パスワードを忘れた? アカウント作成
13821297 story
PHP

PHP向けパッケージ管理ツールPEARへの攻撃が確認される、過去半年にわたって改竄の可能性 26

ストーリー by hylom
ご注意を 部門より
あるAnonymous Coward曰く、

PHP向けのパッケージ管理ツールPEAR(Wikiepdiaページ)の公式サイトpear.php.netが19日、攻撃を受けた痕跡が見つかり、さらに改竄されたgo-pear.pharが発見されたことを明らかにした(今回のクラッキングに関するアナウンス)。

PEARは公式サイトをクリーンな状態で再構築しようと試みており、いまだサイトは停止中の状態にある。過去半年以内に公式サイトで配布されていたgo-pear.pharは改竄されていた可能性があるとのことで、ダウンロードしたユーザーにはGitHubのリリースページを元にハッシュのチェックや、再ダウンロードを行うよう呼びかけられている(改竄対策のアナウンス)。

最近ではPHPのライブラリ周りはComposerへの移行が進んでおり、PEARを使う機会は少ないかもしれないが、該当する方は注意されたし。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年01月23日 15時43分 (#3553055)

    Mystery still surrounds hack of PHP PEAR website [zdnet.com]

    ZDNetの記事によれば、改竄版のgo-pear.pharにはバックドアが仕込まれていたようです。
    (ただし、動作の詳細は不明?)

    公式サイト以外で配布されていたバージョンは問題ない様子。
    一昔前と違って、手動でPEARをインストールする人なんてそうそう居ないだろうからよかったものの、一歩間違えれば大騒動になるとこですわ。おっかない。

    • by Anonymous Coward

      PHP拡張で使う奇特な人はいないだろうけど、PECLで使ってる人は多いと思うが。

      • by Anonymous Coward

        go-pear.phpが問題って言われてるけど、他は問題ないのかなぁ
        確認したらphpインストールする時に古いマニュアル参考にしてchannel-updateしてるものがあったけど、、、

  • by Anonymous Coward on 2019年01月23日 19時54分 (#3553273)

    facebookを筆頭にこんなもの使ってるサイトとか使っちゃダメ。
    PHPしか使えないプログラマも使えないから仕事させちゃダメ。

    • by Anonymous Coward

      どうして馬鹿は「自分は馬鹿です」と辺り構わず叫び散らすんだろう?

      • by Anonymous Coward

        自分の胸に聞いてみな

    • by Anonymous Coward

      真面目な話、今でも新規サイトをPHPで作成する思考が理解できない
      開発効率にしろ何にしろ他の言語・環境よりも優先するメリットなんか無いだろうに

      • PHPしか書けなかったらPHPで作るしかないのでは?

        親コメント
      • 逆に、サイト作成において PHP を開発効率で上回る言語って何だ?
        この場合の効率には「必要な技術力を持つ開発者を雇うためのコスト」も当然含まれるが。
        ※言語だけじゃなくてインフラ、つまりサーバー回りも含めての話

        問題は PHP がダメなのではなくて、PHP がダメという意識高い系の技術者がいることだろう。
        --
        -- To be sincere...
        親コメント
      • by Anonymous Coward

        「人員が集めやすい」「PHP7からかなり良くなった」「OSSライブラリが豊富」

        結構メリットあるわけだけど。

        • by Anonymous Coward

          デメリットだよ
          PHPなんて使ってる志低いプログラマは要らないよね

          • by Anonymous Coward

            人手不足の昨今、どこも人員確保に苦労してるのに、さすが余裕のある企業は違いますね。

      • by Anonymous Coward

        世界のサイトの何割かはWordpressで、WordpressはPHP製だったか。
        大手IT企業は社内のユースケースのために言語を開発して社外に出することがあるが、FacebookとかいうWebサイト運営会社の場合はPHPベースだったな。
        私は理解できるな。

    • by Anonymous Coward

      マジレスすると、Facebook は PHP をだいぶ前に捨てたよ?

  • by Anonymous Coward on 2019年01月23日 21時20分 (#3553339)

    最近のGitHubは、もうずっと騒動続きだね。原因はなんとなく察するけども。。。

    うちの会社では、ここ数年くらい、GitHubのアカウントひっさげて面接に挑んでくる学生さんには
    「GitHubがMSに買収されたのご存知ですか」と質問してる。
    えっ・・と絶句する人ならいいんだけど
    知ってたとか知らなかったとか言って平然としてる人には、お祈り申し上げてるw
    たがが一つのサービスが妙なステータスになるってのは、あまり良くない文化だねえ。

    • by hjmhjm (39921) on 2019年01月24日 13時29分 (#3553752)

      学生の方も、今日日MS差別してるような会社は願い下げやろから、WinWinやなあ。w
      よかったよかった。

      親コメント
    • by Anonymous Coward

      うちの会社では、ここ数年くらい、GitHubのアカウントひっさげて面接に挑んでくる学生さんには
      「GitHubがMSに買収されたのご存知ですか」と質問してる。

      ここ数年って、買収の話が出だの2018年6月なんだし、
      それまでは引っ掛けで事実と反する嘘の質問してたんですかね。

      • by Anonymous Coward

        未来人なんだろう。

      • by Anonymous Coward

        絶句しつつもここに就職するような人がいるとしたら余程のマゾなんでしょうかね。

    • by Anonymous Coward

      Webサーバーの設定ミスだかセキュリティホールって雰囲気な気がするけど、その後の調査でGitHubにキーをアップしてたとかそういう原因が分かったってこと???

      • by Anonymous Coward

        公式サイト=GitHubとでも思ってるのかな?
        まさかねハハハ。

    • by Anonymous Coward

      何を言ってるのか本気で分からない。

    • by Anonymous Coward

      GitHubなんてエンジニアにとってポートフォリオの媒体のひとつにすぎないでしょ。
      そこまで目の仇にする経緯が抜け落ちてるんで詳細はわかりませんが…。

      たがが一つのサービスが妙なステータスになるってのは、あまり良くない文化だねえ。

    • by Anonymous Coward

      お前の使ってるサーバーやアプライアンス機器、LinuxやFreeBSDが動いてると思うがMSがコミットしたコードが入ってるぞ。
      今すぐOracleのSolarisクラウドに乗り換えるんだ。

    • by Anonymous Coward

      馬鹿な人事が居たもんだな
      どうせろくな会社じゃないんだろうな

    • by Anonymous Coward

      こんなバカのいる会社にはいらずに済んだ学生はラッキーだな

typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...