• IT-Karriere:
  • Services:

Git-Hosting: Angriff auf PHPs Code-Repository

Im Git-Repository von PHP wurden zwei Hintertüren eingefügt. Als Konsequenz will man den Code künftig nicht mehr selbst hosten.

Artikel veröffentlicht am ,
Bei PHP gab es einen Angriff auf den Git-Server.
Bei PHP gab es einen Angriff auf den Git-Server. (Bild: Ivo Jansch/Flickr/CC-BY 2.0)

Unbekannten gelang es kurzzeitig, die Kontrolle über das Git-Repository von PHP zu erlangen. Dabei wurden zwei Hintertüren in den Code eingefügt. Bisher gibt es keine Informationen darüber, wie der Angriff gelang.

Stellenmarkt
  1. Technische Universität Berlin, Berlin
  2. Stadt Erlangen, Erlangen

PHP-Entwickler Nikitia Popov informierte die Community über den Vorfall in einer E-Mail und kündigte darin gleich an, dass die Entwicklung von PHP künftig auf Github stattfinden wird. Man habe sich entschieden, dass "die Betreuung unserer eigenen Git-Infrastruktur ein unnötiges Sicherheitsrisiko ist", so Popov.

Selbst entwickeltes Zugriffssystem als Risiko identifiziert

Bisher nutzte PHP eine Kombination der Software Gitolite und ein selbst entwickeltes Zugriffssystem namens Karma. Laut Popov deutet alles darauf hin, dass der Git-Hosting-Server kompromittiert wurde und es sich nicht um einen Angriff auf die Accounts von Einzelpersonen handelt.

Die beiden Commits ändern den Code von PHP so, dass mittels des User-Agent-Strings PHP-Code ausgeführt werden kann. Ausgelöst wird die Hintertür durch den String "zerodium". Dabei handelt es sich um den Namen eines bekannten Exploit-Händlers. Allerdings ist es unwahrscheinlich, dass Zerodium tatsächlich für den Angriff verantwortlich ist - es dürfte sich um einen Ablenkungsversuch handeln.

Golem Akademie
  1. Python kompakt - Einführung für Softwareentwickler
    19./20. April 2021, online
  2. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    3.-7. Mai 2021, online
Weitere IT-Trainings

Da der Angriff schnell entdeckt wurde, hält sich das Risiko in Grenzen. Der Hintertür-Code landete in keinem Release. Betroffen sind nur Personen, die in einem kurzen Zeitfenster den Git-Code von PHP ausgecheckt und auf einem öffentlich erreichbaren Server installiert haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 17,99€
  2. 9,99€
  3. 4,19€
  4. 23,99€

sambache 30. Mär 2021 / Themenstart

Schönes Code Repository, das ihr da habt. Wäre doch schade, wenn dem was passiert.

a4blue 29. Mär 2021 / Themenstart

Waaaas ? Git hat auch Fehler ? Ab sofort lebt der Code auf öffentlichen ftp-Servern...

Kommentieren


Folgen Sie uns
       


Opel Zafira-e Life Probe gefahren

Wir haben den Opel Zafira-e Life ausführlich getestet.

Opel Zafira-e Life Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /