The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

21.01.2019 09:09  Выявлены следы взлома PHP-репозитория PEAR и модификации пакетного менеджера

Сообщается об обнаружении следов взлома официального репозитория пакетов PEAR (PHP Extension and Application Repository), предлагающего дополнительные функции и классы для языка PHP. В ходе атаки злоумышленникам удалось получить доступ к web-серверу проекта и внести изменения в файл "go-pear.phar", в котором содержится установочный комплект с пакетным менеджером "go-pear". Модификация была осуществлена 6 месяцев назад.

Потенциально могут быть скомпрометированы системы пользователей PHP, за последние 6 месяцев выполнявших установку пакетного менеджера "go-pear" из phar-архива (как правило, такая установка практикуется пользователями Windows). Для проверки наличия вредоносного кода в установленном файле рекомендуется сравнить хэши имеющегося у пользователя архива "go-pear.phar" с аналогичной версией архива, поставляемой через официальный репозиторий на GitHub (репозиторий на GitHub не скомпрометирован, файл был подменён на web-сервере PEAR). MD5-хэш известного варианта с вредоносным кодом - "1e26d9dd3110af79a9595f1a77a82de7".

Подробности пока не сообщаются. До завершения разбирательства и полной пересборки содержимого сайта работа сервера PEAR остановлена.

  1. Главная ссылка к новости (https://twitter.com/pear/statu...)
  2. OpenNews: Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist
  3. OpenNews: Проект PHP сообщил о взломе и утечке базы паролей с Wiki-сервера
  4. OpenNews: Подтверждён факт взлома инфраструктуры проекта PHP
  5. OpenNews: Уязвимость в движке для создания форумов phpBB
  6. OpenNews: Уязвимости в PHP и PHPMailer
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: pear, php
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 09:27, 21/01/2019 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    >Модификация была осуществлена 6 месяцев назад.

    Это всё, что надо знать о фирме Zend и PHPшниках.

     
     
  • 2.17, Andrey Mitrofanov (?), 12:17, 21/01/2019 [^] [ответить]    [к модератору]
  • +11 +/
    >>Модификация была осуществлена 6 месяцев назад.
    > Это всё, что надо знать о фирме Zend и PHPшниках.

    Всё, что надо знать об отгружающих "пакеты" мимо дистрибутивов: js/leftpat, *рокерхаб, рельсы-на-рубище, elpa, мозила-ксулл-шопп, ... а, да!!! гугле-плей-шоп, ......

     
     
  • 3.19, Клыкастый (ok), 12:26, 21/01/2019 [^] [ответить]    [к модератору]
  • –1 +/
    к сожалению "мимо пакетов" становится модным трендом, и походу это уже не удержать. snap и flatpack добавляют масла в огонь.
     
     
  • 4.22, Andrey Mitrofanov (?), 12:51, 21/01/2019 [^] [ответить]     [к модератору]
  • +/
    124 https git savannah gnu org gitweb p guix maintenance git a blob f tal... весь текст скрыт [показать]
     
  • 4.71, Ordu (ok), 02:17, 25/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Это не "модный" тренд, а _неизбежный_ тренд. Софт становится сложнее, обновляется чаще, мейнтейнеры не справляются. При этом, я не знаю как там в дебиане дела обстоят или в rpm-based дистрах, но в генте, допустим, нет никаких проблем использовать github в качестве площадки для разработки оверлеев, но каких-нибудь инструментов специфичных для оверлеев я не замечал. Например, было бы неплохо иметь инфраструктуру для тестирования оверлеев. Для этого ведь даже не обязательно покупать железо для сборки и тестирования всего софта из всех оверлеев: все вычислительно натужные задачи можно свалить на пользователей или энтузиастов, а централизованно лишь собирать статистику успешных и неуспешных установок и централизованно же раздавать тестовые наборы, для проверки работоспособности установки.

    Ещё неплохо было бы, помимо системы тестирования оверлеев, встроить систему типа patreon'а, чтобы все кому это интересно могли бы оплатить выполняемые работы. Вот тогда были бы шансы, а пока мейнтейнеры продолжают свои попытки создавать портажи/репозитории методами из 90-х, не заморачиваясь на архитектурные изменения в социальной системе, стоящей за разработкой дистрибутивов, все их перспективы сводятся к медленному угасанию, потому что текущая социальная система достигла своих пределов.

     
     
  • 5.72, Клыкастый (ok), 09:55, 25/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Ну вот например тыкал в gems, cpan На сложных приложениях например gitlsb gem... весь текст скрыт [показать]
     
  • 3.34, Hello (?), 16:30, 21/01/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    Тебя это задело, мальчик? Сочувствую.
     
  • 3.51, Leninmorte (?), 22:43, 21/01/2019 [^] [ответить]     [к модератору]  
  • –3 +/
    лол-что вобще-то практически все отгружают свой код мимо дистрибутивов - не... весь текст скрыт [показать]
     
     
  • 4.73, Клыкастый (ok), 09:58, 25/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > лол-что? вобще-то практически все "отгружают" свой код "мимо дистрибутивов"

    Да и тут речь о том, что существующая система втаскивания в репы похоже себя исчерпывает. есть подозрения, что проблема уже есть, просто дистры с комьюнити помельче  чувствуют её раньше.

     
  • 1.6, sstj3n (?), 10:32, 21/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Ну норм, косвенно говорит о востребованности проекта, что, впрочем, не отменяет того, что это - дыра.
     
     
  • 2.8, имя (?), 10:34, 21/01/2019 [^] [ответить]    [к модератору]  
  • +6 +/
    сейчас можно-стильно-молодежно тянуть через композер, а не пир.
     
     
  • 3.14, Аноним (14), 12:12, 21/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Без разницы. Композерохомячки - они хоть в пире композерохомячки, хоть в нпм.
     
     
  • 4.23, имя (?), 12:56, 21/01/2019 [^] [ответить]    [к модератору]  
  • +/
    т.е. ты предалагаешь не использовать пакетный менеджер, а просто рнучками все добавлять?
     
     
  • 5.35, Hello (?), 16:31, 21/01/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    Все писать самому. Как можно было не догадаться?!...
     
  • 5.41, Аноним (14), 18:13, 21/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Я предлагаю таки мейнтейнить и ревьюить включения, а не тупо тянуть антрастед сырцы на каждый чих.
    Для ниасиливших - даже блобешные .so / .dll + хедеры из релизов юзать секурнее получится.
     
     
  • 6.42, Аноним (14), 18:14, 21/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    (последнее не про пых естессно, тут для ниасиливших скорее фиксация версии сырцов и после ручной апдейт до релизных тэгов)
     
  • 3.33, Аноним (33), 15:42, 21/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Только грушевые пакеты композер тянул оттуда же. А если саму грушу ломанули, то могли и пакеты подменить.
     
  • 2.10, Аноним (10), 11:39, 21/01/2019 [^] [ответить]    [к модератору]  
  • +5 +/
    PEAR мертв давно. Да и жив то вобщем-то никогда не был. Сейчас пакеты тянут через композер, а до его появления либо просто копировали код в подпапочку либо использовали git submodules.
     
  • 2.15, Gemorroj (ok), 12:14, 21/01/2019 [^] [ответить]    [к модератору]  
  • +/
    как уже ответили, pear давно мертв и не нужен даже пхпшникам.
     
  • 2.52, Fyjybv1 (?), 23:51, 21/01/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    Да. Кастомные пакеты для пхп нах-ер не нужны, в отличии от всяких там, он просто работает из каробки.
     
  • 1.9, eRIC (ok), 11:14, 21/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –10 +/
    >MD5-хэш известного варианта с вредоносным кодом - "1e26d9dd3110af79a9595f1a77a82de7".

    мда, MD5 ...

     
     
  • 2.11, Аноним (11), 11:40, 21/01/2019 [^] [ответить]    [к модератору]  
  • +6 +/
    А что не так с md5 в контексте контроля целостности? Он же не для секурных целей используется.
     
     
  • 3.12, Андрей (??), 11:59, 21/01/2019 [^] [ответить]    [к модератору]  
  • +6 +/
    Потому что MD5 проклят!

    Все кто его продолжают пользовать - ламеры, дурни, прокаженные. От них надо отходить по-дальше, издалека и желательно анонимно всячески охаивать, строить догадки о их умственных способностях и упоминать их родителей в уничижительном ключе.

    Т.е. вести себя, как настоящие дурни, мнящие себя умными. Вот как-то так. В таком аспекте...

     
     
  • 4.20, тоже Аноним (ok), 12:29, 21/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    > дурни, мнящие себя умными
    > по-дальше

    Истинное золото редко блестит, понимаешь. Но уж если блеснет - то хоть глаза ладонью закрывай...

     
  • 4.64, Гентушник (ok), 16:29, 22/01/2019 [^] [ответить]    [к модератору]  
  • +/
    А за использование CRC видимо сразу нужно расстреливать на месте.
     
  • 3.25, OpenEcho (?), 13:12, 21/01/2019 [^] [ответить]    [к модератору]  
  • –3 +/
    Коллизии у него,у MD5 однако и уже даже не теоретические, посмотрите в нете, как гуля демонстрировали два абсолютно разных PDF файла, но хэш был одинаков.
     
     
  • 4.26, Andrey Mitrofanov (?), 13:16, 21/01/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    MD5-хэш известного варианта с вредоносным кодом - Ещё раз, внимательно слу... весь текст скрыт [показать]
     
     
  • 5.30, MPEG LA (ok), 13:43, 21/01/2019 [^] [ответить]    [к модератору]  
  • –5 +/
    >MD5 подсунут не тот _вредонос_ что ли??

    какая разница, главное что подсунут, и хеш совпадет

     
  • 5.47, eRIC (ok), 20:05, 21/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    PEAR прошлым веком живет если по сей день не важно, даже если для подсчета безоб... весь текст скрыт [показать]
     
  • 5.58, OpenEcho (?), 01:49, 22/01/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    Не прям вот так, но если есть профит, то с муками или без, но рано или поздно на... весь текст скрыт [показать]
     
     
  • 6.67, нах (?), 17:40, 22/01/2019 [^] [ответить]     [к модератору]  
  • +/
    например, крючок в деревне не заклинит от того, что дверь разбухла от влаги или ... весь текст скрыт [показать]
     
     
  • 7.74, OpenEcho (?), 22:29, 26/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > А учитывая что под этим "замком" лежит троянский пакет - только дурак
    > и будет его ломать.

    Я все таки не пойму, зачем ездить на запорожце, если за ту же самкю цену можно ездить на мерине?
    MD5 дырявый ! Обьясните, может я правда что то не догоняю? Почему не использовать более надежные хэши ?

    MD5 ломается и давно, посмотрите в андерграунде как пацаны делают redistributed calculation network и коллективно ломают MD5 и довольно быстро

    Мне правда не понятна какая-то странная упрямость пользовать дырявое корыто...

     
  • 4.31, тоже Аноним (ok), 13:44, 21/01/2019 [^] [ответить]    [к модератору]  
  • +/
    В PDF можно напихать бинарного мусора, который будет просто пропущен парсером.
    С архивами (и, тем более, исходниками) это значительно труднее.
     
     
  • 5.37, нах (?), 17:29, 21/01/2019 [^] [ответить]    [к модератору]  
  • +/
    так же просто, но это хэш _подмененного_ пакета - так что самое страшное, что может случиться, действительно - тебе подсунут не тот троян ;-)
     
  • 5.68, Аноним (68), 18:35, 22/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > и, тем более, исходниками

    Комментарии же!

     
  • 4.43, Аноним (11), 18:31, 21/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Важно же подсунуть не просто какой-то другой файл с тем же md5-хешом, а вредоносный файл с тем же md5-хешом, а это на порядки усложняет задачу.
     
  • 2.44, axredneck (?), 18:44, 21/01/2019 [^] [ответить]    [к модератору]  
  • +/
    В данном случае у нас MD5 вредоноса, а не нормального файла, так что от коллизии ни один злоумышленник не выиграет.
     
  • 1.13, Аноним (14), 12:11, 21/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –5 +/
    Это всё, что нужно знать о безоглядном использовании сторонних реп. Композерохомячки должны страдать.
     
     
  • 2.16, Gemorroj (ok), 12:16, 21/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    слушай, жуниор, ты писал когда-нибудь что-нибудь кроме плагина к вордпресу?
     
     
  • 3.29, Аноним (29), 13:27, 21/01/2019 [^] [ответить]    [к модератору]  
  • –3 +/
    Т.е. ты даже не пытаешся скрывать что кроме PHP ничего не осилил? Капец ты пхп днище.
     
  • 3.40, Аноним (14), 18:12, 21/01/2019 [^] [ответить]    [к модератору]  
  • +/
    С жуниором мимо.
    Писал.
    Ещё вопросы есть?
     
  • 3.53, Fyjybv1 (?), 23:58, 21/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Может он и джуниор, но ты просто макака
     
     
  • 4.65, Аноним (65), 17:34, 22/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Как ты пришёл к такому глубогомысленному заключению?
     
     
  • 5.70, Fyjybv1 (?), 02:05, 24/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Чувак написал вполне логичный коммент в свете последних событий, а этот, видимо,... весь текст скрыт [показать]
     
  • 2.56, neit95 (ok), 00:56, 22/01/2019 [^] [ответить]    [к модератору]  
  • +/
    На ноде сайтики ваяем?
     
     
  • 3.63, Аноним (29), 14:33, 22/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Только статика только тру хардкор.
     
  • 1.18, Аноним (18), 12:25, 21/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Это будет полезнее, чем PECL реестр.

    https://github.com/nbs-system/snuffleupagus

     
  • 1.24, Аноним (24), 13:07, 21/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    его кто то использует?
    уже лет 20 не пользовался этой фигней
     
     
  • 2.27, Mad Max (?), 13:20, 21/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Таки да, есть народный компост который тоже уже взламывали через phar.
     
  • 1.36, Аноним (36), 16:43, 21/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Только коммит всех зависимостей в проект, только хардкор.
     
     
  • 2.38, Аноним (14), 18:10, 21/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Субмодули с прибивкой к конкретному коммиту.
     
  • 2.39, Аноним (14), 18:11, 21/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Ну а если собственный мейнтенанс при этом ведётся - то да, только коммит, только хардкор. Так и делаем.
     
  • 1.45, Аноним (45), 19:29, 21/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Был у меня товарищ который пилил сервис без зависимостей из публичных реп. Обанкротился.
     
     
  • 2.48, Аноним (36), 21:28, 21/01/2019 [^] [ответить]    [к модератору]  
  • +3 +/
    Был у меня товарищ который пилил сервис c зависимостями из публичных реп. Обанкротился.
     
     
  • 3.49, Онаним (?), 21:51, 21/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Был у меня товарищ, который пилил сервис... Ну, вы поняли.
     
     
  • 4.50, Ононем (?), 22:41, 21/01/2019 [^] [ответить]    [к модератору]  
  • +3 +/
    Был у меня товарищ,...
     
     
  • 5.66, Аноним (65), 17:37, 22/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Любому понятно, что ваши товарищи не то пилили.
     
  • 4.55, Шура (?), 00:43, 22/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Ну, я пилил...
    Сами знаете, чем это закончилось.
     
  • 3.57, Куку там (?), 01:29, 22/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Был у меня товарищ который НЕ пилил сервис. НЕ обанкротился. True story.
     
     
  • 4.61, Аноним (14), 12:13, 22/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Real tear jerker bro.
     
  • 2.54, Аноним (54), 00:10, 22/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > Был у меня товарищ который пилил сервис без зависимостей из публичных реп. Обанкротился.

    Уточните, пожалуйста, товарищ обанкротился до того, как запустил сервис или после?

     
     
  • 3.60, KonstantinB (ok), 09:16, 22/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Вместо!
     
  • 3.62, Аноним (29), 14:32, 22/01/2019 [^] [ответить]    [к модератору]  
  • +/
    После. Не смог поддерживать свой велосипед.
     
  • 2.69, а9ff (?), 20:56, 22/01/2019 [^] [ответить]    [к модератору]  
  • +/
    У меня вообще так друг умер!
     
  • 1.59, vantoo (ok), 03:29, 22/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Оно и не удивительно, что полгода никто не замечал взлома, груша давно прогнила и никому не нужна при наличии Composer.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor