A hackerek megszegték a PHP programozási nyelv fő Git tárházát, és egy hátsó ajtót adtak hozzá a forráskódhoz, amely lehetővé teszi a támadó számára, hogy világszerte több millió szerverhez férhessen hozzá.
hogyan lehet megtalálni a kép dpi -jét
Bármennyire is rosszul hangzik, a hackerek azonban óriási vörös zászlót is hagytak a PHP fejlesztői csapatának, feltehetően figyelmeztetésként a sebezhetőséggel kapcsolatban, nem pedig közvetlen kizsákmányolásként.
A hackerek behelyezik a hátsó ajtót a PHP forráskódjába
A PHP fejlesztői csapata megjelent hivatalos közlemény megerősíti a forráskód megsértését vasárnap, március 28 -án.
A nyilatkozat megerősíti, hogy a PHP forráskódot valóban megsértették, és a rosszindulatú kódot a PHP Git szerverére tolták Rasmus Lerdorf és Nikita Popov vezető fejlesztők fiókjából.
A hátsó ajtó, amely nem jutott be a gyártásba (vagyis nem került élőben egyetlen szerverre sem), lehetővé tette volna egy támadó számára, hogy kódot hajtson végre bármely sebezhető PHP -kiszolgálón. Jelentős hozzáférést biztosítana egy fenyegető szereplőnek, és jelentős veszélyt jelentene a programozási nyelvet használó webhelyek millióira.
Kapcsolódó: Hogyan lehet manipulálni a szöveget PHP -ben ezekkel a praktikus funkciókkal
Azonban, bár a sérülékenység megsértése és kitettsége rossz, nyilvánvaló, hogy a hacker vagy hackerek soha nem szándékoztak a exploit élőben való megjelenésével. A rosszindulatú kód aktiválásához a támadásnak kérést kell küldenie egy adott karakterláncra zérodium .
A Zerodium egy jól ismert exploit broker szolgáltatás neve, ahol a hackerek a legmagasabb ajánlatot tevőknek adhatnak el kitermeléseket. A név beillesztése hitelességet kölcsönöz annak az elképzelésnek, hogy a hackerek inkább a PHP fejlesztőcsapatára hívták fel a figyelmet, mint a biztonsági rés aktív kihasználására.
Összefüggő: Ismerje meg, hogyan terjesztheti PHP csomagjait a Packagist segítségével
A PHP fejlesztése további biztonsági lépéseket tesz
A jogsértés következtében a PHP fejlesztői csapata megváltoztatja a Git szerverhez való hozzáférés kezelésének módját, így a GitHub adattárai a projekt de facto kódbázisává válnak, nem pedig csak tükörként, mint jelenleg.
hogyan indítsunk sorozatot a snapchatben
Míg [a] vizsgálat még folyamatban van, úgy döntöttünk, hogy saját git infrastruktúránk fenntartása szükségtelen biztonsági kockázat, és megszüntetjük a git.php.net szervert. Ehelyett a GitHub adattárai, amelyek korábban csak tükrök voltak, kanonikusak lesznek. Ez azt jelenti, hogy a változtatásokat közvetlenül a GitHub -ra kell tolni, nem pedig a git.php.net -re.
A váltás után azoknak, akiknek hozzáférést kell biztosítaniuk a PHP adattárakhoz, közvetlenül fel kell venniük a kapcsolatot a fejlesztő csapattal, hogy kérést tegyenek.
Bár a fejlesztőcsapat úgy véli, hogy a jogsértés a Git szerver kompromisszumát jelentette, nem pedig egyéni fiókot, a PHP fejlesztése joggal tesz további lépéseket annak biztosítására, hogy ne történjenek további jogsértések.
hogyan tudom letölteni a törölt facebook üzeneteket
Alapján W3Techs , az internet összes webhelyének körülbelül 80 százaléka valamilyen PHP -t használ, így a további biztonsági lépések teljesen érthetők.
Részvény Részvény Csipog Email Az első egyszerű PHP webhely létrehozásaWeboldalt szeretne készíteni, de nem tudja, hol kezdje? Ha létrehoz egy alap PHP weboldalt, akkor a webfejlesztés útjára lép.
Olvassa tovább Kapcsolódó témák- Biztonság
- Tech News
- Programozás
- GitHub
- PHP
- Hátsó ajtó
Gavin a Windows és a Technology Explained junior szerkesztője, rendszeresen közreműködik a Valóban hasznos podcastban, és rendszeres termékértékelő. BA (Hons) kortárs írással és digitális művészeti gyakorlatokkal rendelkezik a devoni domboktól, valamint több mint egy évtizedes szakmai írói tapasztalattal rendelkezik. Rengeteg teát, társasjátékot és focit szeret.
Továbbiak Gavin Phillips -tőlIratkozzon fel hírlevelünkre
Csatlakozz hírlevelünkhöz, ahol technikai tippeket, véleményeket, ingyenes e -könyveket és exkluzív ajánlatokat találsz!
Feliratkozáshoz kattintson ide