Zotsatira zoyamba za kuwunika kwa chochitika chokhudzana ndi kuzindikirika kwa machitidwe awiri oyipa m'malo a Git a pulojekiti ya PHP yokhala ndi khomo lakumbuyo lomwe lidatsegulidwa potumiza pempho ndi mutu wopangidwa mwapadera wa User Agent zasindikizidwa. Pophunzira za zochitika za owukirawo, adatsimikiza kuti seva ya git.php.net yomwe, pomwe git repository inali, sinaberedwe, koma nkhokwe yokhala ndi maakaunti a oyambitsa polojekiti idasokonezedwa. .
N'zotheka kuti otsutsawo adatha kutsitsa deta yosungidwa mu DBMS pa seva ya master.php.net. Zomwe zili mu master.php.net zasamutsidwa kale kupita ku seva yatsopano ya main.php.net yoyikidwa kuyambira poyambira. Ma passwords onse omwe amagwiritsidwa ntchito kuti agwiritse ntchito php.net adakhazikitsidwanso ndipo njira yowasinthira idayambitsidwa kudzera mu fomu yapadera yobwezeretsa mawu achinsinsi. Zosungira za git.php.net ndi svn.php.net zimakhalabe zowerengedwa zokha (chitukuko chasunthidwa ku GitHub).
Pambuyo pakupezeka koyamba koyipa komwe adapanga kudzera muakaunti ya Rasmus Lerdorf, woyambitsa PHP, adaganiza kuti akaunti yake idabedwa ndipo Nikita Popov, m'modzi mwamadivelopa ofunikira a PHP, adagubuduza zosinthazo ndikuletsa ufulu wochitapo kanthu. akaunti yamavuto. Patapita nthawi, kuzindikira kunadza kuti kutsekereza sikunali kwanzeru, chifukwa popanda kutsimikizira zochita pogwiritsa ntchito siginecha ya digito, aliyense amene ali ndi mwayi wopeza php-src repository atha kusintha polowetsa dzina labodza.
Kenako, oukirawo anatumiza njiru kuchita m'malo Nikita mwiniwake. Pofufuza zipika za utumiki wa gitolite, womwe umagwiritsidwa ntchito pokonzekera mwayi wopita kumalo osungiramo zinthu, kuyesayesa kunapangidwa kuti mudziwe yemwe adapangadi kusintha. Ngakhale kuphatikizidwa kwa ma accounting onse omwe adachita, panalibe zolembedwa mu chipika pazosintha ziwiri zoyipa. Zinali zoonekeratu kuti panali kusagwirizana kwa zomangamanga, popeza mabizinesi adawonjezedwa mwachindunji, kudutsa kulumikizana kudzera pa gitolite.
Seva ya git.php.net inatsekedwa mwachangu, ndipo malo osungiramo zinthu akuluakulu anasamutsidwira ku GitHub. Pakuthamanga, zinaiwalika kuti, kuwonjezera pa SSH access pogwiritsa ntchito gitolite, panalinso login ina ya malo osungiramo zinthu, zomwe zinalola kuti ma commits atumizidwe kudzera pa HTTPS. Pankhaniyi, git-http-backend idagwiritsidwa ntchito polumikizana ndi Git, ndipo kutsimikizira kunachitika pogwiritsa ntchito seva ya Apache2 HTTP, yomwe idatsimikizira zilolezo polowa mu database yomwe ili pa Seva master.php.net. Kulowa sikunali kololedwa kugwiritsa ntchito makiyi okha komanso kugwiritsa ntchito mawu achinsinsi wamba. Kusanthula kwa zolemba za seva ya HTTP kunatsimikizira kuti kusintha koyipa kunawonjezedwa kudzera mu HTTPS.
Kufufuza kwa zolemba kunawonetsa kuti owukirawo sanalumikizane pa kuyesa koyamba, koma poyamba anayesa kuganiza dzina la akauntiyo. Atazindikira dzinalo, adalowa pa kuyesa koyamba. Izi zikutanthauza kuti ankadziwa mawu achinsinsi a Rasmus ndi Nikita pasadakhale, koma osati mayina awo ogwiritsira ntchito. Ngati owukirawo akanatha kupeza DBMS, sizikudziwika chifukwa chake sanagwiritse ntchito nthawi yomweyo dzina lolowera lolondola lomwe latchulidwa pamenepo. Kusiyana kumeneku sikunafotokozedwe bwino. Kusokoneza kwa master.php.net kumaonedwa kuti ndi vuto lalikulu, monga momwe zilili pano. Seva Khodi yakale kwambiri ndi OS yakale zinagwiritsidwa ntchito, zomwe sizinasinthidwe kwa nthawi yayitali ndipo zinali ndi zofooka zomwe sizinasinthidwe.
Zochita zomwe zatengedwa zikuphatikizapo kubwezeretsanso malo a seva ya master.php.net ndi kusamutsidwa kwa malemba ku mtundu watsopano wa PHP 8. Khodi yogwira ntchito ndi DBMS yasinthidwa kuti igwiritse ntchito mafunso a parameterized omwe amasokoneza kulowetsa SQL code. Bcrypt algorithm imagwiritsidwa ntchito kusungira mawu achinsinsi mu nkhokwe (m'mbuyomu, mapasiwedi adasungidwa pogwiritsa ntchito hashi yodalirika ya MD5). Mawu achinsinsi omwe alipo amakonzedwanso ndipo mumalimbikitsidwa kukhazikitsa mawu achinsinsi kudzera mu fomu yobwezeretsa mawu achinsinsi. Popeza kuti mwayi wopita ku git.php.net ndi svn.php.net repositories kudzera pa HTTPS unali womangidwa ku MD5 hashes, adaganiza zosiya git.php.net ndi svn.php.net powerenga-pokha, komanso kusuntha zonse. otsala kwa iwo PECL zosungirako zowonjezera pa GitHub, zofanana ndi malo akuluakulu a PHP.
Source: opennet.ru
