PHP向けパッケージ管理ツールPEARへの攻撃が確認される、過去半年にわたって改竄の可能性 26
ストーリー by hylom
ご注意を 部門より
ご注意を 部門より
あるAnonymous Coward曰く、
PHP向けのパッケージ管理ツールPEAR(Wikiepdiaページ)の公式サイトpear.php.netが19日、攻撃を受けた痕跡が見つかり、さらに改竄されたgo-pear.pharが発見されたことを明らかにした(今回のクラッキングに関するアナウンス)。
PEARは公式サイトをクリーンな状態で再構築しようと試みており、いまだサイトは停止中の状態にある。過去半年以内に公式サイトで配布されていたgo-pear.pharは改竄されていた可能性があるとのことで、ダウンロードしたユーザーにはGitHubのリリースページを元にハッシュのチェックや、再ダウンロードを行うよう呼びかけられている(改竄対策のアナウンス)。
最近ではPHPのライブラリ周りはComposerへの移行が進んでおり、PEARを使う機会は少ないかもしれないが、該当する方は注意されたし。
バックドアが仕込まれていた模様 (スコア:0)
Mystery still surrounds hack of PHP PEAR website [zdnet.com]
ZDNetの記事によれば、改竄版のgo-pear.pharにはバックドアが仕込まれていたようです。
(ただし、動作の詳細は不明?)
公式サイト以外で配布されていたバージョンは問題ない様子。
一昔前と違って、手動でPEARをインストールする人なんてそうそう居ないだろうからよかったものの、一歩間違えれば大騒動になるとこですわ。おっかない。
Re: (スコア:0)
PHP拡張で使う奇特な人はいないだろうけど、PECLで使ってる人は多いと思うが。
Re: (スコア:0)
go-pear.phpが問題って言われてるけど、他は問題ないのかなぁ
確認したらphpインストールする時に古いマニュアル参考にしてchannel-updateしてるものがあったけど、、、
やっぱりPHPはダメだ (スコア:0)
facebookを筆頭にこんなもの使ってるサイトとか使っちゃダメ。
PHPしか使えないプログラマも使えないから仕事させちゃダメ。
Re: (スコア:0)
どうして馬鹿は「自分は馬鹿です」と辺り構わず叫び散らすんだろう?
Re: (スコア:0)
自分の胸に聞いてみな
Re: (スコア:0)
真面目な話、今でも新規サイトをPHPで作成する思考が理解できない
開発効率にしろ何にしろ他の言語・環境よりも優先するメリットなんか無いだろうに
Re:やっぱりPHPはダメだ (スコア:2)
PHPしか書けなかったらPHPで作るしかないのでは?
Re:やっぱりPHPはダメだ (スコア:1)
この場合の効率には「必要な技術力を持つ開発者を雇うためのコスト」も当然含まれるが。
※言語だけじゃなくてインフラ、つまりサーバー回りも含めての話
問題は PHP がダメなのではなくて、PHP がダメという意識高い系の技術者がいることだろう。
-- To be sincere...
Re: (スコア:0)
「人員が集めやすい」「PHP7からかなり良くなった」「OSSライブラリが豊富」
結構メリットあるわけだけど。
Re: (スコア:0)
デメリットだよ
PHPなんて使ってる志低いプログラマは要らないよね
Re: (スコア:0)
人手不足の昨今、どこも人員確保に苦労してるのに、さすが余裕のある企業は違いますね。
Re: (スコア:0)
世界のサイトの何割かはWordpressで、WordpressはPHP製だったか。
大手IT企業は社内のユースケースのために言語を開発して社外に出することがあるが、FacebookとかいうWebサイト運営会社の場合はPHPベースだったな。
私は理解できるな。
Re: (スコア:0)
マジレスすると、Facebook は PHP をだいぶ前に捨てたよ?
またGitHub絡みかあ・・ (スコア:0)
最近のGitHubは、もうずっと騒動続きだね。原因はなんとなく察するけども。。。
うちの会社では、ここ数年くらい、GitHubのアカウントひっさげて面接に挑んでくる学生さんには
「GitHubがMSに買収されたのご存知ですか」と質問してる。
えっ・・と絶句する人ならいいんだけど
知ってたとか知らなかったとか言って平然としてる人には、お祈り申し上げてるw
たがが一つのサービスが妙なステータスになるってのは、あまり良くない文化だねえ。
Re:またGitHub絡みかあ・・ (スコア:2)
学生の方も、今日日MS差別してるような会社は願い下げやろから、WinWinやなあ。w
よかったよかった。
Re: (スコア:0)
うちの会社では、ここ数年くらい、GitHubのアカウントひっさげて面接に挑んでくる学生さんには
「GitHubがMSに買収されたのご存知ですか」と質問してる。
ここ数年って、買収の話が出だの2018年6月なんだし、
それまでは引っ掛けで事実と反する嘘の質問してたんですかね。
Re: (スコア:0)
未来人なんだろう。
Re: (スコア:0)
絶句しつつもここに就職するような人がいるとしたら余程のマゾなんでしょうかね。
Re: (スコア:0)
Webサーバーの設定ミスだかセキュリティホールって雰囲気な気がするけど、その後の調査でGitHubにキーをアップしてたとかそういう原因が分かったってこと???
Re: (スコア:0)
公式サイト=GitHubとでも思ってるのかな?
まさかねハハハ。
Re: (スコア:0)
何を言ってるのか本気で分からない。
Re: (スコア:0)
GitHubなんてエンジニアにとってポートフォリオの媒体のひとつにすぎないでしょ。
そこまで目の仇にする経緯が抜け落ちてるんで詳細はわかりませんが…。
たがが一つのサービスが妙なステータスになるってのは、あまり良くない文化だねえ。
Re: (スコア:0)
お前の使ってるサーバーやアプライアンス機器、LinuxやFreeBSDが動いてると思うがMSがコミットしたコードが入ってるぞ。
今すぐOracleのSolarisクラウドに乗り換えるんだ。
Re: (スコア:0)
馬鹿な人事が居たもんだな
どうせろくな会社じゃないんだろうな
Re: (スコア:0)
こんなバカのいる会社にはいらずに済んだ学生はラッキーだな