Hacker haben das wichtigste Git-Repository der Programmiersprache PHP durchbrochen und dem Quellcode eine Hintertür hinzugefügt, die einem Angreifer den Zugriff auf Millionen von Servern weltweit ermöglichen könnte.
Google, wie man das Standardkonto ändert
Doch so schlimm das auch klingen mag, die Hacker haben dem PHP-Entwicklerteam auch eine riesige rote Fahne hinterlassen, vermutlich eher als Warnung vor der Sicherheitslücke denn als direkter Exploit.
Hacker fügen Hintertür in PHP-Quellcode ein
Das PHP-Entwicklungsteam veröffentlicht ein offizielles Statement Bestätigung des Quellcode-Verstoßes am Sonntag, 28. März.
Die Erklärung bestätigt, dass der PHP-Quellcode tatsächlich verletzt wurde, wobei der Schadcode von den Konten der leitenden Entwickler Rasmus Lerdorf und Nikita Popov auf den PHP-Git-Server gepusht wurde.
Die Backdoor, die nicht in die Produktion aufgenommen wurde (d. h. sie wurde nicht auf einen Server gepusht), hätte es einem Angreifer ermöglicht, Code auf jedem anfälligen PHP-Server auszuführen. Es würde einem Bedrohungsakteur erheblichen Zugang gewähren und eine erhebliche Gefahr für die Millionen von Websites darstellen, die die Programmiersprache verwenden.
Verwandte: Wie man Text in PHP mit diesen praktischen Funktionen manipuliert
Obwohl die Sicherheitslücke und die Offenlegung der Schwachstelle schwerwiegend sind, ist es offensichtlich, dass der Hacker oder die Hacker nie beabsichtigt hatten, den Exploit live zu schalten. Um den Schadcode auszulösen, müsste ein Angriff eine Anfrage an eine bestimmte Zeichenfolge namens . senden Nulldium .
Zerodium ist der Name eines bekannten Exploit-Broker-Dienstes, bei dem Hacker Exploits an den Meistbietenden verkaufen können. Die Aufnahme des Namens unterstreicht die Vorstellung, dass die Hacker auf das PHP-Entwicklungsteam aufmerksam machten, anstatt die Schwachstelle aktiv auszunutzen.
Verwandt: Erfahren Sie, wie Sie Ihre PHP-Pakete mit Packagist verteilen
PHP-Entwicklung erfordert zusätzliche Sicherheitsschritte
Als Folge des Verstoßes wird das PHP-Entwicklungsteam die Art und Weise ändern, wie es den Zugriff auf seinen Git-Server verwaltet, und seine GitHub-Repositorys zur De-facto-Codebasis für das Projekt machen und nicht nur zu einem Spiegel, wie es derzeit der Fall ist.
Verschieben von Dateien von einem Computer auf einen anderen
Während [die] Untersuchung noch andauert, haben wir entschieden, dass die Aufrechterhaltung unserer eigenen Git-Infrastruktur ein unnötiges Sicherheitsrisiko darstellt, und dass wir den Server git.php.net einstellen werden. Stattdessen werden die Repositories auf GitHub, die bisher nur Spiegel waren, kanonisch. Das bedeutet, dass Änderungen direkt an GitHub gepusht werden sollten und nicht an git.php.net.
Nach dem Wechsel müssen sich diejenigen, die Zugriff auf die PHP-Repositorys benötigen, direkt an das Entwicklungsteam wenden, um eine Anfrage zu stellen.
Obwohl das Entwicklungsteam der Ansicht ist, dass der Verstoß eine Kompromittierung des Git-Servers selbst und nicht eines einzelnen Kontos war, unternimmt die PHP-Entwicklung zu Recht zusätzliche Schritte, um sicherzustellen, dass es keine weiteren Sicherheitsverletzungen gibt.
gibt es eine alternative zu youtube
Entsprechend W3Techs , verwenden rund 80 Prozent aller Seiten im Internet irgendeine Form von PHP, sodass die zusätzlichen Sicherheitsschritte völlig verständlich sind.
Teilen Teilen Tweet Email So erstellen Sie Ihre erste einfache PHP-WebsiteSie möchten eine Website erstellen, wissen aber nicht, wo Sie anfangen sollen? Das Erstellen einer einfachen PHP-Website bringt Sie auf den Weg zur Webentwicklung.
Weiter lesen Verwandte Themen- Sicherheit
- Technische Nachrichten
- Programmierung
- GitHub
- PHP
- Hintertür
Gavin ist Junior Editor für Windows and Technology Explained, schreibt regelmäßig am Really Useful Podcast und ist regelmäßiger Produktrezensent. Er hat einen BA (Hons) Contemporary Writing with Digital Art Practices, der aus den Hügeln von Devon geplündert wurde, sowie über ein Jahrzehnt an professioneller Schreiberfahrung. Er genießt reichlich Tee, Brettspiele und Fußball.
Mehr von Gavin PhillipsAbonniere unseren Newsletter
Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!
Klicken Sie hier, um sich zu abonnieren