Guide HTML Java Linguaggio C Python JavaScript PHP C++CSS Android Approfondimenti

Learn
Notizie
Development
PHP
PHP: un attacco contro il server git

PHP: un attacco contro il server git

Un tentativo di attacco finalizzato alla Remote Code Execution costringe gli sviluppatori di PHP ad abbandonare il server git in favore di GitHub

di Claudio Garau
30 Marzo 2021

Come comunicato nelle scorse ore da Nikita Popov, software developer di JetBrains per il quale lavora presso il team di PhpStorm, domenica 28 marzo sono stati effettuati i push di 2 commit malevoli a danno del repository php-src dove viene implementato il codice sorgente del linguaggio. Tali operazioni sarebbero state effettuate a nome dello stesso Popov e di Rasmus Lerdorf. informatico danese noto per essere il creatore di PHP.

La dinamica dell’attacco

Per ammissione dell’autore, attualmente le dinamiche dell’accaduto non sarebbero ancora note ma apparirebbe chiaro l’intento di compromettere il server git.php.net, meno probabile l’ipotesi che si volesse violare semplicemente gli account git coinvolti. La notizia è particolarmente preoccupante considerando che PHP è utilizzato in circa il 79% dei siti Web attualmente online.

Nello specifico gli interventi non autorizzati sul codice avrebbero riguardato il file zlib.c presente sul percorso ext/zlib/. In esso la riga aggiunta tramite un aggiornamento sarebbe stata la 370 dove viene effettuata una chiamata alla funzione zend_eval_string function.

Scopo dell’attacco sarebbe stata la volontà di attivare una backdoor con cui effettuare facilmente una RCE (Remote Code Execution) a carico di un sito Web animato dalla versione di PHP violata.

La migrazione da git a GitHub

Le indagini interne per comprendere i dettagli della vicenda sarebbero ancora in corso, nel contempo i responsabili del progetto sono giunti alla conclusione che mantenere l’infrastruttura git colpita rappresenterebbe un rischio evitabile e il server git.php.net non verrà più utilizzato. Verranno impiegati al suo posto i repository presenti su GitHub che fino ad ora erano stato adottati soltanto come mirror.

Stando così le cose da questo momento in poi tali repository dovranno essere considerati canonici e tutti i push relativi alle modifiche dovranno essere effettuati direttamente su GitHub e non su git.php.net. Nello stesso modo il merge delle pull request potrà essere eseguito direttamente dall’interfaccia Web based della nota piattaforma per il code hosting.

A questo punto il PHP security team dovrà verificare che quanto avvenuto non sia stato preceduto da episodi simili e non ancora rilevati. A limitare il danno vi sarebbe stato comunque il fatto che i commit riguardavano il ramo di sviluppo di PHP 8.1 che è una versione attesa per la fine del 2021. Per il momento sembrerebbe ormai sicuro che il server su git verrà definitivamente abbandonato in favore di un passaggio in pianta stabile su GitHub.

Fonte: PHPlists

I Video di HTML.it

#Future Decoded: Fabio Santini

Intervista a Fabio Santini

Percorsi formativi correlati

Tutti i linguaggi per diventare uno sviluppatore di app per Android.

Come creare applicazioni per il Web con PHP e MySQL per il DBMS.

Tutte le principali tecnologie per diventare uno sviluppatore mobile per iOS.

I fondamentali per lo sviluppo di applicazioni multi piattaforma con Java.

Diventare degli esperti in tema di sicurezza delle applicazioni Java.

Usare Raspberry Pi e Arduino per avvicinarsi al mondo dei Maker e dell’IoT.

Le principali guide di HTML.it per diventare un esperto dei database NoSQL.

Ecco come i professionisti creano applicazioni per il Cloud con PHP.

Lo sviluppo professionale di applicazioni in PHP alla portata di tutti.

Come sviluppare applicazioni Web dinamiche con PHP e JavaScript.

Fare gli e-commerce developer con Magento, Prestashop e WooCommerce.

Realizzare applicazioni per il Web utilizzando i framework PHP.

Creare applicazioni PHP e gestire l’ambiente di sviluppo come un pro.

Percorso base per avvicinarsi al web design con un occhio al mobile.

Realizzare siti Web e Web application con WordPress a livello professionale.

Ti consigliamo anche

Database

Gestire database MongoDB con Python

Come creare database e collection, inserire, estrarre, aggiornare e rimuovere dati da una base di dati MongoDB con Python

Development

Come programmare una blockchain con Java

Impariamo ad utilizzare Takamaka, una blockchain Java Full Stack, per scrivere codice Java installabile ed eseguibile su una blockchain

Development

Internazionalizzazione in JSF2 con PrimeFaces

L’obiettivo di questo articolo è mostrare l’implementazione delle funzionalità di internazionalizzazione all’interno di una applicazione web scritta con JSF 2. […]

CMS

Creare un e-commerce con Laravel

19 Lezioni
Avanzata

Come creare un’applicazione per la gestione di un negozio di commercio elettronico con il framework PHP Laravel. Una guida completa che, partendo dalla configurazione di un ambiente di sviluppo basato su Laravel, descrive nel dettaglio tutti i passaggi necessari per pubblicare un e-commerce con cui promuovere e vendere i propri prodotti online

Development

PHP: un attacco contro il server git

I Video di HTML.it

#Future Decoded: Fabio Santini

Android Mobile Developer

DB Administrator

iOS Mobile Developer

Java Developer

Java Security Expert

Maker

NoSQL DB Expert

PHP Cloud Developer

PHP Developer

PHP e JavaScript Developer

PHP eCommerce developer

PHP Framework Expert

PHP SysAdmin

Web & Mobile Designer

WordPress Developer

Gestire database MongoDB con Python

Come programmare una blockchain con Java

Internazionalizzazione in JSF2 con PrimeFaces

Creare un e-commerce con Laravel

PHP 8.1: array_is_list, unpacking degli array ed enum

GitHub: niente password da Agosto 2021

Halloween, Raspberry Pi e Git: una zucca che si illumina se fallisci una build

GitHub Code Scanning: identificare le vulnerabilità nel codice durante lo sviluppo

GitHub Codespaces integra Visual Studio Codespaces