git.php.net Sicherheitsproblem  [SOLVED]

For topics beyond KeyHelp. / Für Themen jenseits von KeyHelp.
Post Reply
User avatar
Tobi_BB21
Posts: 110
Joined: Thu 17. May 2018, 17:05

git.php.net Sicherheitsproblem

Post by Tobi_BB21 »

Gibt es diesbezüglich Handlungsbedarf?

https://externals.io/message/113838
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Re: git.php.net Sicherheitsproblem

Post by Tobi »

Was willst du damit fragen?
KeyHelp wird nicht bei Github gehostet.
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
User avatar
Tobi_BB21
Posts: 110
Joined: Thu 17. May 2018, 17:05

Re: git.php.net Sicherheitsproblem

Post by Tobi_BB21 »

Meine Frage war eher ob Keyhelp auf das Repo zugreift und von dort php aktualisiert. Aber offenbar nicht, dann ist alles gut.
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Re: git.php.net Sicherheitsproblem

Post by Tobi »

Alex kompiliert die PHP Versionen selbst.
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
User avatar
mhagge
Community Moderator
Posts: 487
Joined: Wed 8. Aug 2018, 15:19

Re: git.php.net Sicherheitsproblem

Post by mhagge »

Tobi wrote: Tue 30. Mar 2021, 18:02 Alex kompiliert die PHP Versionen selbst.
Naja, das kompilieren wird - möglicherweise - aus diesen Quellen erfolgen, insofern ist die Frage nicht ganz unberechtigt (zumal es ein Keyhelp-PHP-Update kürzlich gegeben hat)
l_fish
Posts: 144
Joined: Tue 15. Aug 2017, 11:49

Re: git.php.net Sicherheitsproblem

Post by l_fish »

Laut Beschreibung dort ist der kompromittierte Code in keinem Release gelandet und Alex wird sicherlich nur Releases als Quelle für die Kompilierung nutzen.

Grüße,
Lars
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Re: git.php.net Sicherheitsproblem

Post by Tobi »

mhagge wrote: Tue 30. Mar 2021, 19:13
Tobi wrote: Tue 30. Mar 2021, 18:02 Alex kompiliert die PHP Versionen selbst.
Naja, das kompilieren wird - möglicherweise - aus diesen Quellen erfolgen, insofern ist die Frage nicht ganz unberechtigt (zumal es ein Keyhelp-PHP-Update kürzlich gegeben hat)
Mag ja sein.
Aber dann wüsste er auch um die Kompromitierung und hätte schon längst ein Update bereit gestellt.

Ich wollte mit meinem vorigen Posting nur ausdrücken, dass KeyHelp nicht einfach "irgendwelche" PHP Versionen von "irgendwo" und insbesondere nicht von github installiert. Es handelt sich immer um expertengeprüfte Qualitätssoftware made in Thüringen 😊
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
User avatar
mhagge
Community Moderator
Posts: 487
Joined: Wed 8. Aug 2018, 15:19

Re: git.php.net Sicherheitsproblem

Post by mhagge »

Da sind wir uns einig :!: :D
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Re: git.php.net Sicherheitsproblem

Post by Tobi »

Definitv :lol:
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
l_fish
Posts: 144
Joined: Tue 15. Aug 2017, 11:49

Re: git.php.net Sicherheitsproblem

Post by l_fish »

Und um noch eines klarzustellen: Github ist hier gar nicht das Problem, im Gegenteil. Kompromittiert wurde die von den PHP-Entwicklern selbst betriebene git-Plattform (bestehend aus gitolite und einem eigens entwickelten Authentifizierungssystem namens "karma system"). Die PHP-Entwickler wollen nun die bisher nur als Mirror betriebenen git-Repositories bei github für die Entwicklung nutzen, um nicht mehr selbst eine Git-Plattform betreiben und abdichten zu müssen, sondern dies dem darauf spezialisierten Dienst github überlassen :)
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: git.php.net Sicherheitsproblem

Post by Alexander »

Zur Beruhigung: Die KeyHelp-eigenen Interpreter sind von genanntem Problem nicht betroffen ;).
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Re: git.php.net Sicherheitsproblem

Post by Tobi »

l_fish wrote: Tue 30. Mar 2021, 22:19 Und um noch eines klarzustellen: Github ist hier gar nicht das Problem, im Gegenteil. Kompromittiert wurde die von den PHP-Entwicklern selbst betriebene git-Plattform (bestehend aus gitolite und einem eigens entwickelten Authentifizierungssystem namens "karma system"). Die PHP-Entwickler wollen nun die bisher nur als Mirror betriebenen git-Repositories bei github für die Entwicklung nutzen, um nicht mehr selbst eine Git-Plattform betreiben und abdichten zu müssen, sondern dies dem darauf spezialisierten Dienst github überlassen :)

Danke, das habe ich heute auch nochmal nachgelesen.

Anscheinend wurde der Hack auch entdeckt bevor er deployed wurde.
DOOManiac wrote:
To clarify, were these changes ever put "into production" or were the commits caught during a review?

Antwort:
The commits made it into their main/master branch. They weren't packaged up into a release, but they made it past the review stage.
https://arstechnica.com/gadgets/2021/03 ... t=39778748
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
User avatar
Tobi_BB21
Posts: 110
Joined: Thu 17. May 2018, 17:05

Re: git.php.net Sicherheitsproblem  [SOLVED]

Post by Tobi_BB21 »

Vielen Dank!
Post Reply