新智元報道??
來源:GitHub
編輯:LRS、小勻
【新智元導讀】PHP的git服務器被攻擊了,合入了兩個惡意commit,nikic發信稱將遷移倉庫到GitHub上。代碼中竟然包括「Zerodium」,莫非背后有什么交易?
PHP的一名貢獻者Nikita Popov (網名nikic)公開發信稱,php的git服務器被黑客攻入。
nikic是PHP的主要contributor,目前在Jetbrains旗下的PhpStorm項目工作,并且開發過許多PHP的開源庫。他也是LLVM項目的開發者。
信中說3月28日晚上,兩個惡意的commit提交到了php-src倉庫中,以Rasmus Lerdorf和nikic的名義提交。
雖然目前還不知道黑客是如何攻入PHP的離線git服務器git.php.net,但服務器確實存在安全隱患。
為了防止今后再發生類似的事件,git.php.net服務器將會關停,目前仍可訪問。
以前php-src在GitHub上的倉庫僅作為鏡像使用,今后的修改將直接提交到GitHub上。
如果還沒有申請GitHub倉庫上PHP組織的權限,則需要聯系nikic申請。
在GitHub上的提交都要開啟2FA(雙重身份驗證)認證。
在開啟2FA后,每次需要移動設備來額外驗證一次身份,通過掃描二維碼獲取驗證碼。
惡意提交
名為「fix typo」上的一次提交于兩天前。
增加了幾行代碼,如果字符串以「zerodium」開頭,則會攻擊用戶的服務器,日期標注為mid 2017,并表示這個漏洞賣給了zerodium。
Zerodium是一家關注信息安全的美國公司,成立于2015年,總部位于華盛頓和歐洲,它的主要業務是從安全研究人員手中第一時間獲取攻擊信息。
Zerodium的CEO發推特表示「我是清白的」。顯然,發現這個bug的研究人員想把這個漏洞賣給其他公司,但是沒人想買。
Reddit網友表示,這作案手段也太明顯了。
根據Web Technology Surveys的調查結果顯示,超過80%的網站都在使用PHP,例如WordPress等。
這個小「失誤」會影響到PHP的地位嗎?
參考資料:
https://news-web.php.net/php.internals/113838
上云賦智,AI新家!
2021年3月31日(周三),首期AI家主題論壇——「創新之都 AI賦智」由新智元創始人楊靜主持,中關村(000931,股吧)軟件園總經理張金輝到場致辭,主題演講環節榮幸邀請到達闥科技創始人&CEO黃曉慶、科大訊飛(002230,股吧)執行總裁胡郁、英偉達亞太區副總裁潘迪等AI科研產業先鋒,分享「5G上云? AI賦智」的精彩案例。現場還有達闥云端機器人Ginger小姜與大家進行精彩互動,還將根據新智元創新指數研究,公布「2020 AI Era 創新大獎」!(特邀合作嘉賓清華大學新聞學院沈陽教授致辭)
新征程,新跨越,新智元&達闥科技邀你在新浪直播平臺一同見證!掃描下方二維碼,獲取視頻直播、圖片云直播!
本文首發于微信公眾號:新智元。文章內容屬作者個人觀點,不代表和訊網立場。投資者據此操作,風險請自擔。
最新評論