URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 116356
[ Назад ]
Исходное сообщение
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено opennews , 21-Янв-19 09:27 
Сообщается (https://archive.li/3Rsqn) об обнаружении следов взлома официального репозитория пакетов PEAR (http://pear.php.net/) (PHP Extension and Application Repository), предлагающего дополнительные функции и классы для языка PHP. В ходе атаки злоумышленникам удалось получить доступ к web-серверу проекта и внести изменения в файл "go-pear.phar", в котором содержится установочный комплект с пакетным менеджером "go-pear". Модификация была осуществлена 6 месяцев назад.


Потенциально могут быть скомпрометированы (https://twitter.com/pear/status/1086634503731404800) системы пользователей PHP, за последние 6 месяцев выполнявших установку пакетного менеджера "go-pear" из phar-архива (как правило, такая установка практикуется пользователями Windows). Для проверки наличия вредоносного кода в установленном файле
рекомендуется сравнить хэши имеющегося у пользователя архива "go-pear.phar"  с аналогичной  версией архива (https://github.com/pear/pearweb_phars/releases), поставляемой через официальный репозиторий на GitHub (https://github.com/pear/pearweb_phars) (репозиторий на GitHub не скомпрометирован, файл был подменён на web-сервере PEAR). MD5-хэш известного варианта с вредоносным кодом - "1e26d9dd3110af79a9595f1a77a82de7".

Подробности пока не сообщаются. До завершения разбирательства и полной пересборки содержимого сайта работа сервера PEAR  остановлена.


URL: https://twitter.com/pear/status/1086634389465956352
Новость: https://www.opennet.ru/opennews/art.shtml?num=49998

Содержание
Сообщения в этом обсуждении
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 09:27 
>Модификация была осуществлена 6 месяцев назад.

Это всё, что надо знать о фирме Zend и PHPшниках.

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Andrey Mitrofanov , 21-Янв-19 12:17 
>>Модификация была осуществлена 6 месяцев назад.
> Это всё, что надо знать о фирме Zend и PHPшниках.

Всё, что надо знать об отгружающих "пакеты" мимо дистрибутивов: js/leftpat, *рокерхаб, рельсы-на-рубище, elpa, мозила-ксулл-шопп, ... а, да!!! гугле-плей-шоп, ......

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Клыкастый , 21-Янв-19 12:26 
к сожалению "мимо пакетов" становится модным трендом, и походу это уже не удержать. snap и flatpack добавляют масла в огонь.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Andrey Mitrofanov , 21-Янв-19 12:51 
> к сожалению "мимо пакетов" становится модным трендом, и походу это уже не
> удержать. snap и flatpack добавляют масла в огонь.

:|
https://git.savannah.gnu.org/gitweb/?p=guix/maintenance.git;...

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Ordu , 25-Янв-19 02:17 
Это не "модный" тренд, а _неизбежный_ тренд. Софт становится сложнее, обновляется чаще, мейнтейнеры не справляются. При этом, я не знаю как там в дебиане дела обстоят или в rpm-based дистрах, но в генте, допустим, нет никаких проблем использовать github в качестве площадки для разработки оверлеев, но каких-нибудь инструментов специфичных для оверлеев я не замечал. Например, было бы неплохо иметь инфраструктуру для тестирования оверлеев. Для этого ведь даже не обязательно покупать железо для сборки и тестирования всего софта из всех оверлеев: все вычислительно натужные задачи можно свалить на пользователей или энтузиастов, а централизованно лишь собирать статистику успешных и неуспешных установок и централизованно же раздавать тестовые наборы, для проверки работоспособности установки.

Ещё неплохо было бы, помимо системы тестирования оверлеев, встроить систему типа patreon'а, чтобы все кому это интересно могли бы оплатить выполняемые работы. Вот тогда были бы шансы, а пока мейнтейнеры продолжают свои попытки создавать портажи/репозитории методами из 90-х, не заморачиваясь на архитектурные изменения в социальной системе, стоящей за разработкой дистрибутивов, все их перспективы сводятся к медленному угасанию, потому что текущая социальная система достигла своих пределов.

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Клыкастый , 25-Янв-19 09:55 
> Это не "модный" тренд, а _неизбежный_ тренд. Софт становится сложнее, обновляется чаще, мейнтейнеры не справляются.

Ну вот например тыкал в gems, cpan. На сложных приложениях (например gitlsb) gems выдавали циклические зависимости - наблюдал лично. Т.е. мейнтейнеры специфики тоже могут несправляться, увы. и с cpan редко, но натыкался на разные спецэффекты. Ну классика - обновил собссна perl - добро пожаловать, вспоминай где какие cpan-овские окружения стоят, давай чинить.

> При этом, я не знаю как там в дебиане дела обстоят или в rpm-based дистрах, но в генте, допустим, нет никаких проблем использовать github в качестве площадки для разработки оверлеев, но каких-нибудь инструментов специфичных для оверлеев я не замечал.

а мне всё же кажется пакетные менеджеры (и портажи, если гента тебе ближе) должны иметь плагины для работы с "полурепами" gem/cpan/compose/etc.

> Ещё неплохо было бы, помимо системы тестирования оверлеев, встроить систему типа patreon'а,
> чтобы все кому это интересно могли бы оплатить выполняемые работы. Вот
> тогда были бы шансы, а пока мейнтейнеры продолжают свои попытки создавать
> портажи/репозитории методами из 90-х, не заморачиваясь на архитектурные изменения в социальной
> системе, стоящей за разработкой дистрибутивов, все их перспективы сводятся к медленному
> угасанию, потому что текущая социальная система достигла своих пределов.

ну кагбе хотелось бы поспорить, но не получится. всё так. или нас ждёт вендоархитектура типа "а теперь качаем с помоек exe^Wflatpak-и", либо да, что-то более прогрессивное.

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Hello , 21-Янв-19 16:30 
Тебя это задело, мальчик? Сочувствую.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Leninmorte , 21-Янв-19 22:43 
> Всё, что надо знать об отгружающих "пакеты" мимо дистрибутивов: js/leftpat, *рокерхаб, рельсы-на-рубище, elpa, мозила-ксулл-шопп, ... а, да!!! гугле-плей-шоп, ......

лол-что? вобще-то практически все "отгружают" свой код "мимо дистрибутивов" - некая software становится пакетом дистрибутива исключительно усилиями мейнтейнеров дистрибутива; или кто-то реально думает, что разработчики например nginx составляют план работы на квартал так: сначала отгружаем rpm-пакеты в ред-хат, потом - deb-пакеты в дебиан и убунту, потом - в арчик и сусе, ну и наконец, так и быть, отгрузим старине слакваре и в фри-бсд;
и да, какие-такие пакеты отгружают рельсы? мосье случаем не перепутал рельсы и рубигемс? а гугл-плей-шоп с играми, музыкой, книгами и фильмами здесь вобще с какого бока?

итого получилось: всё, что нужно знать о пе-ха-пе кодерах, когда задеты их религиозные чувства

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Клыкастый , 25-Янв-19 09:58 
> лол-что? вобще-то практически все "отгружают" свой код "мимо дистрибутивов"

Да и тут речь о том, что существующая система втаскивания в репы похоже себя исчерпывает. есть подозрения, что проблема уже есть, просто дистры с комьюнити помельче  чувствуют её раньше.

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено sstj3n , 21-Янв-19 10:32 
Ну норм, косвенно говорит о востребованности проекта, что, впрочем, не отменяет того, что это - дыра.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено имя , 21-Янв-19 10:34 
сейчас можно-стильно-молодежно тянуть через композер, а не пир.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 12:12 
Без разницы. Композерохомячки - они хоть в пире композерохомячки, хоть в нпм.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено имя , 21-Янв-19 12:56 
т.е. ты предалагаешь не использовать пакетный менеджер, а просто рнучками все добавлять?
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Hello , 21-Янв-19 16:31 
Все писать самому. Как можно было не догадаться?!...
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 18:13 
Я предлагаю таки мейнтейнить и ревьюить включения, а не тупо тянуть антрастед сырцы на каждый чих.
Для ниасиливших - даже блобешные .so / .dll + хедеры из релизов юзать секурнее получится.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 18:14 
(последнее не про пых естессно, тут для ниасиливших скорее фиксация версии сырцов и после ручной апдейт до релизных тэгов)
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 15:42 
Только грушевые пакеты композер тянул оттуда же. А если саму грушу ломанули, то могли и пакеты подменить.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 11:39 
PEAR мертв давно. Да и жив то вобщем-то никогда не был. Сейчас пакеты тянут через композер, а до его появления либо просто копировали код в подпапочку либо использовали git submodules.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Gemorroj , 21-Янв-19 12:14 
как уже ответили, pear давно мертв и не нужен даже пхпшникам.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Fyjybv1 , 21-Янв-19 23:51 
Да. Кастомные пакеты для пхп нах-ер не нужны, в отличии от всяких там, он просто работает из каробки.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено eRIC , 21-Янв-19 11:14 
>MD5-хэш известного варианта с вредоносным кодом - "1e26d9dd3110af79a9595f1a77a82de7".

мда, MD5 ...

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 11:40 
А что не так с md5 в контексте контроля целостности? Он же не для секурных целей используется.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Андрей , 21-Янв-19 11:59 
Потому что MD5 проклят!

Все кто его продолжают пользовать - ламеры, дурни, прокаженные. От них надо отходить по-дальше, издалека и желательно анонимно всячески охаивать, строить догадки о их умственных способностях и упоминать их родителей в уничижительном ключе.

Т.е. вести себя, как настоящие дурни, мнящие себя умными. Вот как-то так. В таком аспекте...

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено тоже Аноним , 21-Янв-19 12:29 
> дурни, мнящие себя умными
> по-дальше

Истинное золото редко блестит, понимаешь. Но уж если блеснет - то хоть глаза ладонью закрывай...

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Гентушник , 22-Янв-19 16:29 
А за использование CRC видимо сразу нужно расстреливать на месте.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено OpenEcho , 21-Янв-19 13:12 
Коллизии у него,у MD5 однако и уже даже не теоретические, посмотрите в нете, как гуля демонстрировали два абсолютно разных PDF файла, но хэш был одинаков.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Andrey Mitrofanov , 21-Янв-19 13:16 
#>>>>MD5-хэш известного варианта с вредоносным кодом -

> Коллизии у него,у MD5 однако и уже даже не теоретические, посмотрите в
> нете, как гуля демонстрировали два абсолютно разных PDF файла, но хэш
> был одинаков.

Ещё раз, внимательно слушаю:  тебе с этой нетеоретической коллизией MD5 подсунут не тот _вредонос_ что ли??

Неаутентичный и подпорченный, в стра-а-а-ашных муках подбора и генерации этой самой коллизии, да, ага, прям вот так.

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено MPEG LA , 21-Янв-19 13:43 
>MD5 подсунут не тот _вредонос_ что ли??

какая разница, главное что подсунут, и хеш совпадет

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено eRIC , 21-Янв-19 20:05 
> Ещё раз, внимательно слушаю:  тебе с этой нетеоретической коллизией MD5 подсунут
> не тот _вредонос_ что ли??

PEAR прошлым веком живет если по сей день не важно, даже если для подсчета безобидного хэша MD5 алгоритм используют

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено OpenEcho , 22-Янв-19 01:49 
> Неаутентичный и подпорченный, в стра-а-а-ашных муках подбора и генерации этой самой коллизии,
> да, ага, прям вот так.

Не прям вот так, но если есть профит, то с муками или без, но рано или поздно найдется умник.
Я чет не воткнул, Вы за что MD5 защищаете если есть более надежные хэши?
Смысл закрывать дверь на крючок как в деревне, когда есть нормальные замки по той же цене?


"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено нах , 22-Янв-19 17:40 
например, крючок в деревне не заклинит от того, что дверь разбухла от влаги или перемерзла от холода. Надысь выковыривал знакомой "нормальный замок", а то она могла в свой деревенский дом внезапно не попасть. А собаке открыть зимой дверь он не даст ничем не хуже "нормального замка"

А учитывая что под этим "замком" лежит троянский пакет - только дурак и будет его ломать.

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено OpenEcho , 26-Янв-19 22:29 
> А учитывая что под этим "замком" лежит троянский пакет - только дурак
> и будет его ломать.

Я все таки не пойму, зачем ездить на запорожце, если за ту же самкю цену можно ездить на мерине?
MD5 дырявый ! Обьясните, может я правда что то не догоняю? Почему не использовать более надежные хэши ?

MD5 ломается и давно, посмотрите в андерграунде как пацаны делают redistributed calculation network и коллективно ломают MD5 и довольно быстро

Мне правда не понятна какая-то странная упрямость пользовать дырявое корыто...

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено тоже Аноним , 21-Янв-19 13:44 
В PDF можно напихать бинарного мусора, который будет просто пропущен парсером.
С архивами (и, тем более, исходниками) это значительно труднее.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено нах , 21-Янв-19 17:29 
так же просто, но это хэш _подмененного_ пакета - так что самое страшное, что может случиться, действительно - тебе подсунут не тот троян ;-)
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 22-Янв-19 18:35 
> и, тем более, исходниками

Комментарии же!

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 18:31 
Важно же подсунуть не просто какой-то другой файл с тем же md5-хешом, а вредоносный файл с тем же md5-хешом, а это на порядки усложняет задачу.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено axredneck , 21-Янв-19 18:44 
В данном случае у нас MD5 вредоноса, а не нормального файла, так что от коллизии ни один злоумышленник не выиграет.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 12:11 
Это всё, что нужно знать о безоглядном использовании сторонних реп. Композерохомячки должны страдать.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Gemorroj , 21-Янв-19 12:16 
слушай, жуниор, ты писал когда-нибудь что-нибудь кроме плагина к вордпресу?
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 13:27 
Т.е. ты даже не пытаешся скрывать что кроме PHP ничего не осилил? Капец ты пхп днище.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 18:12 
С жуниором мимо.
Писал.
Ещё вопросы есть?
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Fyjybv1 , 21-Янв-19 23:58 
Может он и джуниор, но ты просто макака
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 22-Янв-19 17:34 
Как ты пришёл к такому глубогомысленному заключению?
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Fyjybv1 , 24-Янв-19 02:05 
Чувак написал вполне логичный коммент в свете последних событий, а этот, видимо, кроме вордпресса придумать ничего не смог. Пхпшные штуки тянут зависимости с собой, и кроме голого пхп редко надо чтото доустанавливать, это лучшая практика
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено neit95 , 22-Янв-19 00:56 
На ноде сайтики ваяем?
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 22-Янв-19 14:33 
Только статика только тру хардкор.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 12:25 
Это будет полезнее, чем PECL реестр.

https://github.com/nbs-system/snuffleupagus

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 13:07 
его кто то использует?
уже лет 20 не пользовался этой фигней
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Mad Max , 21-Янв-19 13:20 
Таки да, есть народный компост который тоже уже взламывали через phar.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 16:43 
Только коммит всех зависимостей в проект, только хардкор.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 18:10 
Субмодули с прибивкой к конкретному коммиту.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 18:11 
Ну а если собственный мейнтенанс при этом ведётся - то да, только коммит, только хардкор. Так и делаем.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 19:29 
Был у меня товарищ который пилил сервис без зависимостей из публичных реп. Обанкротился.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 21-Янв-19 21:28 
Был у меня товарищ который пилил сервис c зависимостями из публичных реп. Обанкротился.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Онаним , 21-Янв-19 21:51 
Был у меня товарищ, который пилил сервис... Ну, вы поняли.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Ононем , 21-Янв-19 22:41 
Был у меня товарищ,...
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 22-Янв-19 17:37 
Любому понятно, что ваши товарищи не то пилили.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Шура , 22-Янв-19 00:43 
Ну, я пилил...
Сами знаете, чем это закончилось.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Куку там , 22-Янв-19 01:29 
Был у меня товарищ который НЕ пилил сервис. НЕ обанкротился. True story.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 22-Янв-19 12:13 
Real tear jerker bro.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 22-Янв-19 00:10 
> Был у меня товарищ который пилил сервис без зависимостей из публичных реп. Обанкротился.

Уточните, пожалуйста, товарищ обанкротился до того, как запустил сервис или после?

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено KonstantinB , 22-Янв-19 09:16 
Вместо!
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено Аноним , 22-Янв-19 14:32 
После. Не смог поддерживать свой велосипед.
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено а9ff , 22-Янв-19 20:56 
У меня вообще так друг умер!
"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Отправлено vantoo , 22-Янв-19 03:29 
Оно и не удивительно, что полгода никто не замечал взлома, груша давно прогнила и никому не нужна при наличии Composer.