Ennek a kínai nyelvű blogbejegyzésnek az írója úgy tűnik, hozzáférést szerzett a PHP.net forráskód tárolójához, de a szokásos hátsókapuk létrehozása helyett csak a "credits" listában hagyott egy apró bejegyzést
Az információ hitelessége egyelőre bizonytalan, fenntartással kezeljétek, ha többet tudok, frissítek!
Nem rég jelent meg egyébként a népszerű interpreter legújabb, jónéhány biztonságiproblémát is javító változata, ezzel kapcsolatban reményeim szerint külön poszt készül majd.
Friss:
Benji hívja fel rá a figyelmet, hogy ennek a srácnak bizony egyszer már lenyúlták a hozzáférését - lehet hogy elfelejtette megváltoztatni a wikin használt jelszavát?
Friss2:
Ahogy Tyra3l a kommentekben felhívta rá a figyelmet, az eset valós csak éppen két hónappal ezelőtti - ma ennyit tudott a best effort kiszolgálás, bocs :)
Tyra3l:
a betores tenye tenyleg nagyon friss info.
eddig nem tudtak, hogy hogyan szereztek meg bjori accountjat decemberben.
ma kiderult, hogy legalabb a wiki-t hostolo gepen tetszoleges kodfuttatast tudott szerezni a tamado, es hogy ugyano kovette el a decemberi commitot
szemely szerint ugy gondolom, hogy nem ket kulon tamadas all a hatterben, hanem a wiki-ben levo sebezhetoseget kihasznalva kovette el a repo modositasat is, akar a user adatbazist elerve, akar valamilyen backdoort elhelyezve a wiki-ben, es bjori eseteben a wikihez hasznalt jelszoval elerte a repot, akar valami mas modon (a gepen elerheto local svn checkout, elmentett jelszoval, etc.)
Tyra3l 2011.03.18. 15:49:26
a kepen ez a commit lathato:
svn.php.net/viewvc?view=revision&revision=306409
ez meg decemberi, azonnal kiszurtak, szuletett egy blogbejegyzes is:
bjori.blogspot.com/2010/12/php-project-and-code-review.html
az lett a tanulsag, hogy valahogy elloptak bjori accountjat.
most kiderult, hogy a wiki.php.net -en keresztul tudtak ezt a feat-et vegrehajtani (meg nem tudni a reszleteket, hogy pontosan a php.net infrastruktura mely tovabbi reszei erintettek, de mivel csak a wikit kapcsoltak le, ezert elkepzelheto, hogy csak az)
tehat nem ketszer loptak el bjori accountjat, hanem maximum egyszer, es akkor sem tole, hanem a php.net-rol.
szoval pont bjori a legkevesbe hibas a tortentekben, barkinek a neveben csinalhattak volna azt a commitot.
Tyrael
Tyra3l 2011.03.18. 15:56:13
Tyrael
buherator · http://buhera.blog.hu 2011.03.18. 16:13:37
Tyra3l 2011.03.18. 16:21:33
ha megneztetek volna a commit idejet, vagy elolvassatok bjori blogpostjat, amit linkeltetek is, akkor egyertelmu lett volna, hogy maga a commit mar decemberi, es nem most lett felfedezve, valamint hogy nem ketszer loptak el a hozzafereset.
a neten elerheto infokbol, valamint magabol a kinai CVE-bol latszik az is, hogy a wiki.php.net-en tudtak tetszoleges kodot futtatni, innen mar sejteni lehetett volna azt is, hogy hogy tudtak a repoba commitolni.
Tyrael
buherator · http://buhera.blog.hu 2011.03.18. 16:24:58
Tyra3l 2011.03.18. 16:30:27
a betores tenye tenyleg nagyon friss info.
eddig nem tudtak, hogy hogyan szereztek meg bjori accountjat decemberben.
ma kiderult, hogy legalabb a wiki-t hostolo gepen tetszoleges kodfuttatast tudott szerezni a tamado, es hogy ugyano kovette el a decemberi commitot
szemely szerint ugy gondolom, hogy nem ket kulon tamadas all a hatterben, hanem a wiki-ben levo sebezhetoseget kihasznalva kovette el a repo modositasat is, akar a user adatbazist elerve, akar valamilyen backdoort elhelyezve a wiki-ben, es bjori eseteben a wikihez hasznalt jelszoval elerte a repot, akar valami mas modon (a gepen elerheto local svn checkout, elmentett jelszoval, etc.)
Tyrael
Tyra3l 2011.03.18. 16:44:09
Tyrael
Tyra3l 2011.03.18. 20:10:35
hup.hu/node/100718
Tyrael
Tyra3l 2011.03.19. 20:14:47
svn.php.net/viewvc/web/php/trunk/archive/entries/2011-03-19-1.xml?view=markup&pathrev=309449
ugy tunik igazam volt.
a wikin keresztul szereztek hozzaferest az svn-hez, nem kerult backdoor a kodba, mas gep nem volt erintett a tamadasban, bar meg folyik az audit.
Tyrael
mimindannyian · http://wmiki.blog.hu/ 2011.03.20. 10:42:16
A karámba? Menő magyar beszélni fasza!
synapse · http://www.synsecblog.com 2011.03.21. 09:50:19
en.wikipedia.org/wiki/Slang
en.wiktionary.org/wiki/GTFO
fidesz = házmesterek pártja 2011.03.21. 14:22:10
Ilyen helyeken a fejlesztők miért jelszóval közlekednek? Én ahol csak tehetem, kulcspárokat használok. A szerveren tárolt publikus kulcsomat meg viheti, aki akarja, azzal ugyan be nem lép a nevemben...
Szóval van valami oka, hogy még nem oldották meg az kulcsos belépéseket, a'la SSH?
synapse · http://www.synsecblog.com 2011.03.22. 10:46:28
fidesz = házmesterek pártja 2011.03.22. 11:21:01
Nekem olyan érzésem van, hogy inkább az akarat hiányzik. Technológiai akadálya nem tudom, hogy van-e - szerintem nincs, csak kellene valaki, aki le tudja programozni.
Most úgy eltöprengtem rajta, hogy talán a http protokollba nem fér bele? Dehát valahogy pl. ActiveDirectory-ból/LDAP-ból is tud authentikálni az apache, tehát ha másképp nem, egy plusz szerver program beállításával talán működhetne a dolog...
synapse · http://www.synsecblog.com 2011.03.22. 14:37:58
Tenyleg, vmi web expert segitsen mar ezt kitalalni :)
synapse
buherator · http://buhera.blog.hu 2011.03.22. 14:47:45
@Atomot az indexre!: "Minden rendszer biztonsága fokozható a teljes használhatatlanságig" - ebben az esetben is nyilván egyensúlyozni kellett, így jött ki a lépés, de lehet hogy most átértékelik a dolgokat.
Tyra3l 2011.03.23. 11:38:28
en.wikipedia.org/wiki/Transport_Layer_Security#Client-authenticated_TLS_handshake
svnbook.red-bean.com/en/1.5/svn.serverconfig.httpd.html#svn.serverconfig.httpd.authn.sslcerts
bedobom a security@php.net -re, mint otletet, aztan meglatjuk mit valaszolnak.
Tyrael
fidesz = házmesterek pártja 2011.03.23. 13:15:54
Tyra3l 2011.03.23. 13:19:22
svn.php.net/viewvc?view=revision&revision=309587
comment alapjan elkezdtek dolgozni a php.net-es auth rendszer gatyaba razasan.
Tyrael