Actualités

“Ce dernier n’utilisait pas Gitolite, mais utilisait à la place git-http-backend derrière l’authentification Apache Digest 2” : complément d’information sur la cyber-attaque envers PHP !

Après la cyber-attaque survenue fin Mars 2021 à l’encontre de PHP, Nikita Popov revient sur les liens de causalité qui ont mené à la débandade insécuritaire.

 

Git.php.net supportait (intentionnellement) les changements de poussée non seulement via SSH (en utilisant l’infrastructure gitolite et la cryptographie à clé publique), mais aussi via HTTPS. Ce dernier n’utilisait pas gitolite, mais utilisait à la place git-http-backend derrière l’authentification Apache2 Digest par rapport à la base de données utilisateur master.php.net. Je ne sais pas pourquoi l’authentification par mot de passe a été prise en charge en premier lieu, car elle est beaucoup moins sécurisée que l’authentification par clé publique”, explique le développeur et le co-contributeur principal du projet PHP. En analysant les actions malveillantes – sur son propre compte et celui de son acolyte, Rasmus Lerdorf – le second commit (sous le compte de Nikita Popov) a révélé que gitolite n’était pas exploité ou utilisé dans les détournements de code. L’adresse master.php.net supportait des “un système d’exploitation très ancien“. Enfin, concernant les mots de passe (dont il est supposé que la base de données a été ex-filtrée depuis master.php.net pour connaître les nom d’utilisateurs…), ceux-ci étaient stockés en HTTP sous Digest avec “un simple hashage MD5“.

Des mesures correctives ont été entreprises :

  • Migration de master.php.net vers main.php (sous PHP v8),
  • Support du TLS (v1.2) : fin des messages et notifications d’alerte sur la version,
  • Sécurisation des implémentations : configuration des requêtes SQLs pour éviter toute injection,
  • Stockage des mots de passe via BCrypt,
  • Réinitialisation des mots de passe : génération depuis main.php.net/forgot.php.

 

Enfin, il est précisé que svn.php.net a été déployé “en lecture seule” (conjointement avec git.php.net) pour éliminer l’accès aux mots de passe depuis ce chemin. Une liste complète est présente, en fin de billet sécuritaire… A veiller !

 

 

Source : Externals – 7 Avril 2021 – Git.php.net : retour sur les causes de la cyber-attaque.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.0