PHP Pear kompromitteret i seks måneder

23. januar 2019 kl. 15:462
PHP Pear kompromitteret i seks måneder
Illustration: Virrage Images/Bigstock.
En pakkehåndteringsfil til PHP Pear har været ondsindet i et halvt år.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Brugere, der har anvendt en pakkehåndterings-fil til PHP Extension and Application Repository (Pear) fra projektets officielle hjemmeside indenfor de seneste seks måneder, kan være blevet ramt af ondsindet software.

Af en meddelelse på blog.pear.php.net, som The Hacker News er faldet over, fremgår det, at filen fra det officielle site har været 'tainted'. Altså ondsindet.

Holdet bag Pear oplyser i en besked, at brugere bør sammenligne hashen på den downloadede fil fra sitet med en 'ren' version fra GitHub (pear/pearweb_phars). Hvis hashen er ens, er der umiddelbart ingen problemer.

The Hacker News oplyser, at den officielle side for Pear blev taget ned i sidste uge, efter det blev opdaget, at nogen har erstattet package manager-filen go-pear.phar med en ændret udgave.

Artiklen fortsætter efter annoncen

Pear er ifølge The Hacker News et community-drevet framework til distribuering af softwarebiblioteker skrevet i php.

Det skulle alene være pakkehåndterings-filen på sitet, der har været kompromitteret, og ikke den udgave, der har kunnet hentes fra det officielle GitHub-repository.

The Hacker News bemærker, at det endnu er småt med detaljerne, i forhold til hvad der konkret er sket, men holdet bag Pear har tweetet, at der kommer flere detaljer, når sitet er oppe igen.

Remote video URL

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
23. januar 2019 kl. 20:35

PEAR har næppe mange brugere længere. Det er måske også medvirkende til, at fejlen gik uopdaget hen i et halvt år!

Nu om stunder er Composer/Packagist langt den mest udbredte pakkemanager/repository til PHP.