Tietomurto PHP:n pakettikirjastossa (PEAR)

Kirjoitettu: 22.1.2019 Päivitetty: 23.1.2019

Seravon WP-palvelussa seuraamme aktiivisesti tietoturvatiedotteita ja omien valvontatyökalujemme raportteja. Reagoimme välittömästi kaikkiin poikkeamiin, jotta asiakkaamme voivat luottaa siihen, että heidän palvelinympäristönsä on mahdollisimman hyvin ylläpidetty ja turvallinen.

PEAR (The PHP Extension and Application Repository) ilmoitti lauantaina 19. tammikuuta Twitterissä siihen kohdistuneesta tietomurrosta:

Alustavien tietojen mukaan projektin sivusto pear.php.net on ollut murrettuna jopa kuuden kuukauden ajan. Projekti ei toistaiseksi ole julkaissut tarkempaa tietoa murron vaikutuksista.

PEAR on PHP:lle hieman kuin esimerkiksi npmjs node:lle tai PyPi Pythonille: keskitetty kokoelma valmiita ohjelmistoja ja komponentteja ohjelmistotuotantoa varten. Tämän kaltaisissa kirjastoissa on aiemminkin esiintynyt ongelmia. Sovelluskehityksessä onkin tärkeää aina huomioida kolmannen osapuolen tuottaman koodin sekä jakelukanavien luotettavuus.

Ympäristössämme on ollut asennettuna Ubuntun tarjoama paketti php-pear, joka on tarjonnut komentorivityökalun pear. Tämän avulla on ollut mahdollista asentaa paketteja vaivatta, eikä asiakkaiden ole itse tarvinnut asentaa PHP PEAR -asennusohjelmaa. Haavoittuvuus ei suoraa koskenut tätä pakettia, mutta teimme samalla päivitetyn arvion työkalun tarpeellisuudesta ja päädyimme poistamaan sen paketeistamme vähäisen käyttöasteen takia (alle promille asiakkaista).

Seravon asiakkaiden ei tarvitse murehtia

Ympäristössämme yksi työkalu, PHP CodeSniffer, on aiemmin oletuksena asennettu PEAR:n kautta, mutta PEAR-kirjaston ongelman seurauksena siirryimme välittömästi käyttämään toista asennusmetodia. Samassa yhteydessä varmistimme vielä, että ympäristössämme ei ole missään vaiheessa ollut käytössä saastunutta versiota PEAR:n tarjoilemista paketeista.

Skannasimme myös läpi kaikki sivustot ja varmistimme, ettei asiakkaiden asentamia saastuneita PEAR-paketteja ole asennettuna. Koska teimme kaiken tämän asiakkaidemme puolesta, ei asiakkaiden tarvitse tehdä mitään tai murehtia asiasta enempää. Mitään saastuneita PEAR-paketteja ei löytynyt.

Teimme myös auditoinnin PHP CodeSniffer -asennukselle varmistuaksemme, että PEAR:n kautta asennettuun koodiin ei ole injektoitu haittakoodia, joka olisi aiemmin jäänyt valvonnaltamme huomaamatta.

Muutosvertailu alkuperäisen ja asennetun koodin välillä.

Avoin lähdekoodi parantaa tietoturvaa

Yllä oleva lähdekoodien vertailu on mahdollista ainoastaan, koska PHP PEAR (kuten kaikki muutkin käyttämämme ohjelmistot) ovat avointa lähdekoodia. Jos ohjelmisto olisi suljettu, emme pystyisi tällä tavalla tutkimaan mahdollisten takaporttien olemassaoloa. Suljetun ohjelmiston osalta meillä ei olisi ollut juurikaan mitään mahdollisuuksia havaita tai tutkia mahdollisia takaportteja. Avoimen lähdekoodin laaja käyttö on ehdottoman hyvä asia tietoturvan kannalta.

PHP PEAR poistettu vähäisen käytön ja tietoturvariskin takia

Todettuamme, että PEAR-kirjaston käyttö on äärimmäisen harvinaista (alle promille asiakkaista), päädyimme poistamaan PEAR-kirjaston kokonaan palvelinympäristöstämme. Useimmat asiakkaistamme eivät asenna omia PHP-moduuleja, koska ympäristössämme on niitä runsaasti jo valmiiksi tarjolla. Jos asiakkaat asentavat omia PHP-kirjastoja, käyttää ylivoimainen enemmistö siihen PHP Composeria, eikä PEAR:ia.

Kommentoi

Otto Kekäläinen

Hae WP-palvelu.fi:stä

Kategoriat

Lue myös

Ilmoittaudu kehityskeskiviikkoon 2019!

24.4.2019

Mielipiteesi on meille tärkeä! Järjestämme kumppaneillemme ja asiakkaillemme kehityskeskiviikon 15.5.2019 klo 12 alkaen. Tapahtuman tarkoituksena on saada arvokasta palautetta Seravon […]

WooCommercen päivitystestaus

15.4.2019

Kerroimme alkuvuodesta miten Seravon testausjärjestelmä tulee uudistumaan kevään kuluessa. Vanha testausjärjestelmämme on nyt ajettu vaiheittain alas ja kaikki päivitystemme yhteydessä […]

Järjestäjänä WordCamp Nordicissa

10.4.2019

Tämän vuoden maaliskuussa järjestettiin historian ensimmäinen yhteispohjoismainen WordPress-konferenssi WordCamp Nordic. Kyseessä oli myös suurin ja kansainvälisin Suomessa koskaan järjestetty WordCamp, […]