パスワードを忘れた? アカウント作成
15245937 story
PHP

PHP、不正なコミット発生を受けてリポジトリをGitHubへ移行 20

ストーリー by nagazou
移行 部門より
headless 曰く、

PHPメインテナーのNikita Popov氏は3月28日、独自にgitインフラストラクチャーを維持するのは不要なセキュリティリスクになるとして、git.php.netを廃止してこれまでミラーだったGitHubのリポジトリを正規のリポジトリにする計画を発表した(PHPのニュース記事The Registerの記事)。

GitHubへの移行のきっかけとなったのは、3月28日にPHPクリエイターのRasmus Lerdorf氏とPopov氏の名前で不正なコミットが行われたことだ。不正なコミットに含まれるのは、User-Agent HTTPヘッダーの文字列が「zerodium」から始まっている場合にヘッダー内のコードを実行するコード。まずLerdorf氏の名前でコミットされ、Popov氏がコミットを取り消したが、Popov氏の名前で取り消しが取り消されている。まだ攻撃の全容は明らかになっていないが、個別のアカウントが侵害されたのではなく、git.php.netのサーバーが侵害されたとしか考えられないという。そのため、調査を続ける一方でGitHubへの移行を決めたとのこと。

GitHubに移行することで、リポジトリへの書き込みアクセスを行うにはphp organization(組織アカウント)のメンバーに含まれるGitHubアカウントが必要となる。まだ組織アカウントのメンバーになっていない場合や、可能なはずのアクセスができない場合にはPopov氏に連絡してほしいとのこと。なお、組織アカウントのメンバーになるには2要素認証を有効にする必要があるとのことだ。

  • by Anonymous Coward on 2021年03月31日 16時35分 (#4004389)

    攻撃者はなんで2つのアカウントを使ったんだろうな。一つのアカウントならパスワード漏れが疑われるだけだっただろうに。

    ここに返信
  • こないだのGitHub経由での流出事件 [security.srad.jp]では、セキュリティリスクだ怪しからんGitHub使用禁止みたいな話も結構合ったが(最終的にどうなったのか知らんけど)、そういう会社はこういう自分達でGitサーバーを運用することのリスクまで考えていたのでしょうかね?
    ちゃんと穴を塞いで定期的にセキュリティパッチ当ててバックアップ取って…ということが出来てるとこがどれだけあるのか疑問。

    ここに返信
    • 全世界に対して公衆gitサーバを運用することと、
      自社社員またはそれに準ずる信用できるユーザー相手にプライベートgitサーバを運用することの、
      セキュリティリスクは単純比較できないでしょ。

      • by Anonymous Coward

        スケールもドメインも違う事象でもって
        我が意を得たりとばかりに一事万事で騒ぐ輩は
        ここで騒ぐのが目的なだけだから言っても詮無いでしょ

    • by Anonymous Coward

      その意味のオンプレのGitサーバーって普通プライベートネットワークに置くものじゃない?
      だとすればパブリックに置くものとはセキュリティレベルの思想が違うと思うけど。

      • by Anonymous Coward

        つってもプライベートに置くもんだって
        セキュリティパッチにバックアップくらいの手間はかけないとなぁ
        その程度すらしてないとこも多いし、現実には滅多に問題にもならないだろうが、
        杜撰な運用してると言わざるをえない

        • by Anonymous Coward

          まともなディストリ使っていたら、脳死で定期更新をするだけでセキュリティパッチなんて意識する必要もないだろ。
          そしてバックアップもgitに限らず当たり前の運用過ぎて、いったいどんな環境を想定しているのかと。

        • by Anonymous Coward

          話をすり替えたうえに妄想統計で論点先取
          匿名にもかかわらず退くことがそこまで恥なのか

      • by Anonymous Coward

        内側と外側って分けるのは時代遅れ。
        今は、攻撃者に内側に侵入されている前提で、
        内側だろうが外側だろうが同等のセキュリティレベルを担保するっていう考え方がトレンド。
        ゼロトラストって聞かない?

        • by Anonymous Coward

          #4004417 のようなレスが欲しいものだな。

        • by Anonymous Coward

          基本方針はそれでいいが、実際の侵入リスクは内側と外側では雲泥の差だよね。
          セキュリティはコストとのトレードオフなので、何でもフラットに扱おうとするのはバランスが悪い。

        • by Anonymous Coward

          自分しかアクセスできない開発端末内の仮想ゲストも公開サーバー並にガチガチに固めるの?
          そんなことは誰もやってないでしょ。
          侵入前提で考えるのは良い考え方だけど、そのリスクの程度の見積りを放棄するのは愚作。

        • by Anonymous Coward

          ゼロトラストなんて、ベンダーの営業か学生さんぐらいしか言わんだろ。

        • by Anonymous Coward

          俺の知ってるゼロトラストなシステムは構築中のせいか同じ認証が複数回必要で
          システムが俺じゃなく己自身を信用してないんじゃないかって思える

    • by Anonymous Coward

      今こそVSSの復権を!

    • by Anonymous Coward

      自社でgitサーバ運用する場合、オープンアクセスの一般gitサーバじゃなくて、クローズドなgitサーバで可能じゃん
      gitサーバ自体にアクセスできる人を限定することで、セキュリティリスクを大きく減らせる

      社外からはVPN経由でしかアクセスできないとか、ネットワーク的な防護措置をとればいい

    • by Anonymous Coward

      社内開発とサーバーを一般公開せざるを得ない(バザールモデル)OSSとでは話が変わってくるのでは

    • by Anonymous Coward

      何かあっても外にバレずに内側で無かった事にする為に選ぶんでは?

    • by Anonymous Coward

      こういう風にいつコード改竄と紛失するか判らないのに、Github使ってる会社なんてバカだろ
      https://opensource.srad.jp/story/20/10/29/194238/ [opensource.srad.jp]

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...