Megtörhették a PHP projekt Git szerverét, rosszindulatú kód került a forrásba

 

We don't yet know how exactly this happened, but everything points towards a compromise of the git.php.net server (rather than a compromise of an individual git account),

A változtatások valószínűleg tegnap (március 28-án) követték el. Részletek a bejelentésben és itt.

Hozzászólások

Hinnye. Ha egy ilyen nem derul ki, az nem kicsit para. Meg szerencse, hogy kiderult, de a kisordog bennem felteszi a kerdest: vajon hany olyan szeleskoruen hasznalt projekt van, ahol meg nem derult ki, hogy az "official" kod kompromittalt?

Az kicsit talan megnyugtato hogy elvileg nem github-on tortent a konkret hackeles hanem az elozo repon (git.php.net) ahonnan csak tukroztek a dolgokat githubra.

Most le is lovik az eredeti repot es atmennek teljesen githubra.

 

De igen, egyetertek. Elkepeszto story

Volt a múltban pár olyan OpenSSL bug, aminek a javítását mikor megnéztem, felmerült bennem, hogy az eredeti hiba szándékos lehetett. Persze az is lehet, hogy a kódminőség általánosan ennyire borzalsmasan gyatra, de pl. mikor egy kapcsos zárójel hiányzott a cert chain validációnál, az nagyon durva programozói hiba volt, és véletlenül pont a "jó" helyen.... És éveken át benne volt... mit röhöghetett a világ összes titkosügynöksége, manyeyeballs, nesze.

Mekkora munka lehet egy ilyen támadásban. Amikor ezek feltörték a rendszert, már készen volt módosítás, le lett tesztelve, el lett rejtve. Összességében hogy tudnak ennyien full timeban rosszindulatú kódon dolgozni?

Elég összehasonlitani megbizhatónak jelölt repók branch HEADjein a sha1-el, és ha passzol, minden rendben. Gitben a commit sha1 függ az egész parent historytól mindenestül, igy nem lehet észrevétlenül manipulálni.

Persze ennek a vizsgálatnak feltétele hogy létezzen megbizható repó másolat, pl. offline backup.

Hát akkor bizonyára így kibertámadták meg a Covid oltást lekérdező honlapot. :) 

Kemény.

Mi a töcsnek van egyébként ópenszósz projekteknek saját git repója? Az extra üzemeltetési fejfájáson kívül miben ad többet?

Nem követem a HUP motorjának nyílt/zárt arányának változásait, de tudtommal gyakorlatilag az egész open source. Amit nevergone maga írt hozzá, azzal kapcsolatban nem tudom mi a helyzet, de mintha abban maradtunk volna, hogy majd egyszer nyilvánosságra hozza, illetve ír egy "Hogyan készült" összefoglalót is. Amint befejezte.

A Drupal 8 forrása nem érhető el? Vagy azoknak a nyílt forrású Drupal moduloknak a felsorolását hiányolod amik használatban vannak?

Nálam egyébként nyitott kapukat döngetsz, akár ebben a percben is publikálható miattam az összes kód. Csak, hát nem én döntök róla. A résztvevők az ügyben: HWSW kiadó mint megbízó, nevergone mint vállalkozó

Miben tudok még segíteni?

Esetleg az én kérdésemre valami válasz lesz?

trey @ gépház

A nyílt vs zárt forrás témakörben már ezernyi érv elhangzott. Szerintem nem kell nekem itt magyarázkodnom, mi a nyílt forrás haszna, üsd be gugliba ha neked ez újdonság.

Ellenben nem sok hasznát látom a saját hostolt git repónak egy nyílt projekt esetében. Illetve max mint backup repó látnám értelmét, de itt nem erről van szó. Az extra üzemeltetési fejfájás mellett még a saját fejlesztőit is szopatja a projekt, jellemzően a saját git host tudása, webes felülete jelentősen elmarad a githubétól/gitlabétól, illetve a projektbe beszállási küszöb is magasabb.