Hekerji so vdrli v glavno skladišče Git programskega jezika PHP in izvorni kodi dodali zaledje, ki bi lahko napadalcu omogočilo dostop do milijonov strežnikov po vsem svetu.
kako znova zagnati macbook pro
Kakor hudo se to sliši, pa so hekerji tudi razvojni skupini PHP pustili velikansko rdečo zastavo, verjetno kot opozorilo glede ranljivosti in ne kot neposredno izkoriščanje.
Hekerji v izvorno kodo PHP vstavijo zaledje
Ekipa za razvoj PHP je objavila uradno izjavo potrditev kršitve izvorne kode v nedeljo, 28. marca.
Izjava potrjuje, da je bila izvorna koda PHP res kršena, zlonamerna koda pa je bila poslana na strežnik PHP Git iz računov vodilnih razvijalcev Rasmusa Lerdorfa in Nikite Popova.
Zadnja vrata, ki še niso prišla v produkcijo (kar pomeni, da jih niso prenesli v živo na strežnike), bi napadalcu omogočila izvajanje kode na katerem koli ranljivem strežniku PHP. Omogočil bi ogromen dostop akterju grožnje in predstavljal veliko nevarnost za milijone spletnih mest, ki uporabljajo programski jezik.
Povezano: Kako s temi priročnimi funkcijami manipulirati z besedilom v PHP
Čeprav sta kršitev in izpostavljenost ranljivosti slaba, je očitno, da heker ali hekerji nikoli niso nameravali izkoristiti tega izkoriščanja. Za sprožitev zlonamerne kode bi moral napad poslati zahtevo določenemu nizu z imenom nodij .
Zerodium je ime znane storitve posrednika pri izkoriščanju, kjer lahko hekerji prodajajo podvige najvišjemu ponudniku. Vključitev imena daje verodostojnost ideji, da so hekerji namesto aktivnega izkoriščanja ranljivosti opozarjali na razvojno skupino PHP.
Povezano: Naučite se distribuirati svoje pakete PHP s programom Packagist
PHP Development Izvedite dodatne varnostne korake
Zaradi kršitve bo razvojna skupina PHP spremenila način upravljanja dostopa do svojega strežnika Git, tako da bodo njegova skladišča GitHub dejansko koda baze projekta, ne pa le ogledalo, kot je trenutno.
kako izbrisati datoteko, ki je v uporabi
Medtem ko [preiskava] še poteka, smo se odločili, da je vzdrževanje lastne git infrastrukture nepotrebno varnostno tveganje, in da bomo ukinili strežnik git.php.net. Namesto tega bodo skladišča na GitHubu, ki so bila prej samo zrcala, postala kanonska. To pomeni, da je treba spremembe potisniti neposredno na GitHub in ne na git.php.net.
Po zamenjavi se bodo morali tisti, ki potrebujejo dostop do skladišč PHP, obrniti neposredno na razvojno skupino, da podajo zahtevo.
Čeprav razvojna ekipa meni, da je bila kršitev kompromis samega strežnika Git, ne pa posameznega računa, razvoj PHP upravičeno sprejema dodatne korake, s katerimi zagotovi, da ne pride do nadaljnjih kršitev.
i3 vs i5 vs i7 vs i9
Po navedbah W3Techs , približno 80 odstotkov vseh spletnih mest na internetu uporablja neko obliko PHP, zato so dodatni varnostni koraki popolnoma razumljivi.
Deliti Deliti Cvrkutati E-naslov Kako zgraditi prvo preprosto spletno mesto PHPBi radi izdelali spletno stran, pa ne veste, kje začeti? Ustvarjanje osnovne spletne strani PHP vas bo postavilo na pot spletnega razvoja.
Preberite Naprej Sorodne teme- Varnost
- Tehnične novice
- Programiranje
- GitHub
- PHP
- Zadnja vrata
Gavin je mlajši urednik za Windows in Technology Explained, redni sodelavec v Zares uporabnem podcastu in redni recenzent izdelkov. Ima diplomo iz sodobnega pisanja z odliko z odliko z digitalnimi umetniškimi praksami, izkopano iz hribov Devona, pa tudi več kot desetletje profesionalnih pisnih izkušenj. Uživa v velikih količinah čaja, družabnih iger in nogometa.
Več od Gavina PhillipsaNaročite se na naše novice
Pridružite se našemu glasilu za tehnične nasvete, ocene, brezplačne e -knjige in ekskluzivne ponudbe!
Kliknite tukaj, da se naročite