গত মাস শেষে খবরটি ভেঙে গেছে যে একজন হ্যাকার সার্ভারের সাথে আপোস করেছে প্রোগ্রামিং ভাষা বিতরণ করতে ব্যবহৃত পিএইচপি এবং উত্স কোডে একটি বাড়ির জোড় যুক্ত করেছে ওপেন সোর্স প্রকল্পের সদস্যরা বলেছিলেন যে এতে ওয়েবসাইটগুলি পুরো টেকওভারের জন্য ঝুঁকির মধ্যে পড়ে থাকবে।
এই সমস্যাটি পিএইচপি গিট সার্ভারে প্রেরিত দুটি আপডেটে উত্থাপিত হয়েছিল ২ March শে মার্চের উইকএন্ডে তারা একটি লাইন যুক্ত করেছিল যে, যদি পিএইচপি-র এই হাইজ্যাক সংস্করণ দ্বারা চালিত কোনও ওয়েবসাইট চালিত হয় তবে অননুমোদিত দর্শকদের তাদের পছন্দের কোডটি চালানোর অনুমতি দিত।
দূষিত কমিটস এইচটিটিপি শিরোনামে "জেরোডিয়াম" শব্দটি ধারণ করে এমন দর্শকদের কোডটি ইনজেক্ট করার ক্ষমতা দিয়েছিল। কমিটগুলি পিএইচপি-সিআরসি সংগ্রহস্থলের নামে তৈরি করা হয়েছিল দু'জন সুপরিচিত পিএইচপি বিকাশকারীর অ্যাকাউন্ট, রাসমাস লেয়ার্ডর্ফ এবং নিকিতা পপভ।
বাগদানের পরে, পপভ ব্যাখ্যা করেছেন যে পিএইচপি কর্মকর্তারা সিদ্ধান্ত নিয়েছেন যে তাদের গিট অবকাঠামো independiente এটি একটি অপ্রয়োজনীয় সুরক্ষা ঝুঁকির প্রতিনিধিত্ব করে।
ফলস্বরূপ, git.php.net সার্ভারটি বন্ধ করে গিটহাবকে অফিসিয়াল উত্স বানানোর সিদ্ধান্ত নিয়েছে পিএইচপি সংগ্রহস্থল থেকে। ভবিষ্যতে, পিএইচপি উত্স কোডের সমস্ত পরিবর্তন git.php.net এর পরিবর্তে সরাসরি গিটহাবে করা হবে।
পিএইচপি রক্ষণাবেক্ষণকারী নিকিতা পপভ কীভাবে উত্স কোডটি আপোস করা হয়েছিল এবং দূষিত কোডটি wasোকানো হয়েছিল তার একটি আপডেট প্রকাশ করেছেন, এটি সার্ভারে নিজেই কোনও সমস্যার পরিবর্তে ব্যবহারকারীর ডাটাবেসের ফাঁসকে দায়ী করে।
দলটি প্রাথমিকভাবে বিশ্বাস করেছিল যে সংগ্রহশালার হোস্টিং সার্ভারটি হ্যাক হয়ে গেছে, তবে একটি নতুন পোস্টে, পপভ বলেছেন:
“আমরা আর বিশ্বাস করি না যে git.php.net সার্ভারের সাথে আপস করা হয়েছে। তবে, এটি সম্ভব যে ব্যবহারকারীর মাস্টার.এইচপিএন নেটওয়ারের ডাটাবেস ফাঁস হয়ে গেছে। এছাড়াও, মাস্টার.এফপিএনএফ একটি নতুন মেইন.পিপিপিএন সিস্টেমে স্থানান্তরিত হয়েছে।
তদন্তের অগ্রগতি সম্পর্কে পপোভ যে বিবরণ দিয়েছেন তা এখানে:
“যখন প্রথম দুষ্কৃত নিশ্চয়তা রাসমসের নামে তৈরি করা হয়েছিল, তখন আমার প্রাথমিক প্রতিক্রিয়াটি ছিল পরিবর্তনের বিষয়টি উল্টে দেওয়া এবং রাসমসের অ্যাকাউন্ট থেকে নিশ্চিতকরণের অ্যাক্সেস প্রত্যাখ্যান করা, ধরে নেওয়া যে তিনি স্বতন্ত্র অ্যাকাউন্ট হ্যাক। অন্ধকারে, এই ক্রিয়াটি সত্যই বোঝায় না, কারণ বিশেষত রাসমাসের অ্যাকাউন্টের মাধ্যমে কোনও ধাক্কা হচ্ছিল না। পিএইচপি-সিআরসি সংগ্রহস্থলের অ্যাক্সেস সহ যে কোনও অ্যাকাউন্ট কোনও নকল নামে জমা দিতে পারে।
“যখন আমার নিজের নামে দ্বিতীয় দূষিত কমিট করা হয়েছিল তখন আমি কোন অ্যাকাউন্টটি জমা দেওয়ার জন্য ব্যবহৃত হয়েছিল তা নির্ধারণ করার জন্য আমাদের গিটোলাইট ইনস্টলেশন লগগুলিতে নজর রেখেছিলাম। যাইহোক, সমস্ত সংলগ্ন কমিটগুলির জন্য হিসাব করা হলেও, দুটি দূষিত কমিটের জন্য গিট-রিসিভ-প্যাক এন্ট্রি নেই, অর্থাত এই দুটি কমিটগুলি গিটোলাইট অবকাঠামোকে পুরোপুরি ছাড়িয়ে গেছে। এটি একটি সার্ভার সমঝোতার সম্ভাব্য প্রমাণ হিসাবে ব্যাখ্যা করা হয়েছিল।
যে পদক্ষেপগুলি এখন নেওয়া হয়েছে তার মধ্যে সমস্ত পাসওয়ার্ড পুনরায় সেট করা অন্তর্ভুক্ত এবং এসকিউএল ইনজেকশন আক্রমণ থেকে রক্ষা করতে প্যারামিটারাইজড কোয়েরিগুলি ব্যবহার করার জন্য কোডটি সংশোধন করুন।
প্যারামিটারাইজড কোয়েরিগুলি ব্যবহার করা বেশ কয়েক বছর ধরে সুপারিশ করা সেরা অনুশীলন এবং পিএইচপি উত্স কোড অবকাঠামোর কেন্দ্রস্থলে যে কোডটি দীর্ঘকাল ধরে চলছিল না তা প্রমাণ করে যে কোনও সংস্থায় যদি সুরক্ষিত লিগ্যাসি কোডটি কাজ করে থাকে তবে ঠিক কতটা নিরাপদ রয়েছে shows এবং সুস্পষ্ট সমস্যা সৃষ্টি না।
মাস্টার.এফপিএন.টি সিস্টেম, যা প্রমাণীকরণ এবং প্রশাসনিক বিভিন্ন কাজের জন্য ব্যবহৃত হয়, আমি খুব পুরানো কোড চালাচ্ছিলাম খুব পুরানো পিএইচপি সংস্করণ / ওএসে তাই একরকম দুর্বলতা খুব অবাক হওয়ার মতো হবে না। রক্ষণাবেক্ষণ পরিচালকগণ এই সিস্টেমের সুরক্ষা বাড়ানোর জন্য বেশ কয়েকটি পরিবর্তন করেছেন:
- মাস্টার.এফপিএনএফ একটি নতুন সিস্টেমে স্থানান্তরিত হয়েছে (পিএইচপি 8 চালাচ্ছে) এবং মেইন.পিএইচপিএন একই সাথে নতুন নামকরণ করা হয়েছে। অন্যান্য জিনিসের মধ্যে, নতুন সিস্টেমটি টিএলএস ১.২ অনুবর্তী, যার অর্থ এই সাইটটি অ্যাক্সেস করার সময় আপনার আর টিএলএস সংস্করণ সতর্কতাগুলি দেখা উচিত নয়।
- এসকিউএল ইঞ্জেকশন যাতে না ঘটে তা নিশ্চিত করার জন্য প্যারামিটারাইজড কোয়েরিগুলি ব্যবহার করে প্রয়োগটি সরানো হয়েছে।
- পাসওয়ার্ডগুলি এখন bcrypt ব্যবহার করে সংরক্ষণ করা হয়।
- বিদ্যমান পাসওয়ার্ডগুলি পুনরায় সেট করা হয়েছে (একটি নতুন জেনারেট করতে main.php.net/forgot.php ব্যবহার করুন)।
উৎস: https://externals.io