Thawj cov txiaj ntsig ntawm kev tshuaj xyuas ntawm qhov xwm txheej cuam tshuam nrog kev txheeb xyuas ntawm ob qhov kev ua phem phem hauv Git repository ntawm PHP qhov project nrog lub qhov rooj rov qab qhib thaum xa daim ntawv thov nrog tus neeg siv tshwj xeeb tsim tus neeg sawv cev header tau luam tawm. Nyob rau hauv cov chav kawm ntawm kev kawm cov kab ntawm cov neeg tawm tsam cov kev ua ub no, nws tau xaus lus tias git.php.net server nws tus kheej, uas lub git repository nyob, tsis raug hacked, tab sis cov ntaub ntawv nrog cov nyiaj ntawm qhov project developers raug cuam tshuam. .
Nws yog qhov ua tau tias cov neeg tawm tsam tuaj yeem rub tawm cov neeg siv cov ntaub ntawv khaws cia hauv DBMS ntawm tus server.php.net server. Cov ntsiab lus ntawm master.php.net twb tau tsiv mus rau lub tshiab main.php.net server ntsia los ntawm kos. Txhua tus neeg tsim cov passwords siv los nkag rau php.net infrastructure tau pib dua thiab cov txheej txheem ntawm kev hloov pauv tau pib los ntawm daim foos tshwj xeeb rov qab lo lus zais. Lub git.php.net thiab svn.php.net repositories tseem nyeem nkaus xwb (kev txhim kho tau tsiv mus rau GitHub).
Tom qab kev tshawb pom ntawm thawj qhov kev ua phem tau ua los ntawm tus account ntawm Rasmus Lerdorf, tus tsim ntawm PHP, nws tau xav tias nws tus account tau raug hacked thiab Nikita Popov, yog ib tus tseem ceeb ntawm PHP developers, dov rov qab cov kev hloov pauv thiab thaiv kev ua txhaum cai rau tus account muaj teeb meem. Tom qab qee lub sij hawm, qhov kev pom tau tuaj tias qhov thaiv tsis ua rau muaj txiaj ntsig, vim tias tsis muaj kev lees paub ntawm kev cog lus siv lub npe digital, txhua tus neeg koom nrog nkag mus rau php-src repository tuaj yeem hloov pauv los ntawm kev hloov lub npe sau tsis tseeb.
Tom qab ntawd, cov neeg tawm tsam tau xa ib qho kev ua phem rau sawv cev ntawm Nikita nws tus kheej. Los ntawm kev txheeb xyuas cov cav ntawm cov kev pabcuam gitolite, siv los npaj kev nkag mus rau cov chaw khaws cia, sim txiav txim siab tus neeg koom nrog uas tau hloov pauv tiag tiag. Txawm hais tias suav nrog kev suav nyiaj rau txhua qhov kev cog lus, tsis muaj kev nkag rau hauv lub cav rau ob qhov kev hloov siab phem. Nws tau pom tseeb tias muaj kev cuam tshuam ntawm cov txheej txheem, txij li kev cog lus tau ntxiv ncaj qha, hla kev sib txuas ntawm gitolite.
Cov neeg rau zaub mov git.php.net tau ua haujlwm sai sai, thiab lub chaw cia khoom tseem ceeb tau hloov mus rau GitHub. Hauv kev nrawm, nws tsis nco qab tias nkag mus rau qhov chaw cia khoom, ntxiv rau SSH siv gitolite, muaj lwm cov tswv yim uas tso cai rau koj xa cov lus cog tseg ntawm HTTPS. Hauv qhov no, git-http-backend tau siv los cuam tshuam nrog Git, thiab kev lees paub tau ua tiav siv Apache2 HTTP server, uas tau txheeb xyuas cov ntaub ntawv pov thawj los ntawm kev nkag mus rau cov ntaub ntawv khaws cia hauv DBMS ntawm master.php.net server. Nkag mus tau tso cai tsis yog nrog cov yuam sij nkaus xwb, tab sis kuj nrog tus password tsis tu ncua. Kev tshuaj xyuas ntawm http server cav tau lees paub tias kev hloov pauv tsis zoo tau ntxiv los ntawm HTTPS.
Thaum kawm cov cav, nws tau qhia tias cov neeg tawm tsam tsis tau txuas rau thawj zaug, tab sis thawj zaug sim nrhiav cov npe ntawm tus account, tab sis tom qab txheeb xyuas nws, lawv nkag mus rau thawj zaug sim, i.e. lawv paub Rasmus thiab Nikita cov passwords ua ntej, tab sis tsis paub lawv tus lej nkag. Yog tias cov neeg tawm tsam tuaj yeem nkag mus rau DBMS, nws tsis paub meej vim li cas lawv thiaj li tsis siv tus ID nkag mus tam sim ntawd. Qhov sib txawv no tseem tsis tau txais qhov kev piav qhia txhim khu kev qha. Lub hack ntawm master.php.net yog suav hais tias yog qhov feem ntau yuav tshwm sim, txij li cov neeg rau zaub mov no siv cov cai qub thiab ib qho OS qub, uas tsis tau hloov kho rau lub sijhawm ntev thiab muaj qhov tsis muaj qhov tsis zoo.
Cov kev nqis tes ua suav nrog kev rov ua haujlwm ntawm master.php.net server ib puag ncig thiab hloov pauv cov ntawv sau mus rau qhov tshiab ntawm PHP 8. Cov cai rau kev ua haujlwm nrog DBMS tau raug hloov kho kom siv cov lus nug parameterized uas cuam tshuam qhov hloov pauv ntawm SQL code. bcrypt algorithm yog siv los khaws cov password hashs hauv cov ntaub ntawv (yav dhau los, cov passwords tau khaws cia siv qhov tsis ntseeg MD5 hash). Cov passwords uas twb muaj lawm tau rov pib dua thiab koj raug ceeb toom kom teeb tsa tus password tshiab los ntawm daim foos rov qab lo lus zais. Txij li thaum nkag mus rau git.php.net thiab svn.php.net repositories ntawm HTTPS tau khi rau MD5 hashes, nws tau txiav txim siab tawm git.php.net thiab svn.php.net nyob rau hauv hom nyeem nkaus xwb, thiab tseem txav tag nrho. tshuav ib qho rau lawv PECL txuas ntxiv repositories ntawm GitHub, zoo ib yam li lub ntsiab PHP repository.
Tau qhov twg los: opennet.ru