Viime kuun lopussa uutiset rikkoivat, että hakkeri vaarantaa palvelimen käytetään ohjelmointikielen jakamiseen PHP ja lisäsi takaoven lähdekoodiin se olisi jättänyt verkkosivustot alttiiksi täydelliselle haltuunotolle, avoimen lähdekoodin projektin jäsenet sanoivat.
Ongelma otettiin esiin kahdessa päivityksessä, jotka lähetettiin PHP Git -palvelimelle viikonloppuna 27. maaliskuuta, johon he lisäsivät rivin, joka olisi sallinut luvattomien kävijöiden ajaa valitsemansa koodin, jos sitä ylläpitää PHP: n kaapattu versio.
Haitalliset teot antoivat koodille mahdollisuuden pistää koodia vierailijoille, joilla oli HTTP-otsikossa sana "zerodium". Sitoutumiset tehtiin php-src-arkistossa nimellä kahden tunnetun PHP-kehittäjän tili, Rasmus Lerdorf ja Nikita Popov.
Sitoutumisen jälkeen, Popov selitti, että PHP: n virkamiehet päättelivät, että heidän Git-infrastruktuurinsa Independiente se aiheutti tarpeetonta turvallisuusriskiä.
Tämän seurauksena päätti sulkea git.php.net-palvelimen ja tehdä GitHubista virallisen lähteen PHP-arkistoista. Tulevaisuudessa kaikki muutokset PHP-lähdekoodiin tehdään suoraan GitHubille git.php.netin sijaan.
PHP-ylläpitäjä Nikita Popov julkaisi päivityksen lähdekoodin vaarantumisesta ja haittaohjelmakoodin lisäämisestä, syyttäen käyttäjätietokantavuotoa pikemminkin kuin itse palvelimessa.
Tiimi alun perin uskoi, että arkistoa isännöivä palvelin oli hakkeroitu, mutta uudessa viestissä Popov sanoi:
"Emme enää usko, että git.php.net-palvelin on vaarantunut. On kuitenkin mahdollista, että käyttäjän master.php.net tietokanta on vuotanut ”. Lisäksi master.php.net on siirretty uuteen main.php.net-järjestelmään.
Tässä on Popovin antamia tietoja tutkimuksen etenemisestä:
"Kun ensimmäinen haitallinen vahvistus tehtiin Rasmuksen nimellä, aluksi reagoin muutokseen ja peruutin pääsyn vahvistukseen Rasmuksen tililtä olettaen, että hän oli yksittäisen tilin hakkerointi. Jälkikäteen katsottuna tällä toiminnalla ei ollut mitään järkeä, koska etenkään Rasmusin tilillä ei tapahtunut mitään työntöä. Mikä tahansa tili, jolla on pääsy php-src-arkistoon, olisi voinut lähettää väärennetyllä nimellä.
"Kun toinen haittaohjelma tehtiin omalla nimelläni, katsoin gitolite-asennuslokimme selvittääkseen, mitä tiliä lähetettiin. Vaikka kaikki vierekkäiset sitoumukset otettiin huomioon, kahdelle haitalliselle sitoumukselle ei ollut git-vastaanotto-pakettimerkintöjä, mikä tarkoittaa, että nämä kaksi sitoumusta ohittivat gitoliitti-infrastruktuurin kokonaan. Tämä tulkittiin todennäköisenä todisteena palvelimen kompromissista.
Nyt toteutetut toimet sisältävät kaikkien salasanojen nollaamisen ja muokkaa koodia parametroiduilla kyselyillä suojaamaan SQL-injektiohyökkäyksiltä.
Parametroitujen kyselyjen käyttö on ollut paras suositeltava käytäntö monien vuosien ajan, ja se tosiasia, että koodi, joka ei ole ollut niin kauan käynnissä PHP-lähdekoodien infrastruktuurin sydämessä, osoittaa kuinka epävarma vanha koodi on organisaatiossa, jos se toimii eikä aiheuta ilmeisiä ongelmia.
Master.php.net-järjestelmä, jota käytetään todennukseen ja erilaisiin hallintotehtäviin, Juoksin hyvin vanhaa koodia hyvin vanhalla PHP-versiolla / käyttöjärjestelmässä, joten jonkinlainen haavoittuvuus ei olisi kovin yllättävää. Ylläpitopäälliköt ovat tehneet useita muutoksia järjestelmän turvallisuuden parantamiseksi:
- master.php.net on siirretty uuteen järjestelmään (käynnissä PHP 8) ja main.php.net on nimetty uudelleen samanaikaisesti. Uusi järjestelmä on muun muassa TLS 1.2 -yhteensopiva, mikä tarkoittaa, että sinun ei enää pitäisi nähdä TLS-version varoituksia käytettäessä tätä sivustoa.
- Toteutus on siirretty parametrisoitujen kyselyjen käyttöön sen varmistamiseksi, että SQL-injektioita ei voi tapahtua.
- Salasanat tallennetaan nyt bcrypt-sovelluksella.
- Olemassa olevat salasanat on nollattu (luo uusi käyttämällä main.php.net/forgot.php).
lähde: https://externals.io