Злоумышленники получили доступ к web-серверу PEAR и внесли изменения в файл go-pear.phar.
Официальный репозиторий пакетов PEAR (PHP Extension and Application Repository) подвергся взлому. Около полугода назад неизвестные получили несанкционированный доступ к web-серверу PEAR и внесли изменения в файл go-pear.phar, содержащий установочный комплект с пакетным менеджером go-pear.
Системы пользователей PHP, в течение последних шести месяцев установивших go-pear из архива phar, могут быть скомпрометированы. Поскольку манипуляции с файлом go-pear.phar проводились только на web-сервере PEAR, пользователи могут проверить наличие вредоносного ПО на своих системах, сравнив хэш своего архива с легитимной версией в официальном репозитории на GitHub. MD5-хэш известного вредоносного варианта – 1e26d9dd3110af79a9595f1a77a82de7.
В связи со взломом сайт PEAR был временно отключен. Подробности об инциденте будут опубликованы позднее в официальном блоге проекта, когда сайт возобновит свою работу.
Напомним , недавно в системе управления контентом Drupal были исправлены две уязвимости, связанные с PHP. Первая из них существует из-за того, как встроенная в PHP обертка потока phar обрабатывает недоверенные унификаторы URI phar://, а вторая связана с библиотекой PEAR.
PEAR – библиотека классов языка программирования PHP с открытым исходным кодом. В стандартную поставку PHP входит система управления классами PEAR, которая позволяет легко скачивать и обновлять их.
Ладно, не доказали. Но мы работаем над этим