Guide HTML Java Linguaggio C Python JavaScript PHP C++CSS Android Approfondimenti

Learn
Notizie
Development
PHP
PHP: un attacco contro il server git

PHP: un attacco contro il server git

Un tentativo di attacco finalizzato alla Remote Code Execution costringe gli sviluppatori di PHP ad abbandonare il server git in favore di GitHub

di Claudio Garau
30 Marzo 2021

Come comunicato nelle scorse ore da Nikita Popov, software developer di JetBrains per il quale lavora presso il team di PhpStorm, domenica 28 marzo sono stati effettuati i push di 2 commit malevoli a danno del repository php-src dove viene implementato il codice sorgente del linguaggio. Tali operazioni sarebbero state effettuate a nome dello stesso Popov e di Rasmus Lerdorf. informatico danese noto per essere il creatore di PHP.

La dinamica dell’attacco

Per ammissione dell’autore, attualmente le dinamiche dell’accaduto non sarebbero ancora note ma apparirebbe chiaro l’intento di compromettere il server git.php.net, meno probabile l’ipotesi che si volesse violare semplicemente gli account git coinvolti. La notizia è particolarmente preoccupante considerando che PHP è utilizzato in circa il 79% dei siti Web attualmente online.

Nello specifico gli interventi non autorizzati sul codice avrebbero riguardato il file zlib.c presente sul percorso ext/zlib/. In esso la riga aggiunta tramite un aggiornamento sarebbe stata la 370 dove viene effettuata una chiamata alla funzione zend_eval_string function.

Scopo dell’attacco sarebbe stata la volontà di attivare una backdoor con cui effettuare facilmente una RCE (Remote Code Execution) a carico di un sito Web animato dalla versione di PHP violata.

La migrazione da git a GitHub

Le indagini interne per comprendere i dettagli della vicenda sarebbero ancora in corso, nel contempo i responsabili del progetto sono giunti alla conclusione che mantenere l’infrastruttura git colpita rappresenterebbe un rischio evitabile e il server git.php.net non verrà più utilizzato. Verranno impiegati al suo posto i repository presenti su GitHub che fino ad ora erano stato adottati soltanto come mirror.

Stando così le cose da questo momento in poi tali repository dovranno essere considerati canonici e tutti i push relativi alle modifiche dovranno essere effettuati direttamente su GitHub e non su git.php.net. Nello stesso modo il merge delle pull request potrà essere eseguito direttamente dall’interfaccia Web based della nota piattaforma per il code hosting.

A questo punto il PHP security team dovrà verificare che quanto avvenuto non sia stato preceduto da episodi simili e non ancora rilevati. A limitare il danno vi sarebbe stato comunque il fatto che i commit riguardavano il ramo di sviluppo di PHP 8.1 che è una versione attesa per la fine del 2021. Per il momento sembrerebbe ormai sicuro che il server su git verrà definitivamente abbandonato in favore di un passaggio in pianta stabile su GitHub.

Fonte: PHPlists

Percorsi formativi correlati

Tutti i linguaggi per diventare uno sviluppatore di app per Android.

Come creare applicazioni per il Web con PHP e MySQL per il DBMS.

Tutte le principali tecnologie per diventare uno sviluppatore mobile per iOS.

I fondamentali per lo sviluppo di applicazioni multi piattaforma con Java.

Diventare degli esperti in tema di sicurezza delle applicazioni Java.

Usare Raspberry Pi e Arduino per avvicinarsi al mondo dei Maker e dell’IoT.

Le principali guide di HTML.it per diventare un esperto dei database NoSQL.

Ecco come i professionisti creano applicazioni per il Cloud con PHP.

Lo sviluppo professionale di applicazioni in PHP alla portata di tutti.

Come sviluppare applicazioni Web dinamiche con PHP e JavaScript.

Fare gli e-commerce developer con Magento, Prestashop e WooCommerce.

Realizzare applicazioni per il Web utilizzando i framework PHP.

Creare applicazioni PHP e gestire l’ambiente di sviluppo come un pro.

Percorso base per avvicinarsi al web design con un occhio al mobile.

Realizzare siti Web e Web application con WordPress a livello professionale.

Ti consigliamo anche

Database

Gestire database MongoDB con Python

Come creare database e collection, inserire, estrarre, aggiornare e rimuovere dati da una base di dati MongoDB con Python

Development

Come programmare una blockchain con Java

Impariamo ad utilizzare Takamaka, una blockchain Java Full Stack, per scrivere codice Java installabile ed eseguibile su una blockchain

CMS

Gestiamo molti WordPress simultaneamente con InfiniteWP

Vediamo come gestire molteplici installazioni WordPress anche su server differenti tramite InfiniteWP

Development

PHP: creare un social network con Symfony framework

27 Lezioni
Avanzata

Una guida pensata per presentare le caratteristiche del framework PHP Symfony attraverso lo sviluppo di un progetto reale: la realizzazione di un social network in stile Twitter chiamato “Kwak” che significa appunto “tweet” in Islandese. L’obiettivo finale della guida è quello di proporre esempi pratici degli use case più comuni che si affrontano durante la creazione di un’applicazione.

Development

PHP: un attacco contro il server git

Android Mobile Developer

DB Administrator

iOS Mobile Developer

Java Developer

Java Security Expert

Maker

NoSQL DB Expert

PHP Cloud Developer

PHP Developer

PHP e JavaScript Developer

PHP eCommerce developer

PHP Framework Expert

PHP SysAdmin

Web & Mobile Designer

WordPress Developer

Gestire database MongoDB con Python

Come programmare una blockchain con Java

Gestiamo molti WordPress simultaneamente con InfiniteWP

PHP: creare un social network con Symfony framework

GitHub Copilot: oltre mille termini vietati

GitHub Copilot: rischi di sicurezza nel 40% dei casi

PHP: quanti tutorial contengono vulnerabilità?

GitHub Copilot è stato addestrato su tutto il codice pubblico

GitHub: un “copilota” completa il codice su Visual Studio Code