Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

PHP.net hacked?

2011.03.18. 15:11 | buherator | 19 komment

Ennek a kínai nyelvű blogbejegyzésnek az írója úgy tűnik, hozzáférést szerzett a PHP.net forráskód tárolójához, de a szokásos hátsókapuk létrehozása helyett csak a "credits" listában hagyott egy apró bejegyzést

 Az információ hitelessége egyelőre bizonytalan, fenntartással kezeljétek, ha többet tudok, frissítek!

Nem rég jelent meg egyébként a népszerű interpreter legújabb, jónéhány biztonságiproblémát is javító változata, ezzel kapcsolatban reményeim szerint külön poszt készül majd.

Friss:

Benji hívja fel rá a figyelmet, hogy ennek a srácnak bizony egyszer már lenyúlták a hozzáférését - lehet hogy elfelejtette megváltoztatni a wikin használt jelszavát?

Friss2:

Ahogy Tyra3l a kommentekben felhívta rá a figyelmet, az eset valós csak éppen két hónappal ezelőtti - ma ennyit tudott a best effort kiszolgálás, bocs :)

Tyra3l:

a betores tenye tenyleg nagyon friss info.

eddig nem tudtak, hogy hogyan szereztek meg bjori accountjat decemberben.

ma kiderult, hogy legalabb a wiki-t hostolo gepen tetszoleges kodfuttatast tudott szerezni a tamado, es hogy ugyano kovette el a decemberi commitot

szemely szerint ugy gondolom, hogy nem ket kulon tamadas all a hatterben, hanem a wiki-ben levo sebezhetoseget kihasznalva kovette el a repo modositasat is, akar a user adatbazist elerve, akar valamilyen backdoort elhelyezve a wiki-ben, es bjori eseteben a wikihez hasznalt jelszoval elerte a repot, akar valami mas modon (a gepen elerheto local svn checkout, elmentett jelszoval, etc.)

 

Címkék: php incidens

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Tyra3l 2011.03.18. 15:49:26

ne irjunk mar baromsagot:
a kepen ez a commit lathato:
svn.php.net/viewvc?view=revision&revision=306409

ez meg decemberi, azonnal kiszurtak, szuletett egy blogbejegyzes is:
bjori.blogspot.com/2010/12/php-project-and-code-review.html

az lett a tanulsag, hogy valahogy elloptak bjori accountjat.

most kiderult, hogy a wiki.php.net -en keresztul tudtak ezt a feat-et vegrehajtani (meg nem tudni a reszleteket, hogy pontosan a php.net infrastruktura mely tovabbi reszei erintettek, de mivel csak a wikit kapcsoltak le, ezert elkepzelheto, hogy csak az)

tehat nem ketszer loptak el bjori accountjat, hanem maximum egyszer, es akkor sem tole, hanem a php.net-rol.

szoval pont bjori a legkevesbe hibas a tortentekben, barkinek a neveben csinalhattak volna azt a commitot.

Tyrael

Tyra3l 2011.03.18. 15:56:13

mivel lekapcsoltak a wiki-t, es tobb php fejleszto is megerositette a problemat twitteren(tudunk rola, hogy elerhetetlen a wiki, jo okkal, etc.), szoval szerintem kijelentheto, hogy nem legbolkapott a hir.

Tyrael

buherator · http://buhera.blog.hu 2011.03.18. 16:13:37

@Tyra3l: OK, akkor le vagyok maradva, kösz a pontosítást! A baromságot nem tudom mire érted, a posztban minden feltételezésként szerepel, és külön odaírtam, hogy fenntartással kezelendő a tartalom.

Tyra3l 2011.03.18. 16:21:33

a baromsagot arra ertettem, hogy a reszinformaciokat ugyan egesz jol osszeszedtetek, csak eppen az idorent, valamint az ok okozat szerepel rosszul.

ha megneztetek volna a commit idejet, vagy elolvassatok bjori blogpostjat, amit linkeltetek is, akkor egyertelmu lett volna, hogy maga a commit mar decemberi, es nem most lett felfedezve, valamint hogy nem ketszer loptak el a hozzafereset.

a neten elerheto infokbol, valamint magabol a kinai CVE-bol latszik az is, hogy a wiki.php.net-en tudtak tetszoleges kodot futtatni, innen mar sejteni lehetett volna azt is, hogy hogy tudtak a repoba commitolni.

Tyrael

buherator · http://buhera.blog.hu 2011.03.18. 16:24:58

@Tyra3l: Ebben igazad van, FD-re jött a hír (ott azért viszonylag friss cuccok szoktak közlekedni), én meg hat felé állok, így nem néztem jobban utána a dolognak, my bad :\ Frissítettem a posztot.

Tyra3l 2011.03.18. 16:30:27

nem feltetlenul a legjobb modon.
a betores tenye tenyleg nagyon friss info.
eddig nem tudtak, hogy hogyan szereztek meg bjori accountjat decemberben.
ma kiderult, hogy legalabb a wiki-t hostolo gepen tetszoleges kodfuttatast tudott szerezni a tamado, es hogy ugyano kovette el a decemberi commitot

szemely szerint ugy gondolom, hogy nem ket kulon tamadas all a hatterben, hanem a wiki-ben levo sebezhetoseget kihasznalva kovette el a repo modositasat is, akar a user adatbazist elerve, akar valamilyen backdoort elhelyezve a wiki-ben, es bjori eseteben a wikihez hasznalt jelszoval elerte a repot, akar valami mas modon (a gepen elerheto local svn checkout, elmentett jelszoval, etc.)

Tyrael

Tyra3l 2011.03.18. 16:44:09

announcement varhato a PHP grouptol, de meg nincs ra ETA, hogy mikor.

Tyrael

Tyra3l 2011.03.19. 20:14:47

megjott a bejelentes:
svn.php.net/viewvc/web/php/trunk/archive/entries/2011-03-19-1.xml?view=markup&pathrev=309449
ugy tunik igazam volt.
a wikin keresztul szereztek hozzaferest az svn-hez, nem kerult backdoor a kodba, mas gep nem volt erintett a tamadasban, bar meg folyik az audit.

Tyrael

mimindannyian · http://wmiki.blog.hu/ 2011.03.20. 10:42:16

"benyomták a wiki.php.net -et "

A karámba? Menő magyar beszélni fasza!

fidesz = házmesterek pártja 2011.03.21. 14:22:10

Előrebocsátom, lehet, hogy kapitális ökörség a kérdésem, de...
Ilyen helyeken a fejlesztők miért jelszóval közlekednek? Én ahol csak tehetem, kulcspárokat használok. A szerveren tárolt publikus kulcsomat meg viheti, aki akarja, azzal ugyan be nem lép a nevemben...
Szóval van valami oka, hogy még nem oldották meg az kulcsos belépéseket, a'la SSH?

fidesz = házmesterek pártja 2011.03.22. 11:21:01

@synapse: (már feltéve, hogy nekem szólt)
Nekem olyan érzésem van, hogy inkább az akarat hiányzik. Technológiai akadálya nem tudom, hogy van-e - szerintem nincs, csak kellene valaki, aki le tudja programozni.
Most úgy eltöprengtem rajta, hogy talán a http protokollba nem fér bele? Dehát valahogy pl. ActiveDirectory-ból/LDAP-ból is tud authentikálni az apache, tehát ha másképp nem, egy plusz szerver program beállításával talán működhetne a dolog...

synapse · http://www.synsecblog.com 2011.03.22. 14:37:58

Sztem a http nem kepes challenge-response authra. Ettol fuggetlenul meg lehet applevelen oldani, de a bongeszonek hozza kell fernie a private keyhez. Erre meg szerintem a bongeszo sincs felkeszulve.

Tenyleg, vmi web expert segitsen mar ezt kitalalni :)

synapse

buherator · http://buhera.blog.hu 2011.03.22. 14:47:45

@synapse: létezik https tanúsítvány alapú kliens auth, de elég körülményes, ezért nem is nagyon használják, én élesben csak 1x találkoztam vele.

@Atomot az indexre!: "Minden rendszer biztonsága fokozható a teljes használhatatlanságig" - ebben az esetben is nyilván egyensúlyozni kellett, így jött ki a lépés, de lehet hogy most átértékelik a dolgokat.

Tyra3l 2011.03.23. 11:38:28

@Álamfő álomás következik: a subversion kliens is tamogatja a kliens tanusitvanyok hasznalatat, de ehelyett sima user/pass alapu azonositas van.

en.wikipedia.org/wiki/Transport_Layer_Security#Client-authenticated_TLS_handshake

svnbook.red-bean.com/en/1.5/svn.serverconfig.httpd.html#svn.serverconfig.httpd.authn.sslcerts

bedobom a security@php.net -re, mint otletet, aztan meglatjuk mit valaszolnak.

Tyrael

Tyra3l 2011.03.23. 13:19:22

valasz meg nem jott, de egy ilyen commit igen:
svn.php.net/viewvc?view=revision&revision=309587
comment alapjan elkezdtek dolgozni a php.net-es auth rendszer gatyaba razasan.

Tyrael