O faʻaiʻuga muamua o le auʻiliʻiliga o se mea na tupu e fesoʻotaʻi ma le faʻamaoniaina o ni mea leaga se lua i totonu o le Git repository o se poloketi PHP faʻatasi ai ma se backdoor faʻaagaoioia pe a tuʻuina atu se talosaga ma se faʻauluuluga a le User Agent ua faʻapipiʻiina. I le suʻesuʻeina o faʻasologa o gaioiga a le au osofaʻi, na faʻamaonia ai o le git.php.net server lava ia, lea na tuʻu ai le git repository, e leʻi faʻafefeteina, ae o le database ma faʻamatalaga a le au atinaʻe poloketi na faʻafefe. .
E mafai ona mafai e le au osofaʻi ona sii mai le faʻamaumauga o tagata faʻaoga o loʻo teuina i le DBMS i luga o le master.php.net server. O mea o lo'o i totonu o le master.php.net ua uma ona si'i atu i le main.php.net server fou fa'apipi'i mai le amataga. O upu fa'aulu uma na fa'aaogaina e fa'aoga ai le atina'e php.net na toe setiina ma o le fa'agasologa o le suiga na amataina e ala i se fa'ailoga fa'apitoa e toe fa'aleleia ai fa'aupuga. O faleteuoloa git.php.net ma svn.php.net e tumau pea le faitau-na'o (o le atina'e ua siitia i GitHub).
Ina ua uma ona maua le uluai tautinoga leaga na faia e ala i le tala a Rasmus Lerdorf, o le na faavaeina le PHP, na manatu ai o lana tala na hacked ma Nikita Popov, o se tasi o tagata autu autu o PHP, na toe taamilo i tua suiga ma poloka ai aia tatau mo le tala fa'afitauli. Ina ua mavae sina taimi, na oʻo mai le iloa e le talafeagai le poloka, talu ai e aunoa ma le faʻamaonia o faʻamaoniga e faʻaaoga ai se saini numera, soʻo se tagata auai e maua le avanoa i le php-src repository e mafai ona faia se suiga e ala i le suia o se igoa tusitala fatu.
Na sosoo ai, na auina atu e le au osofaʻi se tautinoga leaga e fai ma sui o Nikita lava ia. E ala i le suʻesuʻeina o ogalaau o le gitolite service, faʻaaogaina e faʻapipiʻi avanoa i fale teu oloa, na faia ai se taumafaiga e iloa ai le tagata auai na faia moni suiga. E ui lava i le fa'aofiina o le fa'amaumauga mo mea uma, e leai ni fa'amaumauga i totonu o le fa'amaumauga mo ni suiga leaga se lua. Na manino mai o loʻo i ai se fetuunaiga o atinaʻe, talu ai na tuʻu saʻo le tuʻufaʻatasia, e le o le fesoʻotaʻiga e ala i le gitolite.
O le git.php.net server na vave ona le atoatoa, ma o le fale teu oloa muamua na siitia atu i GitHub. I le faanatinati, na galo ai o le mauaina o le fale teu oloa, i le faaopoopo atu i le SSH e faʻaaoga ai le gitolite, o loʻo i ai se isi faʻaoga na mafai ai ona e auina atu ni tautinoga e ala i le HTTPS. I lenei tulaga, o le git-http-backend na faʻaaogaina e fegalegaleai ai ma Git, ma faʻamaonia le faʻaaogaina o le Apache2 HTTP server, lea na faʻamaonia ai faʻamaoniga e ala i le mauaina o faʻamaumauga o loʻo talimalo i le DBMS i le master.php.net server. Sa fa'atagaina le ulufale e le gata i ki, ae fa'apea fo'i ma se fa'aupuga masani. O suʻesuʻega o le http server logs na faʻamaonia ai na faʻaopoopoina suiga leaga e ala i le HTTPS.
I le suʻesuʻeina o ogalaau, na faʻaalia ai e leʻi fesoʻotaʻi le au osofaʻi i le taimi muamua, ae na muamua taumafai e suʻe le igoa o le teugatupe, ae ina ua uma ona faʻailoa, na latou ulufale i totonu i le taumafaiga muamua, i.e. sa latou iloa muamua upu faataga a Rasmus ma Nikita, ae latou te le'i iloaina o la saini. Afai na mafai e le au osofaʻi ona maua le avanoa i le DBMS, e le o manino pe aisea na latou le faʻaogaina vave ai le saʻo saʻo faʻamaonia iina. O lenei eseesega e leʻi mauaina se faʻamatalaga faʻatuatuaina. O le hack of master.php.net ua manatu o se faʻataʻitaʻiga sili ona foliga mai, talu ai na faʻaogaina e lenei 'auʻaunaga le code tuai ma se OS tuai, lea e leʻi faʻafouina mo se taimi umi ma e leʻi faʻaogaina ni faʻafitauli.
O gaioiga na faia e aofia ai le toe faʻapipiʻiina o le master.php.net server environment ma le tuʻuina atu o faʻamaumauga i le faʻamatalaga fou o le PHP 8. O le code mo le galulue faatasi ma le DBMS ua faʻaleleia e faʻaoga ai fesili faʻapitoa e faʻalavelave ai le suia o le code SQL. O le bcrypt algorithm o loʻo faʻaaogaina e teu ai upu faʻamaonia i totonu o faʻamaumauga (muamua, sa teuina faʻaupuga e faʻaaoga ai se MD5 hash e le faʻatuatuaina). O upu fa'amaonia o lo'o i ai ua toe setiina ma e fa'atonuina oe e seti se fa'aupuga fou e ala i le fomu toe fa'aleleia upu fa'apolopolo. Talu ai ona o le avanoa i le git.php.net ma le svn.php.net repositories e ala i le HTTPS na nonoa i MD5 hashes, na tonu ai e tuʻu le git.php.net ma svn.php.net i le faitau-naʻo le faiga, ma faʻagasolo uma o lo'o totoe ia i latou PECL fa'aopoopoga faleteuoloa i GitHub, tutusa ma le fale teu oloa PHP autu.
puna: opennet.ru