Julkaistu
Päivitetty

Seravon WP-palvelussa seuraamme aktiivisesti tietoturvatiedotteita ja omien valvontatyökalujemme raportteja. Reagoimme välittömästi kaikkiin poikkeamiin, jotta asiakkaamme voivat luottaa siihen, että heidän palvelinympäristönsä on mahdollisimman hyvin ylläpidetty ja turvallinen.

PEAR (The PHP Extension and Application Repository) ilmoitti lauantaina 19. tammikuuta Twitterissä siihen kohdistuneesta tietomurrosta:

Alustavien tietojen mukaan projektin sivusto pear.php.net on ollut murrettuna jopa kuuden kuukauden ajan. Projekti ei toistaiseksi ole julkaissut tarkempaa tietoa murron vaikutuksista.

PEAR on PHP:lle hieman kuin esimerkiksi npmjs node:lle tai PyPi Pythonille: keskitetty kokoelma valmiita ohjelmistoja ja komponentteja ohjelmistotuotantoa varten. Tämän kaltaisissa kirjastoissa on aiemminkin esiintynyt ongelmia. Sovelluskehityksessä onkin tärkeää aina huomioida kolmannen osapuolen tuottaman koodin sekä jakelukanavien luotettavuus.

Ympäristössämme on ollut asennettuna Ubuntun tarjoama paketti php-pear, joka on tarjonnut komentorivityökalun pear. Tämän avulla on ollut mahdollista asentaa paketteja vaivatta, eikä asiakkaiden ole itse tarvinnut asentaa PHP PEAR -asennusohjelmaa. Haavoittuvuus ei suoraa koskenut tätä pakettia, mutta teimme samalla päivitetyn arvion työkalun tarpeellisuudesta ja päädyimme poistamaan sen paketeistamme vähäisen käyttöasteen takia (alle promille asiakkaista).

Seravon asiakkaiden ei tarvitse murehtia

Ympäristössämme yksi työkalu, PHP CodeSniffer, on aiemmin oletuksena asennettu PEAR:n kautta, mutta PEAR-kirjaston ongelman seurauksena siirryimme välittömästi käyttämään toista asennusmetodia. Samassa yhteydessä varmistimme vielä, että ympäristössämme ei ole missään vaiheessa ollut käytössä saastunutta versiota PEAR:n tarjoilemista paketeista.

Skannasimme myös läpi kaikki sivustot ja varmistimme, ettei asiakkaiden asentamia saastuneita PEAR-paketteja ole asennettuna. Koska teimme kaiken tämän asiakkaidemme puolesta, ei asiakkaiden tarvitse tehdä mitään tai murehtia asiasta enempää. Mitään saastuneita PEAR-paketteja ei löytynyt.

Teimme myös auditoinnin PHP CodeSniffer -asennukselle varmistuaksemme, että PEAR:n kautta asennettuun koodiin ei ole injektoitu haittakoodia, joka olisi aiemmin jäänyt valvonnaltamme huomaamatta.

Muutosvertailu alkuperäisen ja asennetun koodin välillä.

Avoin lähdekoodi parantaa tietoturvaa

Yllä oleva lähdekoodien vertailu on mahdollista ainoastaan, koska PHP PEAR (kuten kaikki muutkin käyttämämme ohjelmistot) ovat avointa lähdekoodia. Jos ohjelmisto olisi suljettu, emme pystyisi tällä tavalla tutkimaan mahdollisten takaporttien olemassaoloa. Suljetun ohjelmiston osalta meillä ei olisi ollut juurikaan mitään mahdollisuuksia havaita tai tutkia mahdollisia takaportteja. Avoimen lähdekoodin laaja käyttö on ehdottoman hyvä asia tietoturvan kannalta.

PHP PEAR poistettu vähäisen käytön ja tietoturvariskin takia

Todettuamme, että PEAR-kirjaston käyttö on äärimmäisen harvinaista (alle promille asiakkaista), päädyimme poistamaan PEAR-kirjaston kokonaan palvelinympäristöstämme. Useimmat asiakkaistamme eivät asenna omia PHP-moduuleja, koska ympäristössämme on niitä runsaasti jo valmiiksi tarjolla. Jos asiakkaat asentavat omia PHP-kirjastoja, käyttää ylivoimainen enemmistö siihen PHP Composeria, eikä PEAR:ia.

Kommentoi

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Lue lisää

Kategoriassa: Tietoturva

Vuodettu salasana keskeinen syy sivustojen tietomurtoihin

Viime aikoina on havaittu poikkeuksellisen paljon WordPress-sivustojen tietomurtoja, joiden perimmäisenä syynä on ollut sivuston käyttäjän heikko salasana. Onkin jälleen aika muistuttaa WordPress-käyttäjiä hyvän salasanahygienian noudattamisesta!

syyskuu 23, 2022

Miten suojautua palvelunestohyökkäyksiltä?

Palvelunestohyökkäyksessä sivustolle lähetetään loputon määrä samanaikaisia pyyntöjä, jolloin sivusto ei enää avaudu vierailijoille. Miten niiltä voi suojautua?

huhtikuu 12, 2022

Salasanojen suojauksia tiukennetaan

Seravo tiukentaa helmikuun aikana suojauksia asiakkaidensa WordPress-sivustoilla liittyen salasanojen, kirjautumisten ja yhteyksien suojaamiseen.

helmikuu 9, 2021

WordPress-tietokannan suojaukset Seravolla

Viime viikkoina tietoturva on ollut esillä Suomalaisissa uutisotsikoissa. Lue Seravon blogista, mitä kaikkea Seravo tekee tietokannan suojaamiseksi WordPress-sivustoillamme.

marraskuu 9, 2020

Paranna tietoturvaasi kaksivaiheisella tunnistautumisella

Tässä artikkelissa esittelen TOTP-sovelluksen käyttöä kaksivaiheiseen tunnistautumiseen ja miksi TOTP on monia muita vaihtoehtoja parempi menetelmä.

toukokuu 14, 2020

Salasanahygienia on puoli tietoturvaa

Huolehdimme Seravolla paitsi WordPress-sivustojen toimivuudesta ja suorituskyvystä, myös niiden tietoturvasta. WP-palvelussa ylläpidossa olevalle sivustolle tehdään toistuvasti automaattisia tarkistuksia haittakoodin varalta, […]

toukokuu 7, 2020