Home-theater-designers
Hackers hebben de belangrijkste Git-repository van de PHP-programmeertaal geschonden en een achterdeur aan de broncode toegevoegd die een aanvaller toegang zou kunnen geven tot miljoenen servers over de hele wereld.
hoe bluetooth aan te zetten op mac
Hoe erg dat ook klinkt, de hackers lieten ook een gigantische rode vlag achter voor het PHP-ontwikkelteam, vermoedelijk als een waarschuwing met betrekking tot de kwetsbaarheid in plaats van als een directe exploit.
Hackers voegen backdoor toe aan PHP-broncode
Het PHP-ontwikkelteam vrijgegeven een officiële verklaring bevestiging van de inbreuk op de broncode op zondag 28 maart.
De verklaring bevestigt dat de PHP-broncode inderdaad is geschonden, waarbij de kwaadaardige code naar de PHP Git-server is gepusht vanuit de accounts van hoofdontwikkelaars Rasmus Lerdorf en Nikita Popov.
De achterdeur, die nog niet in productie is genomen (wat betekent dat hij niet live naar servers is gepusht), zou een aanvaller in staat hebben gesteld code uit te voeren op elke kwetsbare PHP-server. Het zou aanzienlijke toegang verlenen aan een dreigingsactor en een aanzienlijk gevaar vormen voor de miljoenen websites die de programmeertaal gebruiken.
Gerelateerd: Tekst manipuleren in PHP met deze handige functies
Hoewel de inbreuk en de blootstelling van de kwetsbaarheid slecht zijn, is het duidelijk dat de hacker of hackers nooit van plan waren om de exploit live te laten gaan. Om de kwaadaardige code te activeren, zou een aanval een verzoek moeten sturen naar een specifieke string met de naam nultrium .
Zerotium is de naam van een bekende exploit broker-service, waar hackers exploits kunnen verkopen aan de hoogste bieder. De opname van de naam geeft geloofwaardigheid aan het idee dat de hackers de aandacht vestigden op het PHP-ontwikkelteam in plaats van actief misbruik te maken van de kwetsbaarheid.
Verwant: Leer hoe u uw PHP-pakketten kunt distribueren met Packagist
PHP-ontwikkeling Neem extra beveiligingsstappen
Als gevolg van de inbreuk zal het PHP-ontwikkelingsteam de manier waarop het de toegang tot zijn Git-server beheert veranderen, waardoor zijn GitHub-repository's de feitelijke codebasis voor het project worden, in plaats van slechts een spiegel zoals het momenteel is.
windows kon proxy-instellingen niet detecteren
Terwijl [het] onderzoek nog aan de gang is, hebben we besloten dat het onderhouden van onze eigen git-infrastructuur een onnodig veiligheidsrisico is, en dat we de git.php.net-server zullen stopzetten. In plaats daarvan worden de repositories op GitHub, die voorheen alleen mirrors waren, canoniek. Dit betekent dat wijzigingen rechtstreeks naar GitHub moeten worden gepusht in plaats van naar git.php.net.
Na de overstap moeten degenen die toegang nodig hebben tot de PHP-repository's rechtstreeks contact opnemen met het ontwikkelteam om een verzoek in te dienen.
Hoewel het ontwikkelingsteam van mening is dat de inbreuk een inbreuk was op de Git-server zelf, in plaats van op een individueel account, neemt de PHP-ontwikkeling terecht aanvullende stappen om ervoor te zorgen dat er geen verdere inbreuken zijn.
heeft een telefoon een simkaart nodig?
Volgens W3Techs , ongeveer 80 procent van alle sites op internet gebruikt een of andere vorm van PHP, dus de extra beveiligingsstappen zijn volkomen begrijpelijk.
Deel Deel Tweeten E-mail Hoe u uw eerste eenvoudige PHP-website kunt bouwenWil je een website bouwen maar weet je niet waar te beginnen? Door een eenvoudige PHP-website te maken, bent u op weg naar webontwikkeling.
Lees volgende Gerelateerde onderwerpen- Veiligheid
- Technisch nieuws
- Programmeren
- GitHub
- PHP
- Achterdeur
Gavin is de Junior Editor voor Windows en Technology Explained, levert regelmatig bijdragen aan de Really Useful Podcast en recenseert regelmatig producten. Hij heeft een BA (Hons) Contemporary Writing met Digital Art Practices geplunderd uit de heuvels van Devon, evenals meer dan tien jaar professionele schrijfervaring. Hij geniet van overvloedige hoeveelheden thee, bordspellen en voetbal.
Meer van Gavin PhillipsAbonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Klik hier om je te abonneren