Ua paʻi ʻia nā hopena mua o ka nānā ʻana i kahi hanana e pili ana i ka ʻike ʻana i ʻelua mau hana ʻino i loko o ka waihona Git o kahi papahana PHP me ka backdoor i hoʻāla ʻia i ka wā e hoʻouna ai i kahi noi me kahi poʻomanaʻo Mea hoʻohana i hoʻolālā ʻia. I ke aʻo ʻana i nā ʻano o nā hana a ka poʻe hoʻouka kaua, ua hoʻoholo ʻia ʻo ka server git.php.net ponoʻī, kahi i loaʻa ai ka waihona git, ʻaʻole i hacked, akā ua hoʻopili ʻia ka waihona me nā moʻolelo o nā mea hoʻomohala papahana. .
Hiki i nā mea hoʻouka ke hoʻoiho i ka waihona mea hoʻohana i mālama ʻia ma ka DBMS ma ke kikowaena master.php.net. Ua neʻe mua ʻia nā ʻike o master.php.net i ke kikowaena main.php.net hou i hoʻokomo ʻia mai ka wā ʻōpala. Ua hoʻonohonoho hou ʻia nā ʻōlelo huna a pau i hoʻohana ʻia no ke komo ʻana i ka ʻōnaehana php.net a ua hoʻomaka ʻia ke kaʻina hana o ka hoʻololi ʻana iā lākou ma o kahi palapala hoʻolaʻa ʻōlelo huna kūikawā. He heluhelu wale nō ka waihona git.php.net a me svn.php.net (ua hoʻoneʻe ʻia ka hoʻomohala ʻana i GitHub).
Ma hope o ka ʻike ʻia ʻana o ka hana hewa mua i hana ʻia ma o ka mooolelo a Rasmus Lerdorf, ka mea nāna i hoʻokumu i PHP, ua manaʻo ʻia ua hacked kāna moʻokāki a ʻo Nikita Popov, kekahi o nā mea hoʻomohala PHP koʻikoʻi, hoʻihoʻi i nā loli a kāohi i nā kuleana kuleana no ka mooolelo pilikia. Ma hope o kekahi manawa, ua ʻike ʻia ʻaʻole kūpono ka pāpā ʻana, no ka mea, me ka ʻole o ka hōʻoia ʻana o nā hana me ka hoʻohana ʻana i kahi pūlima kikohoʻe, hiki i kēlā me kēia mea i komo i ka waihona php-src ke hoʻololi i ka hoʻololi ʻana i kahi inoa mea kākau.
Ma hope aʻe, ua hoʻouna ka poʻe hoʻouka i kahi hana ʻino ma ka inoa o Nikita ponoʻī. Ma ka nānā ʻana i nā lāʻau o ka lawelawe gitolite, i hoʻohana ʻia e hoʻonohonoho i ke komo ʻana i nā waihona, ua hoʻāʻo ʻia e hoʻoholo i ka mea komo i hana maoli i nā loli. ʻOiai ka hoʻokomo ʻana o ka moʻohelu kālā no nā hana a pau, ʻaʻohe helu i loko o ka log no nā hoʻololi ʻino ʻelua. Ua ʻike maopopo ʻia aia ka ʻae ʻana o ka ʻōnaehana, no ka mea, ua hoʻohui pololei ʻia nā commits, e kāpae ana i ka pilina ma o gitolite.
Ua pio koke ke kikowaena git.php.net, a ua hoʻoili ʻia ka waihona mua iā GitHub. I ka wikiwiki, ua poina iā ʻoe e komo i ka waihona, ma kahi o SSH me ka hoʻohana ʻana i ka gitolite, aia kekahi mea hoʻokomo e hiki ai iā ʻoe ke hoʻouna i nā commits ma o HTTPS. I kēia hihia, ua hoʻohana ʻia ka git-http-backend e launa pū me Git, a ua hana ʻia ka hōʻoia me ka hoʻohana ʻana i ka server Apache2 HTTP, nāna i hōʻoia i nā hōʻoia ma ke komo ʻana i ka waihona i mālama ʻia i ka DBMS ma ka server master.php.net. ʻAʻole ʻae ʻia ke komo ʻana me nā kī wale nō, akā me ka ʻōlelo huna maʻamau. Ua hōʻoia ʻia ka ʻike ʻana o nā log server http ua hoʻohui ʻia nā hoʻololi ʻino ma o HTTPS.
I ke aʻo ʻana i nā lāʻau, ua hōʻike ʻia ʻaʻole i hoʻopili ka poʻe hoʻouka i ka manawa mua, akā hoʻāʻo mua e ʻimi i ka inoa moʻokāki, akā ma hope o ka ʻike ʻana, ua komo lākou i ka hoʻāʻo mua, ʻo ia. Ua ʻike mua lākou i ka ʻōlelo huna a Rasmus lāua ʻo Nikita, ʻaʻole naʻe lākou i ʻike i kā lākou ʻōlelo huna. Inā hiki i ka poʻe hoʻouka ke komo i ka DBMS, ʻaʻole maopopo i ke kumu i hoʻohana ʻole ai lākou i ka loiloi pololei i kuhikuhi ʻia ma laila. ʻAʻole i loaʻa i kēia ʻokoʻa kahi wehewehe hilinaʻi. ʻO ka hack o master.php.net ka mea i manaʻo ʻia ʻo ia ke ʻano kūpono loa, no ka mea, ua hoʻohana kēia kikowaena i ka code kahiko loa a me kahi OS kahiko, ʻaʻole i hoʻonui ʻia no ka manawa lōʻihi a loaʻa ʻole nā nawaliwali i hoʻoponopono ʻia.
ʻO nā hana i hanaʻia,ʻo ia ka hoʻokomo houʻana i ka honua kikowaena master.php.net a me ka hoʻololiʻana i nā palapala i ka mana hou o PHP 8. Ua hoʻololiʻia ke code no ka hanaʻana me ka DBMS e hoʻohana i nā nīnau i hoʻohālikelikeʻia e paʻakikī i ka hoʻololiʻana i ke code SQL. Hoʻohana ʻia ka algorithm bcrypt no ka mālama ʻana i nā hashes password i loko o ka waihona (ma mua, mālama ʻia nā ʻōlelo huna me ka hash MD5 hiki ʻole ke hilinaʻi ʻia). Hoʻonohonoho hou ʻia nā ʻōlelo huna e kū nei a ua koi ʻia ʻoe e hoʻonohonoho i kahi ʻōlelo huna hou ma o ka palapala hoʻolaʻa ʻōlelo huna. Ma muli o ke komo ʻana i nā waihona git.php.net a me svn.php.net ma o HTTPS i hoʻopaʻa ʻia i nā hashes MD5, ua hoʻoholo ʻia e haʻalele iā git.php.net a me svn.php.net ma ke ʻano heluhelu wale nō, a neʻe pū i nā mea āpau. koe nā mea i koe iā lākou PECL extension repositories ma GitHub, e like me ka waihona PHP nui.
Source: opennet.ru