В конце прошлого месяца появилась новость о том, что хакер взломал сервер используется для распространения языка программирования PHP и добавил бэкдор в исходный код это сделало бы веб-сайты уязвимыми для полного поглощения, заявили участники проекта с открытым исходным кодом.
Проблема возникла в двух обновлениях, отправленных на сервер PHP Git. в выходные 27 марта, в которую они добавили строку, которая, если бы она была запущена веб-сайтом, работающим на этой взломанной версии PHP, позволила бы неавторизованным посетителям запускать код по своему выбору.
Вредоносные коммиты дали коду возможность внедрять код в посетителей, у которых в HTTP-заголовке было слово «zerodium». Коммиты производились в репозитории php-src под именами аккаунт двух известных PHP-разработчиков, Расмус Лердорф и Никита Попов.
После помолвкиПопов объяснил, что официальные лица PHP пришли к выводу, что их инфраструктура Git независимый это представляло ненужную угрозу безопасности.
В результате решил закрыть сервер git.php.net и сделать GitHub официальным источником из репозиториев PHP. В будущем все изменения в исходном коде PHP будут вноситься непосредственно в GitHub, а не на git.php.net.
Сопровождающий PHP Никита Попов выпустил обновленную информацию о том, как исходный код был скомпрометирован и был вставлен вредоносный код, обвиняя в утечке пользовательской базы данных, а не на проблему с самим сервером.
Первоначально команда полагала, что сервер, на котором размещен репозиторий, был взломан, но в новом посте Попов сказал:
«Мы больше не верим, что сервер git.php.net был взломан. Однако, возможно, произошла утечка из базы данных пользователя master.php.net ». Кроме того, master.php.net был переведен на новую систему main.php.net.
Вот подробности, которые Попов сообщил о ходе расследования:
«Когда первое злонамеренное подтверждение было сделано от имени Расмуса, моей первой реакцией было отменить изменение и отозвать доступ к подтверждению из учетной записи Расмуса, предполагая, что он был взломан индивидуальной учетной записью. Оглядываясь назад, можно сказать, что это действие не имело смысла, потому что, в частности, через аккаунт Расмуса не происходило никакого толчка. Любая учетная запись с доступом к репозиторию php-src могла быть отправлена под вымышленным именем.
«Когда вторая вредоносная фиксация была сделана от моего имени, я просмотрел наши журналы установки gitolite, чтобы определить, какая учетная запись фактически использовалась для отправки. Однако, несмотря на то, что все смежные коммиты были учтены, для двух вредоносных коммитов не было записей git-receive-pack, а это означает, что эти два коммита полностью обходили инфраструктуру gitolite. Это было интерпретировано как вероятное свидетельство компрометации сервера.
Действия, которые были предприняты на данный момент, включают сброс всех паролей. и измените код, чтобы использовать параметризованные запросы для защиты от атак с использованием SQL-инъекций.
Использование параметризованных запросов было лучшей рекомендуемой практикой в течение многих лет, и тот факт, что код, который так долго не выполнялся в основе инфраструктуры исходного кода PHP, показывает, насколько небезопасен унаследованный код в организации, если он работает. и не вызывая очевидных проблем.
Система master.php.net, который используется для аутентификации и различных административных задач, У меня был очень старый код на очень старой версии PHP / ОС, так что какая-то уязвимость не вызывает особого удивления. Менеджеры по техническому обслуживанию внесли ряд изменений для повышения безопасности этой системы:
- master.php.net был перенесен в новую систему (работающую под управлением PHP 8), и main.php.net был одновременно переименован. Помимо прочего, новая система совместима с TLS 1.2, что означает, что вы больше не должны видеть предупреждения о версии TLS при доступе к этому сайту.
- Реализация была переведена на использование параметризованных запросов, чтобы гарантировать невозможность внедрения SQL.
- Пароли теперь хранятся с использованием bcrypt.
- Существующие пароли были сброшены (используйте main.php.net/forgot.php для создания нового).
источник: https://externals.io