Discussion :

[Thes32]

Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.

En faite ce n'est pas vraiment le langage le problème, c'est plutôt le système...

[pc.bertineau]

Intéressant le post de Hannes Magnusson qui explique qu'il est difficile de passer inaperçu à faire des commit sur le repo officiel.

Néanmoins le risque engendré par une faille d'une appli annexe (le wiki) n'aurait pas dû conduire à une intrusion sur le SVN qui reste la référence du langage et de son développement.
Toujours cette même rengaine sur la sécurité : le niveau d'un système de sécurité est celui du plus faible de ses maillons...

[ProgVal]

J'aime beaucoup le titre :

code source du langage

Cette affaire a été mise en lumière par la firme de sécurité française Vupen Security qui soupçonne, dans une déclaration à la presse, un hacker chinois d'être à l'origine de cette attaque.

Comment peuvent-ils savoir qu'il s'agit d'un hackeur sans savoir qui c'est ?
Idem pour sa nationalité, ça ne veut rien dire du temps ; une simple machine infectée, et ça fait un magnifique "proxy" (dans le sens large du terme)

[jetrokz]

Moi je trouve vraiment ca bizarre ce genre de chose.
Justement quand PHP perd un peu de vitesse, qu'il commence à être un peu moins à la mode (pour les jeunes développeurs) ....
Genre "PHP c'est fini, vous voyez en plus il est vérolé de partout,.... changer de langage".
C'est vraiment louche cette histoire, et bien sûr ca vient forcement de la chine....

[edenprog]

Je dis ça comme ça.

Mais le hacker aurait pu s'infiltrer pendant la maintenance du site.

[ZouBi]

Quelle était le genre de faille sur DokuWiki?

[SurferIX]

J'espère que cela fera réfléchir certaine personnes quand ils se lancent dans un sujet du genre Windows vs Linux en sortant des arguments que Linux = sécurité. L'OS aide à la sécurité, l'homme sécurise. Si ce dernier ne sait pas prendre son rôle en mains, cela ne change pas grand chose. Néanmoins, personne n'est parfait.

Ce qui est écrit porte à confusion : je cite :
"une autre faille sur le système Linux sous-jacent, permettant l'élévation des privilèges"

Je suis presque sûr que ce n'est pas une faille sur le système Linux, à proprement parler, mais un programme autour plutôt mal construit qu'une personne, à un moment donné, s'est dit "bon je n'arrive à faire ça qu'en root, autant donner l'accès root au programme", comme par exemple c'est le cas pour le serveur HTTPD lors de la première phase d'initialisation (j'insiste bien sur la "première", parce qu'après, dès la seconde phase, tout tourne sous le n'om d'utilisateur/groupe "apache/apache" (à adapter selon de type de distribution)).
C'est ce qui est écrit qui peut porter à confusion. Attention donc à imaginer plusieurs interprétations possibles de ce genre d'affirmation.

C'est exactement cette question que je me pose. Je vois pas l'intérêt de s'y attaquer. A qui cela pourrait profiter. Il se pourrait que cela soit lié à un conflit interne comme cela est déjà arrivé.
Pour ceux qui connaisse, les fans de flight simulator ont un site ou il y a toute les sources concernant les Add-on de ce jeux. Ils stockent des milliers teras de données. En 2009 ou 2010 une grosse partie des sources avaient disparu à cause d'un conflit interne. Un responsable a piraté le site pour pouvoir la copier avant de partir.
Edit : Le site en question est avsim.com

Tiens je ne savais pas que c'était un des responsables même qui l'avait piraté

[riete]

Bien joué Vupen Security, ca c'est du bon boulot et surtout de la promo top niveau.
En tous cas ce problème démontre que PHP suscite les convoitises, même si c'est ennuyeux pour tous ceux qui se croyaient à l'abri. En tous cas je tire mon chapeau à toutes celles et ceux qui oeuvrent pour détecter de telles attaques et en plus de les trouver. Chercher c'est bien, trouver c'est mieux

[leglaude51]

Cela fait bientôt 30 ans que je suis dans l'informatique, donc j'en ai déjà vu!
En 1993, une annonce était parue partout dans les médias, comme quoi tel jour à telle heure, un virus allait s'attaquer à tous les ordinateurs! Le nom de ce virus était "michelange".
Que c'est-il passé le jour et à l'heure dite? Rien! Par contre, on a vu une énorme hausse des ventes d'antivirus!

Donc, cette information avait été fabriquée de toute pièce par les fabricants d'antivirus!

Qui nous dit que le piratage du code source de PHP, n'est pas du même genre?
L'avenir nous le dira...

LG

[ratomms]

Qui nous dit que le piratage du code source de PHP, n'est pas du même genre?
L'avenir nous le dira...

LG

selon vous, cette situation peut être un coup monté de la part du PHP.net lui-même?

[Flaburgan]

Pourquoi de php ? Plutôt de la firme française qui a découvert le problème. Je vois pas ce que PHP.Net aurait à gagner...

[rkalonji]

La plus grande préoccupation est l intention de vouloir modifier le code source .
Heureusement qu il existe depuis la version 5.3.5 un petit code interne qui permet l auto audit et il n a détecté aucune anomalie.

[stealth35]

Heureusement qu il existe depuis la version 5.3.5 un petit code interne qui permet l auto audit et il n a détecté aucune anomalie.

t'as un lien de ça ?

[eomer212]

php.net n'a pas été piraté, quelqu'un s'est servi du compte d'un des developpeurs pour faire un commit rajoutant un remerciement à un certain "Wolegequ Gelivable" . c'est meme pas le code qui a été tenté d'être touché.
et la, on touche meme pas l'exploit technique, ca peut tres bien etre du hack social.
ce n'est donc pas l'infrastructure securitaire du site ou de svn qui est en jeu, mais plutot la politique de securité des comptes des developpeurs et contributeurs au projet.

en tout cas, je suis trés impressionné de voir la reactivité et le degré de surveillance des personnes participants à ce projet, et ca me renforce d'autant plus dans la conviction que le code doit etre ouvert et connu de tous.
pas comme chez microsoft ou ils n'ont JAMAIS étés capable de corriger le bug du controleur du lecteur de disquette.(un seul exemple suffit, sinon on en sortira jamais. bref.

corriger des failles et les éliminer progressivmeent au vu et au su de tout le monde, c'est toujours mieux que de laisser des goufres cachés exister sous nos pieds.

vive php, bravo les gars,et les filles, continuez comme ca!