上个月底 黑客入侵服务器的消息传出 用于分发编程语言 PHP并在源代码中添加了后门 开源项目的成员说,这将使网站容易受到全面收购。
发送到PHP Git服务器的两次更新中引发了该问题 在27月XNUMX日的周末,他们添加了一行代码,如果该网站运行的是受此劫持版本的PHP驱动的网站,则将允许未经授权的访问者运行他们选择的代码。
恶意提交使代码能够将代码注入到HTTP标头中带有“ zerodium”一词的访问者中。 提交是在php-src存储库中以的名称进行的 两个著名的PHP开发人员的介绍, 拉斯姆斯·勒多夫(Rasmus Lerdorf)和尼基塔·波波夫(Nikita Popov)。
订婚后,Popov解释说,PHP官员得出的结论是,他们的Git基础架构 独立 它代表了不必要的安全风险。
结果是, 决定关闭git.php.net服务器并使GitHub成为官方源 从PHP存储库中。 将来,对PHP源代码的所有更改将直接在GitHub而不是git.php.net上进行。
PHP维护者Nikita Popov发布了有关如何破坏源代码和插入恶意代码的更新,将原因归咎于用户数据库泄漏,而不是服务器本身存在问题。
该团队最初认为托管该存储库的服务器已被黑客入侵,但在新帖子中,Popov说:
“我们不再相信git.php.net服务器已经受到威胁。 但是,用户master.php.net的数据库可能已泄漏”。 另外,master.php.net已迁移到新的main.php.net系统。
以下是波波夫提供的有关调查进展的详细信息:
“当首次以拉斯穆斯的名义进行恶意确认时,我的最初反应是撤消更改并撤消拉斯穆斯帐户的确认访问,并假设他是个人帐户黑客。 事后看来,此举实际上没有任何意义,因为尤其是没有通过拉斯姆斯的账户进行任何推动。 有权访问php-src存储库的任何帐户都可能以假名提交。
“当以我自己的名字进行第二次恶意提交时,我查看了我们的gitolite安装日志,以确定实际用于提交哪个帐户。 但是,即使考虑了所有相邻的提交,两个恶意提交也没有git-receive-pack条目,这意味着这两个提交完全绕过了gitolite基础结构。 这被解释为服务器受损的可能证据。
现在已采取的措施包括重置所有密码 并修改代码以使用参数化查询来防止SQL注入攻击。
多年来,一直推荐使用参数化查询作为最佳实践,而事实上,在PHP源代码基础结构的核心位置运行了这么长时间的代码,这表明组织在工作时遗留代码是多么不安全。并且不会引起明显的问题。
master.php.net系统, 用于身份验证和各种管理任务, 我正在运行非常旧的代码 在非常老的PHP版本/操作系统上,因此某种漏洞就不足为奇了。 维护经理进行了许多更改,以提高此系统的安全性:
- master.php.net已迁移到新系统(运行PHP 8),并且main.php.net已同时重命名。 除其他外,新系统符合TLS 1.2的要求,这意味着您在访问此网站时将不再看到TLS版本警告。
- 该实现已移至使用参数化查询,以确保不会发生SQL注入。
- 密码现在使用bcrypt存储。
- 现有密码已重置(使用main.php.net/forgot.php生成一个新密码)。
数据来源: https://externals.io