Home-theater-designers
Įsilaužėliai pažeidė pagrindinę PHP programavimo kalbos „Git“ saugyklą, prie šaltinio kodo pridėję galines duris, leidžiančias užpuolikui pasiekti milijonus serverių visame pasaulyje.
kaip rasti mėgstamus vaizdo įrašus „YouTube“
Tačiau, kad ir kaip blogai tai skambėtų, įsilaužėliai taip pat paliko milžinišką raudoną vėliavą PHP kūrėjų komandai, tikriausiai kaip įspėjimą dėl pažeidžiamumo, o ne kaip tiesioginį išnaudojimą.
Piratai įterpia „Backdoor“ į PHP šaltinio kodą
Išleido PHP kūrimo komanda oficialus pareiškimas patvirtinantį šaltinio kodo pažeidimą sekmadienį, kovo 28 d.
Pareiškimas patvirtina, kad PHP šaltinio kodas iš tikrųjų buvo pažeistas, o kenkėjiškas kodas buvo perkeltas į „PHP Git“ serverį iš pagrindinių kūrėjų Rasmuso Lerdorfo ir Nikitos Popovo paskyrų.
Užpakalinės durys, kurios nepateko į gamybą (tai reiškia, kad jos nebuvo tiesiogiai perduotos jokiems serveriams), užpuolikui būtų leidę vykdyti kodą bet kuriame pažeidžiamame PHP serveryje. Tai suteiktų didelę prieigą grėsmės veikėjui ir sukeltų didelį pavojų milijonams svetainių, kuriose naudojama programavimo kalba.
Susijęs: Kaip manipuliuoti tekstu PHP naudojant šias patogias funkcijas
Tačiau nors pažeidžiamumas ir pažeidžiamumas yra blogi, akivaizdu, kad įsilaužėlis ar įsilaužėliai niekada neketino, kad išnaudojimas būtų paskelbtas tiesiogiai. Norint suaktyvinti kenkėjišką kodą, ataka turėtų nusiųsti užklausą konkrečiai eilutei, pavadintai zerodiumas .
„Zerodium“ yra gerai žinomos išnaudojimo brokerių paslaugos pavadinimas, kuriame įsilaužėliai gali parduoti išnaudojimą didžiausią kainą pasiūliusiam asmeniui. Pavadinimo įtraukimas suteikia pasitikėjimo idėja, kad įsilaužėliai atkreipė dėmesį į PHP kūrėjų komandą, o ne aktyviai naudojo pažeidžiamumą.
Susijęs: Sužinokite, kaip paskirstyti PHP paketus su „Packagist“
PHP kūrimas imasi papildomų saugumo žingsnių
Dėl pažeidimo PHP kūrimo komanda pakeis būdą, kaip ji valdo prieigą prie savo „Git“ serverio, todėl jos „GitHub“ saugyklos taps projekto de facto kodo baze, o ne tik veidrodžiu, kaip yra šiuo metu.
kas mane užblokavo „Facebook“
Kol [tyrimas] dar vyksta, nusprendėme, kad savo „git“ infrastruktūros priežiūra yra nereikalinga rizika saugumui ir kad nutraukiame „git.php.net“ serverio veiklą. Vietoj to, „GitHub“ saugyklos, kurios anksčiau buvo tik veidrodžiai, taps kanoninėmis. Tai reiškia, kad pakeitimai turėtų būti nukreipti tiesiai į „GitHub“, o ne į „git.php.net“.
Po pakeitimo tie, kuriems reikia prieigos prie PHP saugyklų, turės tiesiogiai susisiekti su kūrėjų komanda, kad pateiktų užklausą.
Nors kūrėjų komanda mano, kad pažeidimas buvo paties „Git“ serverio, o ne asmeninės paskyros kompromisas, PHP kūrimas teisėtai imasi papildomų veiksmų, kad būtų išvengta tolesnių pažeidimų.
kaip priversti uždaryti programą „Windows“
Pagal „W3Techs“ , maždaug 80 procentų visų interneto svetainių naudoja tam tikrą PHP formą, todėl papildomi saugumo veiksmai yra visiškai suprantami.
Dalintis Dalintis „Tweet“ Paštu Kaip sukurti savo pirmąją paprastą PHP svetainęNorite sukurti svetainę, bet nežinote nuo ko pradėti? Sukūrę pagrindinę PHP svetainę, jūs pateksite į žiniatinklio kūrimo kelią.
Skaityti toliau Susijusios temos- Saugumas
- Technikos naujienos
- Programavimas
- „GitHub“
- PHP
- Galinės durys
Gavinas yra „Windows“ ir „Technology Explained“ jaunesnysis redaktorius, nuolatinis „Tikrai naudingos podcast“ dalyvis ir nuolatinis produktų apžvalgininkas. Jis turi šiuolaikinio rašymo bakalauro laipsnį (Hons) ir skaitmeninio meno praktiką, išplėštą iš Devono kalvų, taip pat turi daugiau nei dešimtmetį profesinės rašymo patirties. Jis mėgsta daugybę arbatos, stalo žaidimų ir futbolo.
Daugiau iš Gavino PhillipsoPrenumeruokite mūsų naujienlaiškį
Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!
Norėdami užsiprenumeruoti, spustelėkite čia