ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Gikontrolar ang 14 ka PHP library sa Packagist repository

Gikontrolar ang 14 ka PHP library sa Packagist repository

Ang mga tigdumala sa Packagist package repository nagbutyag sa mga detalye sa usa ka pag-atake nga nagkontrolar sa mga account sa mga tigmentinar sa 14 ka PHP nga mga librarya, lakip ang mga sikat nga packages sama sa instantiator (526 million installations sa kinatibuk-an, 8 million installations kada bulan, 323 dependent packages), sql -formatter (94M nga kinatibuk-ang pag-install, 800K matag bulan, 109 nga nagsalig nga mga pakete), doktrina-cache-bundle (73M nga kinatibuk-ang pag-install, 500K matag bulan, 348 nga nagsalig nga mga pakete) ug rcode-detector-decoder (20M nga kinatibuk-ang instalasyon, 400 ka libo kada bulan, 66 nagsalig nga mga pakete).

Human makompromiso ang mga account, giusab sa tig-atake ang composer.json file, gidugang sa field sa paghulagway sa proyekto ang impormasyon nga nangita siya og trabaho nga may kalabotan sa seguridad sa impormasyon. Aron mabag-o ang file sa composer.json, gipulihan sa tig-atake ang mga URL sa orihinal nga mga repositoryo nga adunay mga link sa giusab nga mga tinidor (Ang Packagist naghatag lamang og metadata nga adunay mga link sa mga proyekto nga gihimo sa GitHub, kung nag-install gamit ang "composer install" o "composer update ” sugo, ang mga pakete direktang gi-download gikan sa GitHub ). Pananglitan, alang sa acmephp package, ang nalambigit nga repository giusab gikan sa acmephp/acmephp ngadto sa neskafe3v1/acmephp.

Dayag, ang pag-atake gihimo dili aron sa paghimo sa malisyosong mga aksyon, apan ingon nga usa ka pagpakita sa pagkadili-madawat sa usa ka walay pagtagad nga kinaiya sa paggamit sa duplicate nga mga kredensyal sa lain-laing mga site. Sa samang higayon, sukwahi sa natukod nga praktis sa "ethical hacking", ang tig-atake wala magpahibalo daan sa mga developers sa library ug mga tagdumala sa repository mahitungod sa eksperimento. Sa ulahi, ang tig-atake miingon nga human siya makabatog trabaho, siya magpatik ug detalyadong taho bahin sa mga paagi nga gigamit sa pag-atake.

Sumala sa impormasyon nga gipagawas sa mga tagdumala sa Packagist, ang tanan nga mga account nga nagdumala sa nakompromiso nga mga pakete migamit ug sayon-sa-tag-an nga mga password nga walay pagpagana sa duha ka hinungdan nga pag-authenticate. Giingon nga ang gi-hack nga mga account migamit og mga password nga gigamit dili lamang sa Packagist, kondili sa ubang mga serbisyo nga ang mga database sa password kaniadto gikompromiso ug gipahibalo sa publiko. Ang pagkuha sa mga email sa mga tag-iya sa account nga nahigot sa expired nga mga domain mahimo usab nga magamit ingon usa ka kapilian aron maka-access.

Nakompromiso nga mga pakete:

  • acmephp/acmephp (124,860 ka pag-install sa tibuok kinabuhi sa package)
  • acmephp/core(419,258)
  • acmephp/ssl (531,692)
  • doktrina/doctrine-cache-bundle (73,490,057)
  • doktrina/doktrina-module (5,516,721)
  • doktrina/doktrina-mongo-odm-module(516,441)
  • doktrina/doktrina-orm-module (5,103,306)
  • doktrina/instantiator (526,809,061)
  • growthbook/growthbook (97,568
  • jdorn/file-system-cache (32,660)
  • jdorn/sql-formatter (94,593,846)
  • khanamiryan/qrcode-detector-decoder (20,421,500)
  • object-calisthenics/phpcs-calisthenics-rules (2,196,380)
  • tga/simhash-php, tgalopin/simhashphp (30,555)

Source: opennet.ru

Idugang sa usa ka comment