LINUX.ORG.RU
ФорумTalks

Git-сервер РНР [не]был скомпрометирован

 ,


1

1

Сообщается, что 28 числа этого месяца в репозиторий php-src было добавлено два вредоносных коммита, сделанных якобы от лица Расмуса Лердорфа и Никты Попова.

Также было принято решение о переводе разработки на гитхаб, так как поддержание полностью своей инфраструктуры может добавлять потенциальные риски.

Для Ъ: https://news-web.php.net/php.internals/113838

UPD0:

Разработчики считают, что сервер таки не был скомпрометирован, а была утечки базы данных пользователей master.php.net.

Для Ъ: https://externals.io/message/113981.

★★★

Последнее исправление: fernandos (всего исправлений: 1)
Ответ на: комментарий от fernandos

Кстати, у опендждк подписанных коммитов (свежих) ещё меньше. В пиэйчпи же сейчас обсуждают подписи коммитов.

Я не слышал, чтобы имел место быть взлом инфраструктуры OpenJDK. И уж тем более на GitHub они не из-за проблем с безопасностью переехали, как этот PHP.

EXL ★★★★★
()
Последнее исправление: EXL (всего исправлений: 1)
Ответ на: комментарий от fernandos

На сервере нет, но там, откуда осуществляется подпись их можно утащить. Либо подменить на сервере публичный ключ и пользоваться новым.

grem ★★★★★
()
Ответ на: комментарий от EXL

Я не слышал, чтобы имел место быть взлом инфраструктуры OpenJDK

И это не отменяет дополнительные меры. Я вообще не понимаю, как у таких крупных проектов допускаются коммиты без подписи.

как этот PHP

Я очень сомневаюсь, что это единственная причина.

fernandos ★★★
() автор топика
Ответ на: комментарий от grem

но там, откуда осуществляется подпись их можно утащить

C персональных компьютеров, что-то маловероятно.

Либо подменить на сервере публичный ключ и пользоваться новым

Прямо очень заметно.

fernandos ★★★
() автор топика
Ответ на: комментарий от fernandos

C персональных компьютеров, что-то маловероятно.

Как раз наоборот самое простое.

Пару лет назад на зеркале Gentoo в github были попытки запороть репу с помощью скомпрометированного аккаунта. Хотя на зеркале подпись не требовалась, похоже. А вот для основной репы требовалась и до пользователей эти коммиты не дошли (кроме ССЗБ, которые зачем-то оттуда синхронизируются). Но даже если и дошли, то вставка не работала.

Но причастным доступ заблокировали во все репозитории.

https://wiki.gentoo.org/wiki/Project:Infrastructure/Incident_Reports/2018-06-28_Github

23:40 Gentoo determines which account was the entry point. Gentoo Infra preemptively removes all access for that account from primary Gentoo properties (git repos, bugs, email, etc.)

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 1)
Ответ на: комментарий от grem

Возможно, да, но это не самое простое. Это уже ближе к социальной инженерии, а тут уже сложно как-то помочь (можно отключить прямые пуши).

кроме ССЗБ, которые зачем-то оттуда синхронизируются

Синхронизация через гит, где-то рекомендовали именно гитхаб, чтобы инфраструктуру генты не нагружать.

fernandos ★★★
() автор топика
Ответ на: комментарий от vitruss

Компанией, специализирующейся на этом сервисе. Которая зарабатывает на этом, а не на публичной активности и жонглированием котировок.

Допустим фирма «VCS», которая продаёт услугу репозиториев и имеет трех спецов, которые умеют готовить свой сервис. Они специализируются исключительно на этом сервисе, готовят его качественно, за что и берут деньги.

Irben ★★★
()
Ответ на: комментарий от fernandos

Там есть один момент: Есть своя инфраструктура с серверами для обновления через rsync, например, и кучей проектов.

Для обновления через git предлагается использовать специальное зеркало на github синхронизации со сгенерёненными чек-суммами ebuild, патчей и прочим в файлах Manifest.

А доступ был получен к зеркалу на github для разработки, где принимают и рассматривают пул-реквесты. Там чек-суммы есть только для tarball’ов и для синхронизации дерева portage это зеркало не предназначено.

grem ★★★★★
()
Ответ на: комментарий от grem

А доступ был получен к зеркалу на github для разработки, где принимают и рассматривают пул-реквесты. Там чек-суммы есть только для tarball’ов и для синхронизации дерева portage это зеркало не предназначено.

Понял, пардон, тогда да, если кто-то использовал это зеркало — ССЗБ.

fernandos ★★★
() автор топика
Ответ на: комментарий от EXL

Увы, по их требованиям я даже терраформ модули не могу хранить, так как они бесполезны без проприетарного софта. Я готов платить за VCS, но чтобы корпорации не лезли в мои сорцы.

Irben ★★★
()
Ответ на: комментарий от fernandos

А там всё равно rm -rf не сработал бы - скрипт выполняется в изоляции и выполнение команд снаружи встроенных функций не пашет. Я проверял в виртуалке.

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 1)
Ответ на: комментарий от Irben

Просто в посте стоит 2 раза не, и не сразу понятно что имеется в виду…

vitruss ★★★★★
()
Ответ на: комментарий от Spoofing

А у тебя звёздочки точно настоящие? Файлик keepass можно синхронизировать через любое удобное облако. Да хоть через ssh, фм уже давно в него умеют.

InterVi ★★★★★
()
Ответ на: комментарий от InterVi

А у тебя звёздочки точно настоящие?

я как хай-левелный персонаж в мморпг, не знающий базовых игровых механик, играющий на купленном читерском аккаунте.

как будто бы вы в онлайн игры не играли. =)

Spoofing ★★★★★
()
Ответ на: комментарий от grem

А почта приходит на подкроватный сервер, поэтому очевидно к ней пароль не нужен, ибо она доступна сразу при локальном логине :)

Harald ★★★★★
()
Ответ на: комментарий от Harald

Ага, а в случае кражи кровати «шеф, всё пропало!»

grem ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.