sollten diese Log-Einträge gelöscht werden, um weitere Offenlegungen zu verhindern.
Tokens auf GitHub-gewirteten Runnern laufen in der Regel ab, wenn der Job beendet ist oder nach sechs Stunden, während Tokens auf selbstgehosteten Runnern bis zu gültig bleiben können. Jedes Token, das als kompromittiert eingestuft wird, sollte umgehend als kompromittiert behandelt und neu generiert werden. Sie uns auf
Thema weiterverfolgen
Interne Verlinkung
Im Kontext weiterlesen
Diese weiterfuehrenden Links verbinden das Thema mit relevanten Archivseiten, Schlagwoertern und inhaltlich nahen Artikeln.
Technologie Archiv
Weitere Meldungen aus derselben Hauptkategorie.
Mehr von Cyber Security News
Alle veroeffentlichten Inhalte derselben Quelle im Archiv.
Embark grünt zwei neue Titel, während ARC Raiders binnen sechs Monaten 16 Millionen Einheiten verkauft
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Lyrie.ai etabliert globalen Identittsstandard fr die KI-Agenten-ra und Anthrops Cyber-Verifizierungsprogramm
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Originaltitel
- Packagist Urges Immediate Composer Update After GitHub Actions Token Leak
- Canonical
- https://cybersecuritynews.com/packagist-urges-immediate-composer-update/
- Quell-URL
- https://cybersecuritynews.com/packagist-urges-immediate-composer-update/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
Embark grünt zwei neue Titel, während ARC Raiders binnen sechs Monaten 16 Millionen Einheiten verkauft
Der Q1-2026-Ergebnisbericht , dass Third-Person-Extraction-Shooter-Spiel Raiders in rund sechs Monaten und einem halben die beeindruckende Marke von 16 Millionen verkauften Einheiten überschritten
14.05.2026
Live Redaktion
Lyrie.ai etabliert globalen Identittsstandard fr die KI-Agenten-ra und Anthrops Cyber-Verifizierungsprogramm
DUBAI, VAE — 11. Mai 2026 — Während Internet Spielplatz Chatbots Arbeitskraft autonomer Agenten wird, geht Frage nicht mehr nur darum, was KI kann, sondern wer die KI ist.
14.05.2026
Live RedaktionLast Titan": Entdeckung des bisher größten Dinosauriers in Südostasien
Vor zehn Jahren lagen einige verwitterte Knochen Ufer eines ruhigen Teiches Nordosten Thailands. Heute gehören diese Überreste einer Legende an.
14.05.2026
Live RedaktionChinesische Display-Hersteller beschleunigen Produktion für OLED-Displays, um MacBook-Pro-Konkurrenten gegen Samsung aufzurüsten
Es wurde berichtet, dass Apple Mini-LED-Technologie endgültig aufgibt und für die nächste 14-Zoll- und 16-Zoll-MacBook-Pro-Serie Tandem-OLED umsteigt.
14.05.2026
Live Redaktion