The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выявлены следы взлома PHP-репозитория PEAR и модификации пакетного менеджера

21.01.2019 09:09

Сообщается об обнаружении следов взлома официального репозитория пакетов PEAR (PHP Extension and Application Repository), предлагающего дополнительные функции и классы для языка PHP. В ходе атаки злоумышленникам удалось получить доступ к web-серверу проекта и внести изменения в файл "go-pear.phar", в котором содержится установочный комплект с пакетным менеджером "go-pear". Модификация была осуществлена 6 месяцев назад.

Потенциально могут быть скомпрометированы системы пользователей PHP, за последние 6 месяцев выполнявших установку пакетного менеджера "go-pear" из phar-архива (как правило, такая установка практикуется пользователями Windows). Для проверки наличия вредоносного кода в установленном файле рекомендуется сравнить хэши имеющегося у пользователя архива "go-pear.phar" с аналогичной версией архива, поставляемой через официальный репозиторий на GitHub (репозиторий на GitHub не скомпрометирован, файл был подменён на web-сервере PEAR). MD5-хэш известного варианта с вредоносным кодом - "1e26d9dd3110af79a9595f1a77a82de7".

Подробности пока не сообщаются. До завершения разбирательства и полной пересборки содержимого сайта работа сервера PEAR остановлена.

  1. Главная ссылка к новости (https://twitter.com/pear/statu...)
  2. OpenNews: Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist
  3. OpenNews: Проект PHP сообщил о взломе и утечке базы паролей с Wiki-сервера
  4. OpenNews: Подтверждён факт взлома инфраструктуры проекта PHP
  5. OpenNews: Уязвимость в движке для создания форумов phpBB
  6. OpenNews: Уязвимости в PHP и PHPMailer
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: pear, php
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (62) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:27, 21/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Модификация была осуществлена 6 месяцев назад.

    Это всё, что надо знать о фирме Zend и PHPшниках.

     
     
  • 2.17, Andrey Mitrofanov (?), 12:17, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +11 +/
    >>Модификация была осуществлена 6 месяцев назад.
    > Это всё, что надо знать о фирме Zend и PHPшниках.

    Всё, что надо знать об отгружающих "пакеты" мимо дистрибутивов: js/leftpat, *рокерхаб, рельсы-на-рубище, elpa, мозила-ксулл-шопп, ... а, да!!! гугле-плей-шоп, ......

     
     
  • 3.19, Клыкастый (ok), 12:26, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    к сожалению "мимо пакетов" становится модным трендом, и походу это уже не удержать. snap и flatpack добавляют масла в огонь.
     
     
  • 4.22, Andrey Mitrofanov (?), 12:51, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > к сожалению "мимо пакетов" становится модным трендом, и походу это уже не
    > удержать. snap и flatpack добавляют масла в огонь.

    :|
    https://git.savannah.gnu.org/gitweb/?p=guix/maintenance.git;a=blob;f=talks/jca

     
  • 4.71, Ordu (ok), 02:17, 25/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это не "модный" тренд, а _неизбежный_ тренд. Софт становится сложнее, обновляется чаще, мейнтейнеры не справляются. При этом, я не знаю как там в дебиане дела обстоят или в rpm-based дистрах, но в генте, допустим, нет никаких проблем использовать github в качестве площадки для разработки оверлеев, но каких-нибудь инструментов специфичных для оверлеев я не замечал. Например, было бы неплохо иметь инфраструктуру для тестирования оверлеев. Для этого ведь даже не обязательно покупать железо для сборки и тестирования всего софта из всех оверлеев: все вычислительно натужные задачи можно свалить на пользователей или энтузиастов, а централизованно лишь собирать статистику успешных и неуспешных установок и централизованно же раздавать тестовые наборы, для проверки работоспособности установки.

    Ещё неплохо было бы, помимо системы тестирования оверлеев, встроить систему типа patreon'а, чтобы все кому это интересно могли бы оплатить выполняемые работы. Вот тогда были бы шансы, а пока мейнтейнеры продолжают свои попытки создавать портажи/репозитории методами из 90-х, не заморачиваясь на архитектурные изменения в социальной системе, стоящей за разработкой дистрибутивов, все их перспективы сводятся к медленному угасанию, потому что текущая социальная система достигла своих пределов.

     
     
  • 5.72, Клыкастый (ok), 09:55, 25/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Это не "модный" тренд, а _неизбежный_ тренд. Софт становится сложнее, обновляется чаще, мейнтейнеры не справляются.

    Ну вот например тыкал в gems, cpan. На сложных приложениях (например gitlsb) gems выдавали циклические зависимости - наблюдал лично. Т.е. мейнтейнеры специфики тоже могут несправляться, увы. и с cpan редко, но натыкался на разные спецэффекты. Ну классика - обновил собссна perl - добро пожаловать, вспоминай где какие cpan-овские окружения стоят, давай чинить.

    > При этом, я не знаю как там в дебиане дела обстоят или в rpm-based дистрах, но в генте, допустим, нет никаких проблем использовать github в качестве площадки для разработки оверлеев, но каких-нибудь инструментов специфичных для оверлеев я не замечал.

    а мне всё же кажется пакетные менеджеры (и портажи, если гента тебе ближе) должны иметь плагины для работы с "полурепами" gem/cpan/compose/etc.

    > Ещё неплохо было бы, помимо системы тестирования оверлеев, встроить систему типа patreon'а,
    > чтобы все кому это интересно могли бы оплатить выполняемые работы. Вот
    > тогда были бы шансы, а пока мейнтейнеры продолжают свои попытки создавать
    > портажи/репозитории методами из 90-х, не заморачиваясь на архитектурные изменения в социальной
    > системе, стоящей за разработкой дистрибутивов, все их перспективы сводятся к медленному
    > угасанию, потому что текущая социальная система достигла своих пределов.

    ну кагбе хотелось бы поспорить, но не получится. всё так. или нас ждёт вендоархитектура типа "а теперь качаем с помоек exe^Wflatpak-и", либо да, что-то более прогрессивное.

     
  • 3.34, Hello (?), 16:30, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Тебя это задело, мальчик? Сочувствую.
     
  • 3.51, Leninmorte (?), 22:43, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Всё, что надо знать об отгружающих "пакеты" мимо дистрибутивов: js/leftpat, *рокерхаб, рельсы-на-рубище, elpa, мозила-ксулл-шопп, ... а, да!!! гугле-плей-шоп, ......

    лол-что? вобще-то практически все "отгружают" свой код "мимо дистрибутивов" - некая software становится пакетом дистрибутива исключительно усилиями мейнтейнеров дистрибутива; или кто-то реально думает, что разработчики например nginx составляют план работы на квартал так: сначала отгружаем rpm-пакеты в ред-хат, потом - deb-пакеты в дебиан и убунту, потом - в арчик и сусе, ну и наконец, так и быть, отгрузим старине слакваре и в фри-бсд;
    и да, какие-такие пакеты отгружают рельсы? мосье случаем не перепутал рельсы и рубигемс? а гугл-плей-шоп с играми, музыкой, книгами и фильмами здесь вобще с какого бока?

    итого получилось: всё, что нужно знать о пе-ха-пе кодерах, когда задеты их религиозные чувства

     
     
  • 4.73, Клыкастый (ok), 09:58, 25/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > лол-что? вобще-то практически все "отгружают" свой код "мимо дистрибутивов"

    Да и тут речь о том, что существующая система втаскивания в репы похоже себя исчерпывает. есть подозрения, что проблема уже есть, просто дистры с комьюнити помельче  чувствуют её раньше.

     

  • 1.6, sstj3n (?), 10:32, 21/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну норм, косвенно говорит о востребованности проекта, что, впрочем, не отменяет того, что это - дыра.
     
     
  • 2.8, имя (?), 10:34, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    сейчас можно-стильно-молодежно тянуть через композер, а не пир.
     
     
  • 3.14, Аноним (14), 12:12, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Без разницы. Композерохомячки - они хоть в пире композерохомячки, хоть в нпм.
     
     
  • 4.23, имя (?), 12:56, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    т.е. ты предалагаешь не использовать пакетный менеджер, а просто рнучками все добавлять?
     
     
  • 5.35, Hello (?), 16:31, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Все писать самому. Как можно было не догадаться?!...
     
  • 5.41, Аноним (14), 18:13, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я предлагаю таки мейнтейнить и ревьюить включения, а не тупо тянуть антрастед сырцы на каждый чих.
    Для ниасиливших - даже блобешные .so / .dll + хедеры из релизов юзать секурнее получится.
     
     
  • 6.42, Аноним (14), 18:14, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    (последнее не про пых естессно, тут для ниасиливших скорее фиксация версии сырцов и после ручной апдейт до релизных тэгов)
     
  • 3.33, Аноним (33), 15:42, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Только грушевые пакеты композер тянул оттуда же. А если саму грушу ломанули, то могли и пакеты подменить.
     
  • 2.10, Аноним (10), 11:39, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    PEAR мертв давно. Да и жив то вобщем-то никогда не был. Сейчас пакеты тянут через композер, а до его появления либо просто копировали код в подпапочку либо использовали git submodules.
     
  • 2.15, Gemorroj (ok), 12:14, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    как уже ответили, pear давно мертв и не нужен даже пхпшникам.
     
  • 2.52, Fyjybv1 (?), 23:51, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да. Кастомные пакеты для пхп нах-ер не нужны, в отличии от всяких там, он просто работает из каробки.
     

  • 1.9, eRIC (ok), 11:14, 21/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    >MD5-хэш известного варианта с вредоносным кодом - "1e26d9dd3110af79a9595f1a77a82de7".

    мда, MD5 ...

     
     
  • 2.11, Аноним (11), 11:40, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    А что не так с md5 в контексте контроля целостности? Он же не для секурных целей используется.
     
     
  • 3.12, Андрей (??), 11:59, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Потому что MD5 проклят!

    Все кто его продолжают пользовать - ламеры, дурни, прокаженные. От них надо отходить по-дальше, издалека и желательно анонимно всячески охаивать, строить догадки о их умственных способностях и упоминать их родителей в уничижительном ключе.

    Т.е. вести себя, как настоящие дурни, мнящие себя умными. Вот как-то так. В таком аспекте...

     
     
  • 4.20, тоже Аноним (ok), 12:29, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > дурни, мнящие себя умными
    > по-дальше

    Истинное золото редко блестит, понимаешь. Но уж если блеснет - то хоть глаза ладонью закрывай...

     
  • 4.64, Гентушник (ok), 16:29, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А за использование CRC видимо сразу нужно расстреливать на месте.
     
  • 3.25, OpenEcho (?), 13:12, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Коллизии у него,у MD5 однако и уже даже не теоретические, посмотрите в нете, как гуля демонстрировали два абсолютно разных PDF файла, но хэш был одинаков.
     
     
  • 4.26, Andrey Mitrofanov (?), 13:16, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    #>>>>MD5-хэш известного варианта с вредоносным кодом -

    > Коллизии у него,у MD5 однако и уже даже не теоретические, посмотрите в
    > нете, как гуля демонстрировали два абсолютно разных PDF файла, но хэш
    > был одинаков.

    Ещё раз, внимательно слушаю:  тебе с этой нетеоретической коллизией MD5 подсунут не тот _вредонос_ что ли??

    Неаутентичный и подпорченный, в стра-а-а-ашных муках подбора и генерации этой самой коллизии, да, ага, прям вот так.

     
     
  • 5.30, MPEG LA (ok), 13:43, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >MD5 подсунут не тот _вредонос_ что ли??

    какая разница, главное что подсунут, и хеш совпадет

     
  • 5.47, eRIC (ok), 20:05, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ещё раз, внимательно слушаю:  тебе с этой нетеоретической коллизией MD5 подсунут
    > не тот _вредонос_ что ли??

    PEAR прошлым веком живет если по сей день не важно, даже если для подсчета безобидного хэша MD5 алгоритм используют

     
  • 5.58, OpenEcho (?), 01:49, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Неаутентичный и подпорченный, в стра-а-а-ашных муках подбора и генерации этой самой коллизии,
    > да, ага, прям вот так.

    Не прям вот так, но если есть профит, то с муками или без, но рано или поздно найдется умник.
    Я чет не воткнул, Вы за что MD5 защищаете если есть более надежные хэши?
    Смысл закрывать дверь на крючок как в деревне, когда есть нормальные замки по той же цене?


     
     
  • 6.67, нах (?), 17:40, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    например, крючок в деревне не заклинит от того, что дверь разбухла от влаги или перемерзла от холода. Надысь выковыривал знакомой "нормальный замок", а то она могла в свой деревенский дом внезапно не попасть. А собаке открыть зимой дверь он не даст ничем не хуже "нормального замка"

    А учитывая что под этим "замком" лежит троянский пакет - только дурак и будет его ломать.

     
     
  • 7.74, OpenEcho (?), 22:29, 26/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А учитывая что под этим "замком" лежит троянский пакет - только дурак
    > и будет его ломать.

    Я все таки не пойму, зачем ездить на запорожце, если за ту же самкю цену можно ездить на мерине?
    MD5 дырявый ! Обьясните, может я правда что то не догоняю? Почему не использовать более надежные хэши ?

    MD5 ломается и давно, посмотрите в андерграунде как пацаны делают redistributed calculation network и коллективно ломают MD5 и довольно быстро

    Мне правда не понятна какая-то странная упрямость пользовать дырявое корыто...

     
  • 4.31, тоже Аноним (ok), 13:44, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В PDF можно напихать бинарного мусора, который будет просто пропущен парсером.
    С архивами (и, тем более, исходниками) это значительно труднее.
     
     
  • 5.37, нах (?), 17:29, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    так же просто, но это хэш _подмененного_ пакета - так что самое страшное, что может случиться, действительно - тебе подсунут не тот троян ;-)
     
  • 5.68, Аноним (68), 18:35, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > и, тем более, исходниками

    Комментарии же!

     
  • 4.43, Аноним (11), 18:31, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Важно же подсунуть не просто какой-то другой файл с тем же md5-хешом, а вредоносный файл с тем же md5-хешом, а это на порядки усложняет задачу.
     
  • 2.44, axredneck (?), 18:44, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В данном случае у нас MD5 вредоноса, а не нормального файла, так что от коллизии ни один злоумышленник не выиграет.
     

  • 1.13, Аноним (14), 12:11, 21/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Это всё, что нужно знать о безоглядном использовании сторонних реп. Композерохомячки должны страдать.
     
     
  • 2.16, Gemorroj (ok), 12:16, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    слушай, жуниор, ты писал когда-нибудь что-нибудь кроме плагина к вордпресу?
     
     
  • 3.29, Аноним (29), 13:27, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Т.е. ты даже не пытаешся скрывать что кроме PHP ничего не осилил? Капец ты пхп днище.
     
  • 3.40, Аноним (14), 18:12, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    С жуниором мимо.
    Писал.
    Ещё вопросы есть?
     
  • 3.53, Fyjybv1 (?), 23:58, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Может он и джуниор, но ты просто макака
     
     
  • 4.65, Аноним (65), 17:34, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Как ты пришёл к такому глубогомысленному заключению?
     
     
  • 5.70, Fyjybv1 (?), 02:05, 24/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Чувак написал вполне логичный коммент в свете последних событий, а этот, видимо, кроме вордпресса придумать ничего не смог. Пхпшные штуки тянут зависимости с собой, и кроме голого пхп редко надо чтото доустанавливать, это лучшая практика
     
  • 2.56, neit95 (ok), 00:56, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    На ноде сайтики ваяем?
     
     
  • 3.63, Аноним (29), 14:33, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Только статика только тру хардкор.
     

  • 1.18, Аноним (18), 12:25, 21/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это будет полезнее, чем PECL реестр.

    https://github.com/nbs-system/snuffleupagus

     
  • 1.24, Аноним (24), 13:07, 21/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    его кто то использует?
    уже лет 20 не пользовался этой фигней
     
     
  • 2.27, Mad Max (?), 13:20, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Таки да, есть народный компост который тоже уже взламывали через phar.
     

  • 1.36, Аноним (36), 16:43, 21/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Только коммит всех зависимостей в проект, только хардкор.
     
     
  • 2.38, Аноним (14), 18:10, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Субмодули с прибивкой к конкретному коммиту.
     
  • 2.39, Аноним (14), 18:11, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а если собственный мейнтенанс при этом ведётся - то да, только коммит, только хардкор. Так и делаем.
     

  • 1.45, Аноним (45), 19:29, 21/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Был у меня товарищ который пилил сервис без зависимостей из публичных реп. Обанкротился.
     
     
  • 2.48, Аноним (36), 21:28, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Был у меня товарищ который пилил сервис c зависимостями из публичных реп. Обанкротился.
     
     
  • 3.49, Онаним (?), 21:51, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Был у меня товарищ, который пилил сервис... Ну, вы поняли.
     
     
  • 4.50, Ононем (?), 22:41, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Был у меня товарищ,...
     
     
  • 5.66, Аноним (65), 17:37, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Любому понятно, что ваши товарищи не то пилили.
     
  • 4.55, Шура (?), 00:43, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, я пилил...
    Сами знаете, чем это закончилось.
     
  • 3.57, Куку там (?), 01:29, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Был у меня товарищ который НЕ пилил сервис. НЕ обанкротился. True story.
     
     
  • 4.61, Аноним (14), 12:13, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Real tear jerker bro.
     
  • 2.54, Аноним (54), 00:10, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Был у меня товарищ который пилил сервис без зависимостей из публичных реп. Обанкротился.

    Уточните, пожалуйста, товарищ обанкротился до того, как запустил сервис или после?

     
     
  • 3.60, KonstantinB (ok), 09:16, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вместо!
     
  • 3.62, Аноним (29), 14:32, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    После. Не смог поддерживать свой велосипед.
     
  • 2.69, а9ff (?), 20:56, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У меня вообще так друг умер!
     

  • 1.59, vantoo (ok), 03:29, 22/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Оно и не удивительно, что полгода никто не замечал взлома, груша давно прогнила и никому не нужна при наличии Composer.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру