COMPTOIR
  
register

Composé par ————— —— 35558 vues

Le serveur git officiel de PHP piraté, un backdoor installé en secret dans le code source

Si il est (malheureusement) monnaie courante que des serveurs de téléchargement soient piratés afin d’y introduire une version malveillante et, ainsi, contaminer un maximum de personne. Sauf que, cette fois-ci, il ne s’agit pas d’un repo de distribution de fichiers binaires comme les autres, mais de la forge de code Git de PHP, autrement dit, la modification a touché directement au code source d’un des langages de programmation les plus populaires côté back-end web (avec plus de 78 % des serveurs en 2018), au grand désespoir de certains.

 

php elephant

 

Ainsi, deux commits — modifications atomiques de code pour le gestionnaire de version — ont été envoyés de manière frauduleuse, autorisant de l’exécution de code distant depuis le header HTTP si le champ user agentt  (avec deux "t") contient « zerodium » (un nom porté par une boîte américaine qui n’a a priori rien demandé, mais dont le domaine d’expertise est, en effet, la sécurité informatique). Pour cela, l’identité de deux contributeurs cruciaux a été frauduleusement utilisée : Rasmus Lerdorf, le créateur du langage, et Nikita Popov, un employé de la firme JetBrains, contribuant activement au développement de PHP. Les pirates ont tenté de noyer le poisson en nommant leur contribution « Fix Typo » et « Revert: Revert: Fix typo », mais les mécanismes de code review ont détecté rapidement l’anomalie, qui ne s’est pas répercutée sur les releases publiques de PHP. Par mesure de précaution, les développeurs passent tout de même en revue l’historique récent des changements à la recherche d’autres potentielles modifications : on n’est jamais trop prudent.

 

Selon l’équipe, la vulnérabilité proviendrait du serveur git lui-même, et non d’un seul compte : c’est ainsi que le projet est désormais passé sur une sauvegarde du code sur GitHub seul, avec davantage de restrictions sur les conditions d’accès en écriture au code : authentification à deux facteurs et requête manuelle à l’administrateur afin de faire partie de l’organisation « php ». Comme quoi, bûcher dans le développement web ne rend pas invulnérable, ce qui n’est pas sans rappeler une certaine histoire de cordonnier et de chaussures... (Source : The Hacker News)

Un poil avant ?

Zaunkoenig M2K, le Nec plus ultra «made in germany» de la souris gaming légère et luxueuse ?

Un peu plus tard ...

Windows 10 proposerait de personnaliser l'utilisation de votre PC

Un fix typo qui se balade, mais un backdoor dans le code : voilà qui aurait pu coûter cher...

temps de concentration afin de cerner l'ensemble des subtilités de ce billet 1 minute et demi

Sur le comptoir, au ~même sujet

 
 
 
 
 



Suivez-nous sur G.Actualités
Les 4 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !