PEAR PHP -projektin verkkosivuilla murtautuminen ja lähdekoodimuutoksia

Tietoturva Nyt!

PEAR PHP -projektin ylläpito on tiedottanut, että projektin sivusto osoitteessa hxxp://pear.php[.]net on onnistuttu murtamaan, ja vähintään yhtä sivuston kautta tarjottavaa tiedostoa on muokattu lisäämällä siihen haitallista lähdekoodia. Suosittelemme tarkistamaan, ettei käytössäsi ole saastunut versio tiedostosta.

PHP Extension and Application Repository (PEAR) on PHP-ohjelmointikielen aputyökalu, jolla voidaan toteuttaa pakettien ja riippuvaisuuksien hallintaa kehitettäessä PHP:llä verkkosovelluksia. Projektin ylläpito on tiedottanut, että projektin sivusto osoitteessa hxxp://pear.php[.]net on onnistuttu murtamaan, ja vähintään yhtä sivuston kautta tarjottavaa tiedostoa muokkaamaan haitallisella lähdekoodilla. Sivusto on ajettu alas ja ohjaa toistaiseksi DNS-pohjaisesti yhden projektin ylläpitäjän postipalvelimelle osoitteeseen mail.cweiske.de.

Tiedostosta go-pear.phar (GitHubin kirjastosta pear/pearweb_phars) on löytynyt haitallista lähdekoodia. Projektin ylläpitäjien ilmoituksen mukaan tiedosto on saastunut viimeisen puolen vuoden sisällä. Saamiemme lisätietojen mukaan haitallisella koodilla saastunutta tiedostoa suoritettaessa palvelimelta lähtee liikennettä osoitteeseen 104[.]131.154.154 TCP-porttiin 443.

Haitallisen koodin sisältävän tiedoston SHA256 tarkistussumma on:
"f74c4406c53e5b0187b8b1cfeb5b74f88ac9294acca29bdba8bd11371b2245e8"

Puhtaan version tarkistussumma on:
"f25521ec1fca71626ac78bdd69d3ea9d0cb9a836250583e896124ca661727f7e"

Korjaava toimenpide on hakea projektin GitHub-sivuilta puhdas versio kyseisestä tiedostosta.

Lisätietoja asiasta löytyy osoitteesta http://blog.pear.php.net, sekä projektin Twitter-tililtä @pear.

 

Lisätietoja:

http://blog.pear.php.net (Ulkoinen linkki)

https://hype.codes/pear-be-hacked (Ulkoinen linkki)

https://github.com/pear/pearweb_phars (Ulkoinen linkki)