KeyHelp Community

Gibt es diesbezüglich Handlungsbedarf?

https://externals.io/message/113838

Was willst du damit fragen?
KeyHelp wird nicht bei Github gehostet.

Meine Frage war eher ob Keyhelp auf das Repo zugreift und von dort php aktualisiert. Aber offenbar nicht, dann ist alles gut.

Alex kompiliert die PHP Versionen selbst.

Tobi wrote: ↑Tue 30. Mar 2021, 18:02 Alex kompiliert die PHP Versionen selbst.

Naja, das kompilieren wird - möglicherweise - aus diesen Quellen erfolgen, insofern ist die Frage nicht ganz unberechtigt (zumal es ein Keyhelp-PHP-Update kürzlich gegeben hat)

Laut Beschreibung dort ist der kompromittierte Code in keinem Release gelandet und Alex wird sicherlich nur Releases als Quelle für die Kompilierung nutzen.

Grüße,
Lars

mhagge wrote: ↑Tue 30. Mar 2021, 19:13
Tobi wrote: ↑Tue 30. Mar 2021, 18:02 Alex kompiliert die PHP Versionen selbst.
Naja, das kompilieren wird - möglicherweise - aus diesen Quellen erfolgen, insofern ist die Frage nicht ganz unberechtigt (zumal es ein Keyhelp-PHP-Update kürzlich gegeben hat)

Mag ja sein.
Aber dann wüsste er auch um die Kompromitierung und hätte schon längst ein Update bereit gestellt.

Ich wollte mit meinem vorigen Posting nur ausdrücken, dass KeyHelp nicht einfach "irgendwelche" PHP Versionen von "irgendwo" und insbesondere nicht von github installiert. Es handelt sich immer um expertengeprüfte Qualitätssoftware made in Thüringen

Da sind wir uns einig

Definitv

Und um noch eines klarzustellen: Github ist hier gar nicht das Problem, im Gegenteil. Kompromittiert wurde die von den PHP-Entwicklern selbst betriebene git-Plattform (bestehend aus gitolite und einem eigens entwickelten Authentifizierungssystem namens "karma system"). Die PHP-Entwickler wollen nun die bisher nur als Mirror betriebenen git-Repositories bei github für die Entwicklung nutzen, um nicht mehr selbst eine Git-Plattform betreiben und abdichten zu müssen, sondern dies dem darauf spezialisierten Dienst github überlassen

Zur Beruhigung: Die KeyHelp-eigenen Interpreter sind von genanntem Problem nicht betroffen

.

l_fish wrote: ↑Tue 30. Mar 2021, 22:19 Und um noch eines klarzustellen: Github ist hier gar nicht das Problem, im Gegenteil. Kompromittiert wurde die von den PHP-Entwicklern selbst betriebene git-Plattform (bestehend aus gitolite und einem eigens entwickelten Authentifizierungssystem namens "karma system"). Die PHP-Entwickler wollen nun die bisher nur als Mirror betriebenen git-Repositories bei github für die Entwicklung nutzen, um nicht mehr selbst eine Git-Plattform betreiben und abdichten zu müssen, sondern dies dem darauf spezialisierten Dienst github überlassen

Danke, das habe ich heute auch nochmal nachgelesen.

Anscheinend wurde der Hack auch entdeckt bevor er deployed wurde.

DOOManiac wrote:
To clarify, were these changes ever put "into production" or were the commits caught during a review?

Antwort:
The commits made it into their main/master branch. They weren't packaged up into a release, but they made it past the review stage.

https://arstechnica.com/gadgets/2021/03 ... t=39778748

Vielen Dank!

KeyHelp Community

git.php.net Sicherheitsproblem

git.php.net Sicherheitsproblem

Re: git.php.net Sicherheitsproblem

Re: git.php.net Sicherheitsproblem

Re: git.php.net Sicherheitsproblem

Re: git.php.net Sicherheitsproblem

Re: git.php.net Sicherheitsproblem

Re: git.php.net Sicherheitsproblem

Re: git.php.net Sicherheitsproblem

Re: git.php.net Sicherheitsproblem

Re: git.php.net Sicherheitsproblem

Re: git.php.net Sicherheitsproblem

Re: git.php.net Sicherheitsproblem

Re: git.php.net Sicherheitsproblem [SOLVED]