Nieuws
image

"Mogelijk backdoor in PHP"

vrijdag 18 maart 2011, 13:36 door Redactie, 11 reacties

Gisteren verscheen er een nieuwe versie van PHP, maar de servers van de populaire scripttaal zijn mogelijk gehackt en voorzien van een backdoor. PHP 5.3.6 verhelpt een handvol beveiligingslekken, zestig niet-security gerelateerde bugs en bevat verschillende verbeteringen. Het Franse beveiligingsbedrijf VUPEN meldt net dat de PHP.net server(s) mogelijk gehackt zijn en dat de aanvallers mogelijk een backdoor in de broncode hebben aangebracht. Daarnaast zou Wiki.php.net uit de lucht zijn gehaald. De website is inderdaad op het moment van schrijven onbereikbaar.

Reacties (11)
18-03-2011, 14:05 door [Account Verwijderd]
[Verwijderd]
18-03-2011, 14:15 door SirDice
Lijkt me bogus. De change die op die CN site wordt gegeven heeft er zeggen en schrijven een half uurtje in SVN gestaan. Bovendien was dat een dikke 2 (bijna 3) maanden geleden.

http://svn.php.net/viewvc/php/php-src/trunk/ext/standard/credits.c?view=log

Verder lijkt me dat een command injection op de wiki niet direct leidt tot toegang tot SVN zodat daar de source code aan te passen valt.
18-03-2011, 14:59 door Anoniem
"Verder lijkt me dat een command injection op de wiki niet direct leidt tot toegang tot SVN zodat daar de source code aan te passen valt."

Wel als iemand zo dom is geweest om de wiki onder de zelfde systeem gebruiker te draaien als de website :)
18-03-2011, 15:36 door Anoniem
Dan ken je de nerds van tegewoordig niet sjapie !
18-03-2011, 16:51 door SirDice
Door Anoniem: "Verder lijkt me dat een command injection op de wiki niet direct leidt tot toegang tot SVN zodat daar de source code aan te passen valt."

Wel als iemand zo dom is geweest om de wiki onder de zelfde systeem gebruiker te draaien als de website :)
De SVN en de Wiki draaien op aparte servers. Sterker nog, ze zijn bij verschillende hosting bedrijven ondergebracht.
18-03-2011, 23:02 door Anoniem
Bjori geeft aan dat zijn accountgegevens destijds waren achterhaald. De server zelf was dus toen niet gecompromitteerd. Zie ook: http://bjori.blogspot.com/2010/12/php-project-and-code-review.html

Ik vrees dat VUPEN wel de klok heeft horen luiden, maar ...
18-03-2011, 23:58 door Anoniem
diff....
19-03-2011, 12:39 door Lekensteyn
Zojuist even in een uur tijd de diff tussen 5.3.5 (op mijn computer) en 5.3.6 (php.net) bekeken, en er lijkt niks verdachts aan de gang (in de code).
Waarschijnlijk vals alarm wat betreft de code.

Maar blijkbaar is er wel een server gehackt?

Nieuwspost (http://news.php.net/php.webmaster/10652):
The windows binaries files are on the same server as the wiki box, and
has intentionally been taken down for the time being (pending dns
updates).

We apologize for any inconvenience this may have.

-Hannes

Van de DNS instellingen in SVN (diff: http://svn.php.net/viewvc/systems/trunk/php.net.zone?r1=309386&r2=309387&pathrev=309387&sortby=date):
http://svn.php.net/viewvc/systems/trunk/php.net.zone?view=markup&sortby=date&pathrev=309387
; temporary fix for ovh being hax0red
maintenance IN A 87.238.48.210
20-03-2011, 00:01 door [Account Verwijderd]
[Verwijderd]
20-03-2011, 12:21 door henkhooft
Lijkt me net zoiets als met het ettercap project. Het zou 5 jaar backdoored zijn maar achteraf was er weinig te vinden.
21-03-2011, 14:22 door Anoniem
Ach, iedereen heeft nu ineens wel van VUPEN gehoord.... yawn
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search