Foilsíodh na chéad torthaí ón anailís ar theagmhas a bhaineann le haithint dhá ghealltanas mailíseach i stór Git de thionscadal PHP le backdoor a cuireadh i ngníomh nuair a bhí iarratas á sheoladh le ceanntásc Gníomhaire Úsáideora atá saindeartha. Le linn staidéar a dhéanamh ar rianta ghníomhaíochtaí na n-ionsaitheoirí, thángthas ar an gconclúid nach ndearnadh an freastalaí git.php.net féin, ar a raibh an stór git suite, a hackáil, ach cuireadh an bunachar sonraí le cuntais fhorbróirí an tionscadail i mbaol. .
Is féidir go raibh na hionsaitheoirí in ann an bunachar sonraí úsáideoirí atá stóráilte sa DBMS a íoslódáil ar an bhfreastalaí master.php.net. Tá ábhar master.php.net aistrithe cheana féin chuig an bhfreastalaí nua main.php.net suiteáilte ón tús. Athshocraíodh gach pasfhocal forbróra a úsáideadh chun rochtain a fháil ar an mbonneagar php.net agus cuireadh tús leis an bpróiseas chun iad a athrú trí fhoirm speisialta athshlánaithe pasfhocail. Fanann na stórtha git.php.net agus svn.php.net inléite amháin (tá an fhorbairt aistrithe go GitHub).
Tar éis teacht ar an gcéad ghealltanas mailíseach a rinneadh trí chuntas Rasmus Lerdorf, bunaitheoir PHP, glacadh leis go raibh a chuntas hackáilte agus rinne Nikita Popov, ceann de phríomhfhorbróirí PHP, na hathruithe a rolladh siar agus chuir sí bac ar chearta gealltanais. an cuntas fadhbach. Tar éis roinnt ama, tháinig an réadú nach raibh ciall leis an mblocáil, mar gan fíorú gealltanais ag baint úsáide as síniú digiteach, d'fhéadfadh aon rannpháirtí a bhfuil rochtain aige ar an stór php-src athrú a dhéanamh trí ainm údair bhréige a chur in ionad.
Ansin, chuir na hionsaitheoirí gealltanas mailíseach thar ceann Nikita féin. Trí anailís a dhéanamh ar logaí na seirbhíse gitolite, a úsáidtear chun rochtain ar stórtha a eagrú, rinneadh iarracht a chinneadh cé acu rannpháirtí a rinne na hathruithe i ndáiríre. In ainneoin gur cuireadh cuntas ar gach gealltanas san áireamh, ní raibh aon iontrálacha sa loga do dhá athrú mailíseach. Ba léir go raibh comhréiteach ar an mbonneagar, ó cuireadh gealltanais leis go díreach, ag seachaint an nasc trí gitolite.
Díchumasaíodh an freastalaí git.php.net go pras, agus aistríodh an stór príomhúil go GitHub. Go deifir, rinneadh dearmad go raibh ionchur eile ann a cheadaigh duit gealltanais a sheoladh trí HTTPS chun rochtain a fháil ar an stór, chomh maith le SSH ag baint úsáide as gitolite. Sa chás seo, baineadh úsáid as an git-http-backend chun idirghníomhú le Git, agus rinneadh fíordheimhniú ag baint úsáide as freastalaí Apache2 HTTP, a fhíoraigh dintiúir trí rochtain a fháil ar an mbunachar sonraí arna óstáil sa DBMS ar an bhfreastalaí master.php.net. Ceadaíodh logáil isteach ní hamháin le heochracha, ach freisin le pasfhocal rialta. Dheimhnigh anailís ar logaí an fhreastalaí http gur cuireadh athruithe mailíseacha leis trí HTTPS.
Agus na logaí á staidéar, tugadh le fios nach ndearna na hionsaitheoirí ceangal den chéad uair, ach ar dtús rinne siad iarracht ainm an chuntais a aimsiú, ach tar éis é a aithint, logáil siad isteach ar an gcéad iarracht, i.e. bhí pasfhocail Rasmus agus Nikita ar eolas acu roimh ré, ach ní raibh a fhios acu a gcuid logins. Má bhí na hionsaitheoirí in ann rochtain a fháil ar an DBMS, ní léir cén fáth nár úsáid siad láithreach an logáil isteach ceart atá sonraithe ann. Níl míniú iontaofa faighte fós ar an neamhréireacht seo. Meastar gurb é an hack of master.php.net an cás is dóichí, ó d'úsáid an freastalaí seo cód an-sean agus OS a bhí as dáta, nár nuashonraíodh le fada an lá agus go raibh leochaileachtaí gan phasáil aige.
I measc na ngníomhartha a rinneadh tá athshuiteáil thimpeallacht an fhreastalaí master.php.net agus aistriú scripteanna chuig an leagan nua de PHP 8. Athraíodh an cód le haghaidh oibriú leis an DBMS chun úsáid a bhaint as fiosrúcháin pharaiméadairithe a chuireann casta ar ionadú cód SQL. Úsáidtear an algartam bcrypt chun hashes pasfhocail a stóráil sa bhunachar sonraí (roimhe seo, bhí pasfhocail stóráilte ag baint úsáide as hash MD5 neamhiontaofa). Athshocraítear pasfhocail reatha agus moltar duit pasfhocal nua a shocrú tríd an bhfoirm athshlánaithe pasfhocail. Ós rud é go raibh rochtain ar na stórtha git.php.net agus svn.php.net trí HTTPS ceangailte le hashes MD5, socraíodh git.php.net agus svn.php.net a fhágáil i mód inléite amháin, agus freisin go léir a bhogadh na cinn atá fágtha dóibh stórtha síneadh PECL ar GitHub, cosúil leis an bpríomhstór PHP.
Foinse: oscailtenet.ru