Οι χάκερ έχουν παραβιάσει το κύριο αποθετήριο Git της γλώσσας προγραμματισμού PHP, προσθέτοντας ένα backdoor στον πηγαίο κώδικα που θα μπορούσε να επιτρέψει σε έναν εισβολέα πρόσβαση σε εκατομμύρια διακομιστές παγκοσμίως.
πώς να εισάγετε βούρτσες σε αναπαραγωγή
Ωστόσο, όσο άσχημο κι αν ακούγεται, οι χάκερ άφησαν επίσης μια τεράστια κόκκινη σημαία για την ομάδα ανάπτυξης PHP, πιθανώς ως προειδοποίηση σχετικά με την ευπάθεια και όχι ως άμεσο εκμετάλλευση.
Οι χάκερ εισάγουν το Backdoor στον πηγαίο κώδικα PHP
Η ομάδα ανάπτυξης PHP κυκλοφόρησε επίσημη δήλωση επιβεβαίωση της παραβίασης του πηγαίου κώδικα την Κυριακή 28 Μαρτίου.
Η δήλωση επιβεβαιώνει ότι ο πηγαίος κώδικας PHP όντως παραβιάστηκε, με τον κακόβουλο κώδικα να προωθείται στον διακομιστή PHP Git από τους λογαριασμούς των κύριων προγραμματιστών Rasmus Lerdorf και Nikita Popov.
Η πίσω πόρτα, η οποία δεν έχει μπει στην παραγωγή (που σημαίνει ότι δεν έχει προωθηθεί σε κανέναν διακομιστή), θα επέτρεπε σε έναν εισβολέα να εκτελέσει κώδικα σε οποιονδήποτε ευάλωτο διακομιστή PHP. Θα παρείχε σημαντική πρόσβαση σε έναν παράγοντα απειλής και θα αποτελούσε σημαντικό κίνδυνο για εκατομμύρια ιστότοπους που χρησιμοποιούν τη γλώσσα προγραμματισμού.
Σχετικά: Πώς να χειριστείτε το κείμενο σε PHP με αυτές τις εύχρηστες λειτουργίες
Ωστόσο, ενώ η παραβίαση και η έκθεση της ευπάθειας είναι κακές, είναι προφανές ότι ο χάκερ ή οι χάκερ δεν σκόπευαν ποτέ να εκμεταλλευτεί το εκμεταλλευόμενο. Για να ενεργοποιηθεί ο κακόβουλος κώδικας, μια επίθεση θα πρέπει να στείλει ένα αίτημα σε μια συγκεκριμένη συμβολοσειρά με όνομα μηδένιο Το
Το Zerodium είναι το όνομα μιας γνωστής υπηρεσίας μεσιτών εκμετάλλευσης, όπου οι χάκερ μπορούν να πουλήσουν εκμεταλλεύσεις στον πλειοδότη. Η συμπερίληψη του ονόματος προσδίδει πίστη στην ιδέα ότι οι χάκερ τράβηξαν την προσοχή στην ομάδα ανάπτυξης PHP αντί να εκμεταλλευτούν ενεργά την ευπάθεια.
Σχετίζεται με: Μάθετε πώς να διανείμετε τα πακέτα PHP με το Packagist
Ανάπτυξη PHP Κάντε επιπλέον βήματα ασφαλείας
Ως αποτέλεσμα της παραβίασης, η ομάδα ανάπτυξης PHP θα αλλάξει τον τρόπο με τον οποίο διαχειρίζεται την πρόσβαση στον διακομιστή Git, καθιστώντας τα αποθετήρια GitHub τους de facto βάση κώδικα για το έργο, και όχι απλώς έναν καθρέφτη όπως είναι αυτή τη στιγμή.
το ποντίκι σταματά να λειτουργεί τυχαία Windows 10
Ενώ [η] έρευνα βρίσκεται ακόμη σε εξέλιξη, αποφασίσαμε ότι η διατήρηση της δικής μας υποδομής git αποτελεί περιττό κίνδυνο ασφάλειας και ότι θα διακόψουμε τον διακομιστή git.php.net. Αντ 'αυτού, τα αποθετήρια στο GitHub, τα οποία στο παρελθόν ήταν μόνο καθρέφτες, θα γίνουν κανονικά. Αυτό σημαίνει ότι οι αλλαγές θα πρέπει να προωθηθούν απευθείας στο GitHub και όχι στο git.php.net.
Μετά την αλλαγή, όσοι απαιτούν πρόσβαση στα αποθετήρια PHP θα πρέπει να επικοινωνήσουν απευθείας με την ομάδα ανάπτυξης για να υποβάλουν αίτημα.
Παρόλο που η ομάδα ανάπτυξης πιστεύει ότι η παραβίαση ήταν συμβιβασμός του ίδιου του διακομιστή Git και όχι ενός μεμονωμένου λογαριασμού, η ανάπτυξη PHP λαμβάνει δικαιωματικά πρόσθετα μέτρα για να διασφαλίσει ότι δεν θα υπάρξουν περαιτέρω παραβιάσεις.
τι πρόγραμμα περιήγησης λειτουργεί με τα windows xp
Σύμφωνα με W3Techs , περίπου το 80 τοις εκατό όλων των ιστότοπων στο διαδίκτυο χρησιμοποιούν κάποια μορφή PHP, οπότε τα πρόσθετα βήματα ασφαλείας είναι απολύτως κατανοητά.
Μερίδιο Μερίδιο Τιτίβισμα ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ Πώς να φτιάξετε τον πρώτο σας απλό ιστότοπο PHPΘέλετε να δημιουργήσετε έναν ιστότοπο αλλά δεν ξέρετε από πού να ξεκινήσετε; Η δημιουργία ενός βασικού ιστότοπου PHP θα σας βάλει στο δρόμο για την ανάπτυξη ιστού.
Διαβάστε Επόμενο Σχετικά θέματα- Ασφάλεια
- Τεχνικά Νέα
- Προγραμματισμός
- GitHub
- PHP
- Πίσω πόρτα
Ο Gavin είναι ο Junior Editor για Windows and Technology Explained, τακτικός συνεργάτης του Really Useful Podcast και τακτικός αναθεωρητής προϊόντων. Έχει BA (Hons) Σύγχρονη Γραφή με Πρακτικές Artηφιακής Τέχνης που λεηλατήθηκαν από τους λόφους του Ντέβον, καθώς και πάνω από μια δεκαετία επαγγελματικής εμπειρίας συγγραφής. Απολαμβάνει άφθονο τσάι, επιτραπέζια παιχνίδια και ποδόσφαιρο.
Περισσότερα από τον Gavin PhillipsΕγγραφείτε στο newsletter μας
Εγγραφείτε στο ενημερωτικό μας δελτίο για τεχνικές συμβουλές, κριτικές, δωρεάν ebooks και αποκλειστικές προσφορές!
Κάντε κλικ εδώ για εγγραφή