ハッカーはPHPプログラミング言語のメインGitリポジトリに侵入し、ソースコードにバックドアを追加して、攻撃者が世界中の何百万ものサーバーにアクセスできるようにしました。
私の電話がハッキングされているかどうかを知る方法
しかし、それは悪いことのように聞こえますが、ハッカーはPHP開発チームに巨大な危険信号を残しました。これはおそらく、直接的な悪用ではなく、脆弱性に関する警告としてです。
ハッカーはバックドアをPHPソースコードに挿入します
PHP開発チームがリリース 公式声明 3月28日日曜日にソースコード違反を確認します。
この声明は、PHPソースコードが実際に侵害されたことを確認しています。悪意のあるコードは、リード開発者のRasmusLerdorfとNikitaPopovのアカウントからPHPGitサーバーにプッシュされています。
バックドアは本番環境に移行していない(つまり、どのサーバーにもライブでプッシュされていない)ため、攻撃者は脆弱なPHPサーバーでコードを実行できたはずです。それは脅威アクターへの重大なアクセスを許可し、プログラミング言語を使用する何百万ものWebサイトに重大な危険をもたらします。
関連:これらの便利な関数を使用してPHPでテキストを操作する方法
ただし、脆弱性の侵害と公開は悪いものですが、ハッカーがエクスプロイトを実行することを意図していなかったことは明らかです。悪意のあるコードをトリガーするには、攻撃は次の名前の特定の文字列にリクエストを送信する必要があります ゼロジウム 。
Zerodiumは、ハッカーがエクスプロイトを最高入札者に販売できる有名なエクスプロイトブローカーサービスの名前です。この名前が含まれていることは、ハッカーが脆弱性を積極的に悪用するのではなく、PHP開発チームに注意を喚起しているという考えに信憑性を与えています。
関連している: Packagistを使用してPHPパッケージを配布する方法を学ぶ
PHP開発は追加のセキュリティ手順を実行します
違反の結果として、PHP開発チームはGitサーバーへのアクセスの管理方法を変更し、GitHubリポジトリを現在の単なるミラーではなく、プロジェクトの事実上のコードベースにします。
Facebookでブロックされたのは誰ですか
調査はまだ進行中ですが、独自のgitインフラストラクチャを維持することは不要なセキュリティリスクであり、git.php.netサーバーを廃止することを決定しました。代わりに、以前はミラーのみであったGitHubのリポジトリが正規になります。つまり、変更はgit.php.netではなくGitHubに直接プッシュする必要があります。
切り替え後、PHPリポジトリへのアクセスが必要な場合は、開発チームに直接連絡してリクエストを行う必要があります。
開発チームは、侵害は個々のアカウントではなくGitサーバー自体の侵害であると考えていますが、PHP開発では、さらなる侵害がないことを確認するために、当然のことながら追加の措置を講じています。
PCでwiiuゲームパッドを使用する方法
によると W3Techs 、インターネット上のすべてのサイトの約80%が何らかの形式のPHPを使用しているため、追加のセキュリティ手順は完全に理解できます。
共有 共有 つぶやき Eメール 最初のシンプルなPHPWebサイトを構築する方法ウェブサイトを構築したいが、どこから始めればよいかわからない?基本的なPHPWebサイトを作成すると、Web開発への道が開かれます。
次を読む 関連トピック- 安全
- テックニュース
- プログラミング
- GitHub
- PHP
- バックドア
Gavinは、Windows and Technology Explainedのジュニアエディターであり、Really Useful Podcastの定期的な寄稿者であり、定期的な製品レビュー担当者です。彼は、デボンの丘から略奪されたデジタルアートプラクティスを備えたBA(Hons)現代ライティングと、10年以上のプロのライティング経験を持っています。彼はお茶、ボードゲーム、サッカーをたくさん楽しんでいます。
ギャビンフィリップスからもっとニュースレターを購読する
ニュースレターに参加して、技術的なヒント、レビュー、無料の電子書籍、限定セールを入手してください。
購読するにはここをクリックしてください