PHP Pear kompromitteret i seks måneder
Brugere, der har anvendt en pakkehåndterings-fil til PHP Extension and Application Repository (Pear) fra projektets officielle hjemmeside indenfor de seneste seks måneder, kan være blevet ramt af ondsindet software.
Af en meddelelse på blog.pear.php.net, som The Hacker News er faldet over, fremgår det, at filen fra det officielle site har været 'tainted'. Altså ondsindet.
Holdet bag Pear oplyser i en besked, at brugere bør sammenligne hashen på den downloadede fil fra sitet med en 'ren' version fra GitHub (pear/pearweb_phars). Hvis hashen er ens, er der umiddelbart ingen problemer.
The Hacker News oplyser, at den officielle side for Pear blev taget ned i sidste uge, efter det blev opdaget, at nogen har erstattet package manager-filen go-pear.phar med en ændret udgave.
Pear er ifølge The Hacker News et community-drevet framework til distribuering af softwarebiblioteker skrevet i php.
Det skulle alene være pakkehåndterings-filen på sitet, der har været kompromitteret, og ikke den udgave, der har kunnet hentes fra det officielle GitHub-repository.
The Hacker News bemærker, at det endnu er småt med detaljerne, i forhold til hvad der konkret er sket, men holdet bag Pear har tweetet, at der kommer flere detaljer, når sitet er oppe igen.
A security breach has been found on the https://t.co/dwKlscDEFf webserver, with a tainted go-pear.phar discovered.
The PEAR website itself has been disabled until a known clean site can be rebuilt. A more detailed announcement will be on the PEAR Blog once it's back online.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
