git.php.net Sicherheitsproblem [SOLVED]

[Tobi_BB21]

Gibt es diesbezüglich Handlungsbedarf?

https://externals.io/message/113838

[Tobi]

Was willst du damit fragen?
KeyHelp wird nicht bei Github gehostet.

[Tobi_BB21]

Meine Frage war eher ob Keyhelp auf das Repo zugreift und von dort php aktualisiert. Aber offenbar nicht, dann ist alles gut.

[Tobi]

Alex kompiliert die PHP Versionen selbst.

[mhagge]

Alex kompiliert die PHP Versionen selbst.

Naja, das kompilieren wird - möglicherweise - aus diesen Quellen erfolgen, insofern ist die Frage nicht ganz unberechtigt (zumal es ein Keyhelp-PHP-Update kürzlich gegeben hat)

[l_fish]

Laut Beschreibung dort ist der kompromittierte Code in keinem Release gelandet und Alex wird sicherlich nur Releases als Quelle für die Kompilierung nutzen.

Grüße,
Lars

[Tobi]

Alex kompiliert die PHP Versionen selbst.

Naja, das kompilieren wird - möglicherweise - aus diesen Quellen erfolgen, insofern ist die Frage nicht ganz unberechtigt (zumal es ein Keyhelp-PHP-Update kürzlich gegeben hat)

Mag ja sein.
Aber dann wüsste er auch um die Kompromitierung und hätte schon längst ein Update bereit gestellt.

Ich wollte mit meinem vorigen Posting nur ausdrücken, dass KeyHelp nicht einfach "irgendwelche" PHP Versionen von "irgendwo" und insbesondere nicht von github installiert. Es handelt sich immer um expertengeprüfte Qualitätssoftware made in Thüringen

[mhagge]

Da sind wir uns einig

[Tobi]

Definitv

[l_fish]

Und um noch eines klarzustellen: Github ist hier gar nicht das Problem, im Gegenteil. Kompromittiert wurde die von den PHP-Entwicklern selbst betriebene git-Plattform (bestehend aus gitolite und einem eigens entwickelten Authentifizierungssystem namens "karma system"). Die PHP-Entwickler wollen nun die bisher nur als Mirror betriebenen git-Repositories bei github für die Entwicklung nutzen, um nicht mehr selbst eine Git-Plattform betreiben und abdichten zu müssen, sondern dies dem darauf spezialisierten Dienst github überlassen

[Alexander]

Zur Beruhigung: Die KeyHelp-eigenen Interpreter sind von genanntem Problem nicht betroffen .

[Tobi]

Und um noch eines klarzustellen: Github ist hier gar nicht das Problem, im Gegenteil. Kompromittiert wurde die von den PHP-Entwicklern selbst betriebene git-Plattform (bestehend aus gitolite und einem eigens entwickelten Authentifizierungssystem namens "karma system"). Die PHP-Entwickler wollen nun die bisher nur als Mirror betriebenen git-Repositories bei github für die Entwicklung nutzen, um nicht mehr selbst eine Git-Plattform betreiben und abdichten zu müssen, sondern dies dem darauf spezialisierten Dienst github überlassen

Danke, das habe ich heute auch nochmal nachgelesen.

Anscheinend wurde der Hack auch entdeckt bevor er deployed wurde.

DOOManiac wrote:
To clarify, were these changes ever put "into production" or were the commits caught during a review?

Antwort:
The commits made it into their main/master branch. They weren't packaged up into a release, but they made it past the review stage.

https://arstechnica.com/gadgets/2021/03 ... t=39778748

[Tobi_BB21]

Vielen Dank!