پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > پيڪيجسٽ مخزن ۾ 14 PHP لائبريرين جو ڪنٽرول ورتو

پيڪيجسٽ مخزن ۾ 14 PHP لائبريرين جو ڪنٽرول ورتو

پيڪيجسٽ پيڪيج ريپوزٽري جي منتظمين هڪ حملي جي باري ۾ معلومات ظاهر ڪئي جنهن جي نتيجي ۾ 14 پي ايڇ پي لائبريرين جي اڪائونٽن تي ڪنٽرول ڪيو ويو، جنهن ۾ مشهور پيڪيجز جهڙوڪ انسٽنٽيٽٽر (مجموعي طور تي 526 ملين تنصيب، هر مهيني 8 ملين تنصيب، 323 منحصر پيڪيجز)، sql -فارمٽر (94 ملين ڪل تنصيب، 800 هزار في مهيني، 109 منحصر پيڪيجز)، نظريي-ڪيش-بنڊل (73 ملين ڪل تنصيب، 500 هزار في مهيني، 348 منحصر پيڪيجز) ۽ آرڪوڊ-ڊيڪٽر-ڊيڪوڊر (20 ملين ڪل تنصيب، 400 هزار هر مهيني، 66 منحصر پيڪيجز).

اڪائونٽس کي سمجھوتو ڪرڻ کان پوء، حملي ڪندڙ composer.json فائل ۾ ترميم ڪئي، پروجيڪٽ جي تفصيل جي فيلڊ ۾ معلومات شامل ڪئي ته هو معلومات جي حفاظت سان لاڳاپيل نوڪري ڳولي رهيو هو. composer.json فائل ۾ تبديليون ڪرڻ لاءِ، حملو ڪندڙ اصل ذخيرن جي URLs کي تبديل ٿيل فورڪز جي لنڪ سان تبديل ڪيو (Packagist صرف ميٽا ڊيٽا مهيا ڪري ٿو لنڪس سان گڏ GitHub تي ٺاهيل پروجيڪٽس؛ جڏهن انسٽال ڪري رهيا آهيو "composer install" يا "composer update" سان. حڪم، پيڪيجز سڌو سنئون GitHub کان ڊائون لوڊ ڪيا ويا آهن). مثال طور، acmephp پيڪيج لاءِ، جڙيل مخزن کي acmephp/acmephp کان neskafe3v1/acmephp ۾ تبديل ڪيو ويو.

ظاهري طور تي، اهو حملو بدسلوڪي عملن کي انجام ڏيڻ لاءِ نه، پر مختلف سائيٽن تي نقلي سندن جي استعمال جي حوالي سان لاپرواهي واري رويي جي ناقابل قبوليت جو مظاهرو ڪيو ويو. ساڳئي وقت، حملو ڪندڙ، "اخلاقي هيڪنگ" جي قائم ڪيل مشق جي برخلاف، لائبريري ڊولپرز ۽ مخزن جي منتظمين کي اڳ ۾ ئي اطلاع نه ڏنو ويو تجربو ڪيو پيو وڃي. حملي آور بعد ۾ اعلان ڪيو ته هو نوڪري حاصل ڪرڻ ۾ ڪامياب ٿيڻ بعد، هو حملي ۾ استعمال ڪيل طريقن جي تفصيلي رپورٽ شايع ڪندو.

Packagist منتظمين پاران شايع ٿيل ڊيٽا جي مطابق، سڀئي اڪائونٽ جيڪي سمجھوتي ٿيل پيڪيجز کي منظم ڪن ٿا انهن کي ٻن عنصر جي تصديق کي چالو ڪرڻ کان سواء آسان انداز ۾ پاسورڊ استعمال ڪيو ويو. اهو الزام آهي ته هيڪ ڪيل اڪائونٽس پاس ورڊ استعمال ڪيا ويا جيڪي نه رڳو پيڪيجسٽ ۾ پر ٻين خدمتن ۾ پڻ استعمال ڪيا ويا، جن جا پاسورڊ ڊيٽابيس اڳ ۾ سمجهوتو ڪيا ويا ۽ عوامي طور تي دستياب ٿي ويا. اڪائونٽ جي مالڪن جي اي ميلون کي پڪڙڻ جيڪي ختم ٿيل ڊومينز سان ڳنڍيل هئا پڻ رسائي حاصل ڪرڻ لاء اختيار جي طور تي استعمال ڪري سگھجن ٿيون.

ٺاهه ٿيل پيڪيجز:

  • acmephp/acmephp (پيڪيج جي پوري زندگي لاءِ 124,860 تنصيب)
  • acmephp/core (419,258)
  • acmephp/ssl (531,692)
  • نظريو/نظريي-ڪيش-بنڊل (73,490,057)
  • نظريي/ نظريي-ماڊل (5,516,721)
  • نظريو/ نظريو-مونگو-odm-module (516,441)
  • نظريو/نظريات-orm-module (5,103,306)
  • نظريه/ تڪڙي ڪندڙ (526,809,061)
  • نمو ڪتاب/ترقي ڪتاب (97,568
  • jdorn/file-system-cache (32,660)
  • jdorn/sql-formatter (94,593,846)
  • khanamiryan/qrcode-detector-decoder (20,421,500)
  • اعتراض-calisthenics/phpcs-calisthenics-قاعدا (2,196,380)
  • tga/simhash-php, tgalopin/simhashphp (30,555)

جو ذريعو: opennet.ru

تبصرو شامل ڪريو