<ins id="jxy61"><option id="jxy61"><menu id="jxy61"></menu></option></ins>
          1. 煉數成金 門戶 大數據 安全 查看內容

            PHP 的 Git 服務器遭到攻擊:黑客將秘密后門植入源代碼中

            2021-3-30 09:13| 發布者: 煉數成金_小數| 查看: 5702| 評論: 0|來自: 云頭條

            摘要: 有人黑入了PHP編程語言的官方Git服務器,并推送了未經授權的更新,將一個秘密的后門植入到源代碼中,這是軟件供應鏈遭到攻擊的又一個例子。這兩個惡意提交的更新被推送到托管在git.php.net服務器上的自托管“php-src ...
            有人黑入了PHP編程語言的官方Git服務器,并推送了未經授權的更新,將一個秘密的后門植入到源代碼中,這是軟件供應鏈遭到攻擊的又一個例子。


            這兩個惡意提交的更新被推送到托管在git.php.net服務器上的自托管“php-src”存儲庫中,非法使用了PHP編程語言作者Rasmus Lerdorf和Jetbrains的軟件開發人員Nikita Popov的名字。

            據稱是在昨天3月28日進行這些更改的。

            Popov在公告中說:“我們還不知道這到底是怎么發生的,但是一切都表明git.php.net服務器遭到了攻擊(而不是單個git帳戶遭到了攻擊)!


            這些更改是作為“Fix Typo”被提交的,試圖蒙混過關,涉及對隨意PHP代碼的任意執行的規定。PHP開發人員Jake Birchall說:“如果字符串以‘zerodium’開頭,這一行就從useragent HTTP標頭里面執行PHP代碼!

            除了恢復更改外,據說PHP的維護者還在審查存儲庫,以查找除上述兩部分提交以外的任何損壞情況。目前尚不清楚在發現和撤消更改之前是否由其他有關方下載并分發了被篡改的代碼庫。

            這起事件發生后,PHP背后的團隊正在做出許多更改,包括將源代碼存儲庫遷移到GitHub,并將更改直接推送到GitHub而不是推送到git.php.net。此外,為PHP項目貢獻代碼現在要求開發人員作為組織的一部分在GitHub上加以添加。

            就在近兩個月前,研究人員演示了一種新穎的名為“依賴項混亂”的供應鏈攻擊,這種攻擊旨在在目標的內部軟件構建系統內執行未經授權的代碼。

            聲明:文章收集于網絡,版權歸原作者所有,為傳播信息而發,如有侵權,請聯系小編刪除,謝謝!

            歡迎加入本站公開興趣群
            軟件開發技術群
            興趣范圍包括:Java,C/C++,Python,PHP,Ruby,shell等各種語言開發經驗交流,各種框架使用,外包項目機會,學習、培訓、跳槽等交流
            QQ群:26931708

            Hadoop源代碼研究群
            興趣范圍包括:Hadoop源代碼解讀,改進,優化,分布式系統場景定制,與Hadoop有關的各種開源項目,總之就是玩轉Hadoop
            QQ群:288410967 

            鮮花

            握手

            雷人

            路過

            雞蛋

            相關閱讀

            最新評論

            熱門頻道

            • 大數據

            即將開課

             

            GMT+8, 2021-4-8 20:15 , Processed in 0.133057 second(s), 27 queries .

            年轻人手机在线观看