Git-сервер РНР [не]был скомпрометирован

1

1

Сообщается, что 28 числа этого месяца в репозиторий php-src было добавлено два вредоносных коммита, сделанных якобы от лица Расмуса Лердорфа и Никты Попова.

Также было принято решение о переводе разработки на гитхаб, так как поддержание полностью своей инфраструктуры может добавлять потенциальные риски.

Для Ъ: https://news-web.php.net/php.internals/113838

UPD0:

Разработчики считают, что сервер таки не был скомпрометирован, а была утечки базы данных пользователей master.php.net.

Для Ъ: https://externals.io/message/113981.

Ссылка

←	А психолухи чего нибудь стоят?

Бахнет?

→

← 1 2 →

Ответ на: комментарий от fernandos 29.03.21 19:38:24 MSK

Что не защитит от компрометации аккаунтов, ключи после взлома можно стащить.

grem ★★★★★
(29.03.21 19:45:32 MSK)

Ответ на: комментарий от fernandos 29.03.21 19:38:24 MSK

Кстати, у опендждк подписанных коммитов (свежих) ещё меньше. В пиэйчпи же сейчас обсуждают подписи коммитов.

Я не слышал, чтобы имел место быть взлом инфраструктуры OpenJDK. И уж тем более на GitHub они не из-за проблем с безопасностью переехали, как этот PHP.

EXL ★★★★★
(29.03.21 19:47:53 MSK)
Последнее исправление: EXL 29.03.21 19:48:23 MSK (всего исправлений: 1)

Ответ на: комментарий от grem 29.03.21 19:45:32 MSK

Откуда? Кто на сервере станет хранить секретные ключи.

~~fernandos~~ ★★★
(29.03.21 19:49:57 MSK) автор топика

Ответ на: комментарий от fernandos 29.03.21 19:49:57 MSK

На сервере нет, но там, откуда осуществляется подпись их можно утащить. Либо подменить на сервере публичный ключ и пользоваться новым.

grem ★★★★★
(29.03.21 19:53:15 MSK)

Ответ на: комментарий от EXL 29.03.21 19:47:53 MSK

Я не слышал, чтобы имел место быть взлом инфраструктуры OpenJDK

И это не отменяет дополнительные меры. Я вообще не понимаю, как у таких крупных проектов допускаются коммиты без подписи.

как этот PHP

Я очень сомневаюсь, что это единственная причина.

~~fernandos~~ ★★★
(29.03.21 19:54:13 MSK) автор топика

Ссылка

Ответ на: комментарий от grem 29.03.21 19:53:15 MSK

но там, откуда осуществляется подпись их можно утащить

C персональных компьютеров, что-то маловероятно.

Либо подменить на сервере публичный ключ и пользоваться новым

Прямо очень заметно.

~~fernandos~~ ★★★
(29.03.21 19:55:06 MSK) автор топика

Ответ на: комментарий от fernandos 29.03.21 19:55:06 MSK

C персональных компьютеров, что-то маловероятно.

Как раз наоборот самое простое.

Пару лет назад на зеркале Gentoo в github были попытки запороть репу с помощью скомпрометированного аккаунта. Хотя на зеркале подпись не требовалась, похоже. А вот для основной репы требовалась и до пользователей эти коммиты не дошли (кроме ССЗБ, которые зачем-то оттуда синхронизируются). Но даже если и дошли, то вставка не работала.

Но причастным доступ заблокировали во все репозитории.

https://wiki.gentoo.org/wiki/Project:Infrastructure/Incident_Reports/2018-06-28_Github

23:40 Gentoo determines which account was the entry point. Gentoo Infra preemptively removes all access for that account from primary Gentoo properties (git repos, bugs, email, etc.)

grem ★★★★★
(29.03.21 19:59:36 MSK)
Последнее исправление: grem 29.03.21 20:05:29 MSK (всего исправлений: 1)

Ответ на: комментарий от grem 29.03.21 19:59:36 MSK

Возможно, да, но это не самое простое. Это уже ближе к социальной инженерии, а тут уже сложно как-то помочь (можно отключить прямые пуши).

кроме ССЗБ, которые зачем-то оттуда синхронизируются

Синхронизация через гит, где-то рекомендовали именно гитхаб, чтобы инфраструктуру генты не нагружать.

~~fernandos~~ ★★★
(29.03.21 20:07:33 MSK) автор топика

Ответ на: комментарий от vitruss 29.03.21 16:26:05 MSK

Компанией, специализирующейся на этом сервисе. Которая зарабатывает на этом, а не на публичной активности и жонглированием котировок.

Допустим фирма «VCS», которая продаёт услугу репозиториев и имеет трех спецов, которые умеют готовить свой сервис. Они специализируются исключительно на этом сервисе, готовят его качественно, за что и берут деньги.

Irben ★★★
(29.03.21 20:14:31 MSK)

Ответ на: комментарий от fernandos 29.03.21 20:07:33 MSK

Там есть один момент: Есть своя инфраструктура с серверами для обновления через rsync, например, и кучей проектов.

Для обновления через git предлагается использовать специальное зеркало на github синхронизации со сгенерёненными чек-суммами ebuild, патчей и прочим в файлах Manifest.

А доступ был получен к зеркалу на github для разработки, где принимают и рассматривают пул-реквесты. Там чек-суммы есть только для tarball’ов и для синхронизации дерева portage это зеркало не предназначено.

grem ★★★★★
(29.03.21 20:16:01 MSK)

Ответ на: комментарий от grem 29.03.21 20:16:01 MSK

А доступ был получен к зеркалу на github для разработки, где принимают и рассматривают пул-реквесты. Там чек-суммы есть только для tarball’ов и для синхронизации дерева portage это зеркало не предназначено.

Понял, пардон, тогда да, если кто-то использовал это зеркало — ССЗБ.

~~fernandos~~ ★★★
(29.03.21 20:20:54 MSK) автор топика

Ответ на: комментарий от EXL 29.03.21 16:32:11 MSK

Увы, по их требованиям я даже терраформ модули не могу хранить, так как они бесполезны без проприетарного софта. Я готов платить за VCS, но чтобы корпорации не лезли в мои сорцы.

Irben ★★★
(29.03.21 20:21:37 MSK)

Ответ на: комментарий от Irben 29.03.21 20:21:37 MSK

https://sourcehut.org/

или гитлаб.

~~fernandos~~ ★★★
(29.03.21 20:50:48 MSK) автор топика

Ответ на: комментарий от fernandos 29.03.21 20:20:54 MSK

А там всё равно rm -rf не сработал бы - скрипт выполняется в изоляции и выполнение команд снаружи встроенных функций не пашет. Я проверял в виртуалке.

grem ★★★★★
(29.03.21 20:54:53 MSK)
Последнее исправление: grem 29.03.21 20:55:37 MSK (всего исправлений: 1)