Sélectionner une page


Le projet PHP a publié une mise à jour sur le problème de sécurité qui a été publiée le 30 mars. Il a maintenant été supposé que le serveur git.php.net n’a pas été compromis.

Au lieu de cela, le développeur Nikita Popov a déclaré dans un article détailléLe problème était probablement dû à une fuite dans la base de données master.php.net.

Comment iTWire signaléLe projet a déplacé ses opérations de son propre serveur Git vers le propre référentiel de code logiciel de Microsoft, GitHub, après la découverte de deux commits malveillants dans le référentiel php-srx au nom des fondateurs Rasmus Lerdorf et Popov.

PHP est un langage de script universel et le plus largement utilisé sur le Web avec les systèmes de gestion de contenu populaires tels que WordPress, Drupal et Joomla! tout est écrit avec.


Popov a déclaré que master.php.net a maintenant été déplacé vers un nouveau système, main.php.net. « Tous les mots de passe php.net ont été réinitialisés. Allez sur https://main.php.net/forgot.php pour définir un nouveau mot de passe », a-t-il ajouté. « git.php.net et svn.php.net sont maintenant tous les deux en lecture seule, mais resteront disponibles pour le moment. »

Popov a poursuivi en disant que lorsque le premier commit malveillant a été effectué sous le nom de Lerdorf, le changement a été annulé et l’accès au compte de Lerdorf a été révoqué en supposant qu’il s’agissait d’un compromis entre des comptes individuels.

« Rétrospectivement, cette action n’avait pas vraiment de sens car il n’y avait aucune raison (à l’époque) de croire que la poussée passait spécifiquement par le compte de Rasmus », a-t-il écrit. « Tout compte ayant accès au référentiel php-src aurait pu effectuer le push sous un nom incorrect. »

Lorsque le deuxième commit malveillant a été remarqué, Popov a déclaré qu’il avait examiné de près les journaux d’installation de Gitolite du projet pour savoir quel compte effectuait ces commits.

Bien que tous les commits voisins aient été pris en compte, il n’y avait aucune entrée Git Receive Pack pour les deux commits malveillants. Cela signifiait que ces deux commits contournaient complètement l’infrastructure Gitolite et étaient donc interprétés comme une indication d’un compromis de serveur.

«Peu de temps après, nous avons décidé d’arrêter git.php.net et de faire de GitHub notre hôte de référentiel principal. Pour maintenir notre propre infrastructure Git, après avoir déterminé la cause racine de git.php.net, un nouveau serveur git.php .net doit être mis en place.  » Compromis », a déclaré Popov.

«Cela prendrait beaucoup de temps et perturberait le développement de PHP entre-temps. Une migration majeure vers GitHub pourrait être effectuée beaucoup plus rapidement puisque la plupart des référentiels y étaient déjà reflétés.

«À ce stade, beaucoup de choses étaient déjà en cours de développement sur GitHub, et notre propre infrastructure Git était en grande partie une faille de sécurité et une complication au flux de travail de développement, donc faire le changement n’était pas une décision difficile à prendre.

Il a dit qu’il n’était pas au courant à ce stade que git.php.net prend (intentionnellement) en charge les modifications non seulement via SSH (en utilisant l’infrastructure Gitolite et la cryptographie à clé publique) mais également via HTTPS.

« Ce dernier n’a pas utilisé Capitolit et a utilisé à la place le backend Git-http derrière l’authentification Apache2 Digest pour la base de données utilisateur master.php.net », a-t-il déclaré. « Je ne sais pas pourquoi l’authentification par mot de passe a même été prise en charge car elle est beaucoup moins sécurisée que l’authentification par clé publique. »

Popov a fourni un extrait des journaux d’accès, qui montre qu’il peut être déterminé que les validations ont été transférées en utilisant HTTPS et l’authentification par mot de passe.

Concernant les commits, il a noté: «Il est à noter que l’attaquant fait peu de suppositions sur les noms d’utilisateur et une fois que le nom d’utilisateur correct est trouvé, l’attaquant s’authentifie avec succès. Bien que nous n’ayons aucune preuve spécifique, c’est une explication possible pour la base de données des utilisateurs de master. php.net a fui quand il l’a fait
ne sait pas pourquoi l’attaquant devrait deviner les noms d’utilisateur dans ce cas. « 

Popov a déclaré qu’un certain nombre de changements avaient été apportés pour améliorer la sécurité:

  • « master.php.net a été migré vers un nouveau système (avec PHP 8) et en même temps renommé main.php.net. Entre autres choses, le nouveau système prend en charge TLS 1.2, ce qui signifie que vous ne devriez plus voir les avertissements de version TLS lors de l’accès à ce site;
  • «L’implémentation a été déplacée vers l’utilisation de requêtes paramétrées pour être plus certaine que les injections SQL ne peuvent pas se produire.
  • « Les mots de passe sont maintenant enregistrés avec bcrypt; et
  • « Les mots de passe existants ont été réinitialisés (utilisez main.php.net/forgot.php pour en générer un nouveau). »

GRANDE OUVERTURE DE LA BOUTIQUE ITWIRE

La très attendue boutique iTWire est désormais ouverte à nos lecteurs.

Visitez la boutique iTWire, une destination de premier plan pour les accessoires élégants, l’équipement et les gadgets, les produits de style de vie et les fournitures de bureau portables de tous les jours, les drones, les zooms pour smartphones, les logiciels et la formation en ligne.

Les grandes marques comprennent: Apple, Lenovo, LG, Samsung, Sennheiser et bien d’autres.

Produits disponibles pour chaque pays.

Nous espérons que vous apprécierez et trouverez de la valeur dans la boutique iTWire très attendue.

ALLEZ À LA BOUTIQUE MAINTENANT!

PRÉSENTATION D’ITWIRE TV

iTWire TV apporte une valeur unique au secteur de la technologie en offrant une gamme d’interviews vidéo, d’actualités, de vues et d’évaluations, et en permettant aux fournisseurs de promouvoir votre entreprise et vos messages marketing.

Nous travaillerons avec vous pour développer le message et mener l’entrevue ou l’examen du produit de manière sûre et collaborative. Contrairement aux autres chaînes Tech YouTube, nous créons une histoire autour de votre message et la publions sur la page d’accueil d’ITWire, avec un lien vers votre message.

De plus, le message de votre entretien peut apparaître dans jusqu’à 7 affichages de messages différents sur notre site Web iTWire.com pour générer du trafic et des lecteurs vers votre contenu vidéo et vos téléchargements. Cela peut être une opportunité importante de génération de leads pour votre entreprise.

Nous proposons également 3 vidéos en un seul enregistrement / session si vous le souhaitez afin que vous ayez une gamme de vidéos à proposer à vos clients. Votre équipe de vente peut ajouter vos e-mails aux supports de vente et au pied de page de leurs e-mails de vente et de marketing.

Consultez les dernières actualités techniques, opinions, interviews, critiques, promotions de produits et événements. Plus des vidéos amusantes de nos lecteurs et clients.

VOIR CE QUI EST MAINTENANT SUR ITWIRE TELEVISION!



Source link

Recent Posts