Hacker durchbrechen den PHP-Git-Server und fügen eine Hintertür in den Quellcode ein

Hacker durchbrechen den PHP-Git-Server und fügen eine Hintertür in den Quellcode ein

Hacker haben das wichtigste Git-Repository der Programmiersprache PHP durchbrochen und dem Quellcode eine Hintertür hinzugefügt, die einem Angreifer den Zugriff auf Millionen von Servern weltweit ermöglichen könnte.





Google, wie man das Standardkonto ändert

Doch so schlimm das auch klingen mag, die Hacker haben dem PHP-Entwicklerteam auch eine riesige rote Fahne hinterlassen, vermutlich eher als Warnung vor der Sicherheitslücke denn als direkter Exploit.



Hacker fügen Hintertür in PHP-Quellcode ein

Das PHP-Entwicklungsteam veröffentlicht ein offizielles Statement Bestätigung des Quellcode-Verstoßes am Sonntag, 28. März.





Die Erklärung bestätigt, dass der PHP-Quellcode tatsächlich verletzt wurde, wobei der Schadcode von den Konten der leitenden Entwickler Rasmus Lerdorf und Nikita Popov auf den PHP-Git-Server gepusht wurde.

Die Backdoor, die nicht in die Produktion aufgenommen wurde (d. h. sie wurde nicht auf einen Server gepusht), hätte es einem Angreifer ermöglicht, Code auf jedem anfälligen PHP-Server auszuführen. Es würde einem Bedrohungsakteur erheblichen Zugang gewähren und eine erhebliche Gefahr für die Millionen von Websites darstellen, die die Programmiersprache verwenden.



Verwandte: Wie man Text in PHP mit diesen praktischen Funktionen manipuliert

Obwohl die Sicherheitslücke und die Offenlegung der Schwachstelle schwerwiegend sind, ist es offensichtlich, dass der Hacker oder die Hacker nie beabsichtigt hatten, den Exploit live zu schalten. Um den Schadcode auszulösen, müsste ein Angriff eine Anfrage an eine bestimmte Zeichenfolge namens . senden Nulldium .



Zerodium ist der Name eines bekannten Exploit-Broker-Dienstes, bei dem Hacker Exploits an den Meistbietenden verkaufen können. Die Aufnahme des Namens unterstreicht die Vorstellung, dass die Hacker auf das PHP-Entwicklungsteam aufmerksam machten, anstatt die Schwachstelle aktiv auszunutzen.

Verwandt: Erfahren Sie, wie Sie Ihre PHP-Pakete mit Packagist verteilen



PHP-Entwicklung erfordert zusätzliche Sicherheitsschritte

Als Folge des Verstoßes wird das PHP-Entwicklungsteam die Art und Weise ändern, wie es den Zugriff auf seinen Git-Server verwaltet, und seine GitHub-Repositorys zur De-facto-Codebasis für das Projekt machen und nicht nur zu einem Spiegel, wie es derzeit der Fall ist.

Verschieben von Dateien von einem Computer auf einen anderen

Während [die] Untersuchung noch andauert, haben wir entschieden, dass die Aufrechterhaltung unserer eigenen Git-Infrastruktur ein unnötiges Sicherheitsrisiko darstellt, und dass wir den Server git.php.net einstellen werden. Stattdessen werden die Repositories auf GitHub, die bisher nur Spiegel waren, kanonisch. Das bedeutet, dass Änderungen direkt an GitHub gepusht werden sollten und nicht an git.php.net.

Nach dem Wechsel müssen sich diejenigen, die Zugriff auf die PHP-Repositorys benötigen, direkt an das Entwicklungsteam wenden, um eine Anfrage zu stellen.

Obwohl das Entwicklungsteam der Ansicht ist, dass der Verstoß eine Kompromittierung des Git-Servers selbst und nicht eines einzelnen Kontos war, unternimmt die PHP-Entwicklung zu Recht zusätzliche Schritte, um sicherzustellen, dass es keine weiteren Sicherheitsverletzungen gibt.

gibt es eine alternative zu youtube

Entsprechend W3Techs , verwenden rund 80 Prozent aller Seiten im Internet irgendeine Form von PHP, sodass die zusätzlichen Sicherheitsschritte völlig verständlich sind.

Teilen Teilen Tweet Email So erstellen Sie Ihre erste einfache PHP-Website

Sie möchten eine Website erstellen, wissen aber nicht, wo Sie anfangen sollen? Das Erstellen einer einfachen PHP-Website bringt Sie auf den Weg zur Webentwicklung.

Weiter lesen Verwandte Themen
  • Sicherheit
  • Technische Nachrichten
  • Programmierung
  • GitHub
  • PHP
  • Hintertür
Über den Autor Gavin Phillips(945 veröffentlichte Artikel)

Gavin ist Junior Editor für Windows and Technology Explained, schreibt regelmäßig am Really Useful Podcast und ist regelmäßiger Produktrezensent. Er hat einen BA (Hons) Contemporary Writing with Digital Art Practices, der aus den Hügeln von Devon geplündert wurde, sowie über ein Jahrzehnt an professioneller Schreiberfahrung. Er genießt reichlich Tee, Brettspiele und Fußball.

Mehr von Gavin Phillips

Abonniere unseren Newsletter

Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!

Klicken Sie hier, um sich zu abonnieren