Or, le code source de PHP compte plusieurs centaines de milliers de lignes, et de plus, il faut non seulement vérifier l'intégrité de la branche 5.3, mais aussi celle du trunk.
Et malgré l'utilisation d'outils permettant d'automatiser en grande partie l'analyse, cela a pris du temps.
En effet, ces outils ne font que le plus gros du travail, et ne remplace nullement une analyse humaine, beaucoup plus fiable mais qui doit en contre-partie être réalisée pratiquement ligne par ligne.
Et aujourd'hui, la majeure partie de l'audit a été réalisé, et il est malheureusement confirmé que le code source de la branche 5.3 de PHP a bien été corrompu.
Plusieurs portes dérobées ont été installées au sein du code, pour permettre notamment de prendre le contrôle d'un serveur à distance via le passage d'arguments ayant des valeurs très spécifiques dans une URL.
Très élaborées, ces portes seraient passées inaperçues sans la connaissance parfaite qu'a Dieu Rasmus Lerdorf du code source du langage.
La situation est donc grave, mais il y a cependant une très bonne nouvelle qui permet de la relativiser.
En effet, le trunk a été épargné par les pirates, certainement parce qu'ils souhaitaient pouvoir bénéficier des fruits de leur travail le plus rapidement possible.
En conséquence, afin de régler le problème au plus vite, les contributeurs ont décidé d'avancer la sortie de la prochaine version majeure de PHP.
PHP 5.4 est donc disponible au téléchargement depuis quelques minutes et il est fortement recommandé de migrer vers cette version tout serveur utilisant PHP 5.3.6 dans les meilleurs délais.
Évidemment, les contributeurs sont très mal à l'aise face à cette situation, qui pose la question de la fiabilité du modèle open-source face à la malveillance.
Il est donc fortement possible, au vue des derniers échanges sur internals@, la liste de diffusion des contributeurs, que le code source de PHP ne soit plus publique à très court-terme, et que Zend reprenne en main intégralement le développement du langage sur un modèle closed-source afin d'éviter ce genre de problèmes à l'avenir.
Ce poisson d'avril est maintenant terminé, vous pouvez reprendre une activité normale (mais je vous conseille de lire les commentaires, car certains sont très gratinés).
64 réactions
1 De Marc - 01/04/2011, 08:55
La branche 5.3 corrompu ça veut dire 5.3.3 etc.? Ou à partir de 5.3.6 ou 5.3.5 ?
2 De mageekguy - 01/04/2011, 09:08
@Marc : Uniquement 5.3.6, pour le moment...
3 De Pierrick - 01/04/2011, 09:12
Je vais mettre à jour mes serveurs ! %p lol
>((((°>
4 De Mikael Randy - 01/04/2011, 09:16
1er avril POWAAAA !!!!
5 De benjamin - 01/04/2011, 09:28
Il va y avoir un BC break
6 De NIcolas - 01/04/2011, 09:29
j'aime bien le principe du closed-source
7 De Raphaël - 01/04/2011, 09:32
Trop gros, passera pas, surtout le "Zend reprenne en main intégralement le développement du langage sur un modèle closed-source.". Ahah...
8 De arnolem - 01/04/2011, 09:34
J'ai failli y croire
9 De Cyril PIERRE de GEYER - 01/04/2011, 09:34
Il parait que Zend parle de faire sécession, j'espère qu'on va en sortir vite.
10 De N. - 01/04/2011, 09:43
Quelles sont tes sources?
11 De foxmask - 01/04/2011, 09:45
parait que FaceBook lache hiphop-php pour sf2 et rachete sensio-labs.
12 De mageekguy - 01/04/2011, 09:46
@N. : J'ai de très bon contact au sein de la communauté des contributeurs.
13 De Gonzo - 01/04/2011, 09:51
Poisson d'Avril !!!
14 De Martin - Webaaz - 01/04/2011, 10:07
Mince alors c'est super grave... Manquerait plus que les pirates profitent de ces backdoors pour faire du phishing...
Enfin c'est bon grâce à ton lien j'ai pu mettre à jour en 5.4 !
15 De jl - 01/04/2011, 10:11
poisson d'avril?
16 De webozor - 01/04/2011, 10:11
Heureusement le lien vers php 5.4 m'a fait tiquer...
J'ai testé un peu cette version et je ne reconnais plus php ^^
17 De valid - 01/04/2011, 10:31
La pêche a été bonne ? :D
18 De JEDI_BC - 01/04/2011, 10:32
Je suis sur que ces pirates ont fait ça en représailles de l'abandon de l’Unicode :-p
19 De vince - 01/04/2011, 10:41
><{{{*>
20 De Laurentj - 01/04/2011, 10:41
Ils ont même réussi à corrompre le dépôt svn, de manière à cacher leurs modifications ? sont forts dis donc ces pirates.
21 De mageekguy - 01/04/2011, 10:53
@Laurentj : Vu qu'ils ont les identifiants des développeurs, ils n'ont rien à masquer, puisqu'ils peuvent commiter en se faisant passer pour un développeur .
22 De jeff58 - 01/04/2011, 10:55
poisson d'avril ? ou alors malheureux hasard
23 De Hugo Hamon - 01/04/2011, 11:01
Ce que tu as oublié de préciser c'est que le plus jeune de ces hackers n'est agé que de 11 ans
24 De Lasselin - 01/04/2011, 11:05
Grave .... mais quel jour sommes nous ?
++
25 De Yacodo - 01/04/2011, 11:07
Ressemble étrangement à la version fictive de PHP6 imaginé par Stéphane Planquart ce PHP5.4... Encore un coup des pirates ?
@mageekguy : Personne ne pense à regarder les modifications effectués par les autres ?
Quelqu'un l'aurait surement remarqué, non ?
26 De Stéphane - 01/04/2011, 11:08
Par contre avec la 5.4 ça rame sévère !?
27 De Paul - 01/04/2011, 11:09
+1 php5.4 saved my life.
Si il y avait eu un fork de PHP ca ne serait pas arrivé :o
28 De Nicolas Laforêt - 01/04/2011, 11:20
"Il est donc fortement possible, au vue des derniers échanges sur internals@, que le code source de PHP ne soit plus publique à très court-terme, et que Zend reprenne en main intégralement le développement du langage sur un modèle closed-source afin d'éviter ce genre de problèmes à l'avenir."
Quels en seraient les conséquences ?
29 De Nicolas Laforêt - 01/04/2011, 11:24
(en dehors d'un 1er avril, cette question à quand même de l’intérêt je trouve ^^)
30 De Moosh - 01/04/2011, 11:36
dommage de devoir publier cela un 1er avril.
31 De MathRobin - 01/04/2011, 11:47
Bien joué, j'ai marché et pourtant, j'avais bien vu que ton lien "PHP 5.4" envoyez sur une page pour charger Python. C'est malin XD
32 De Think-It - 01/04/2011, 12:00
Merci le poisson d'avril :p
33 De Poissin d'avril - 01/04/2011, 12:04
Rolf, saleté de premier avril ...
34 De Taunter - 01/04/2011, 12:13
Et par hasard... ils n'auraient pas pénétré le serveur en utilisant une méthode de FISHING ? ^^
35 De Matthieu - 01/04/2011, 12:15
> Quels en seraient les conséquences ?
Que PHP 6 devienne en fait une fusion avec Cobol ! (c'est ce que Zend a affirmé sur son blog ce matin)
Très bon article !
36 De Anakeen - 01/04/2011, 13:31
Update : Les traces IP des hackeurs seraient localisées dans les locaux de SUN.
37 De Cyrano - 01/04/2011, 13:48
Fermer les sources de PHP ? Je doute fort que ce soit possible, parce que ça voudrait dire changer de licence. Rien ne peut interdire à Zend de développer un autre langage avec une licence beaucoup plus restrictive permettant de masquer les sources, mais ils ne sont pas propriétaires du langage (pour autant que je sache, personne ne l'est) et ne peuvent pas d'autorité et de leur propre initiative modifier à leur gré la licence actuelle de PHP.
Dans cette hypothèse (je peux me tromper bien entendu), les conséquences à court terme seraient que les gestionnaires des serveurs hébergeant le projet devront être sécurisés de façon beaucoup plus solide, avec par exemple des systèmes d'authentification forte pour les contributeurs « agréés » ou ce genre de barrage.
38 De Ben - 01/04/2011, 14:14
poisson d'avril !!!
39 De Jack - 01/04/2011, 14:26
Heureusement que tu as fait ce report, je me suis pressé de mettre toutes mes applications hors ligne le temps de trouver un fix ou roll back à une plus ancienne version.
40 De PJ - 01/04/2011, 15:10
Et sinon, personne n'a essayé de cliquer sur le lien vers soi-disant PHP 5.4 dans l'article ?
Ca sent surtout le bon gros poisson d'avril pro-Python oui.
41 De mageekguy - 01/04/2011, 15:19
@PJ : ... LOL. Vu le nombre d'article traitant de PHP sur ce blog, c'est assez marrant de dire cela ici.
Cette référence à Python est juste un clin d'œil.
42 De gabriel - 01/04/2011, 15:38
Ah ah ah ! C'est çà de vouloir faire les idéalistes avec l'open-source ! tellement open que tout le monde s'en donne à coeur joie pour y mettre des failles ... pathétique. Pour les pros, il y a visual studio de microsoft qui permet de faire des applications très complètes sans se prendre la tête, partir plus tôt en week-end et plus souvent en vacances ! Les boules pour ceux qui se retrouve avec plein de système faillible un vendredi !! Merci php hein !
Bon week end (de merde) alors à vous, moi je files faire du ski ;-))
43 De Damien - 01/04/2011, 16:24
@gabriel : le week en de merde est plutot pour vous. Il n'y a plus de neige ...
Sinon, vu qu'on est vendredi (pas n'importe lequel en plus), je me permet :
Pour un langage qui ne passera jamais closed source, regardez du coté de ruby !
44 De Guile - 01/04/2011, 16:28
Ca tombe bien, car la 5.4 est 100% compatible unicode!
A ce que j'ai cru voir, il paraît qu'ils ont ré-écrit certains prototype de fonction pour avoir une meilleure cohérence du code! Tu pourrais nous en faire un détail? :-P
45 De Mehdi Lahmam B. - 01/04/2011, 16:36
@mageekguy Ton lien PHP5.4 pointe sur http://python.org/download/
Ton URL shortener devient fou !
46 De fisherman - 01/04/2011, 17:45
sympa ton poisson d'avril..
47 De Roro - 01/04/2011, 17:52
Super la news!
J'ai tout lu...j'y ai cru...jusqu'à la fin et là je me suis rappelé de quel jour on est
j'ai tellement douté que j'ai dû vérifier les liens de l'article, dont celui de PHP 5.4.
48 De stopher - 01/04/2011, 18:05
@gabriel
Rhoooo le troll ... sans aucun argument valide en plus .. :p
Les coups durs servent à évoluer et apprendre , de plus la transparence de l'équipe de dev de php est aussi à souligner ainsi que sa réactivité ...
D'autres se seraient bien passé de communiquer sur un tel problème, et auraient proposé une SPX que quelques mois plus tard .
Si à la moindre coquille l'on doit changer de crémerie , nous passerions notre temps à butiner chaque techno
@Jack
Couper tes sites le temps de trouver une ancienne version ou un "fix" me parait exagéré, les risque que ces portes dérobées soit exploitées via tes sites publiques est vraiment minime selon moi , d'autant plus si tu offusques la version de php utilisé.
Bref pas de panique , en plus la maj est déjà dispo .
Bon week à tous ,
Ch.
49 De Bozec Matthieu - 01/04/2011, 18:14
Meilleur poisson d'avril de l'année
J'ai failli l'envoyer à notre admin réseau, juste pour le faire baliser...
50 De metagoto - 01/04/2011, 18:32
51 De Jérémy - 01/04/2011, 19:34
Suis-je le seul à me dire "quoi de plus simple que de contrôler/valider les ajouts/modifications qui ont été fait sur un projet versionné ?"
Suis-je le seul à me dire "Ok, ils sortent en avance 5.4, mais ils vont pas abandonner 5.3, ça n'a aucun sens..."
Suis-je le seul à avoir vérifié que 5.4 n'est pas sorti
Suis-je le seul a me dire "tiens, encore une énormité qui sort un premier avril...."
52 De Matthieu - 01/04/2011, 20:16
@gabriel : *tu* es pathétique, c'est un poisson d'avril...
D'ailleurs il serait peut être temps de calmer un peu tout le monde et d'expliquer clairement que c'est pas la peine de couper des sites !
53 De Korri - 01/04/2011, 21:16
Ha ha ha ! La partie sur le passage en Closed Source m'a tué, j'y ai presque cru avant
Bon t’arrête de laisser que les commentaires des gents crédules dit donc ?!
Jolie poisson d'avril en tout cas
54 De Korri - 01/04/2011, 21:17
Le lien vers PHP 5.4 m'a tué aussi :D
55 De Joris - 01/04/2011, 22:23
Ton lien PHP 5.4 pointe sur http://python.org/download/, c'est normal ? =P
Merci pour l'info !
56 De Jérémy - 01/04/2011, 22:48
@gabriel Les "Pros" ne confondent pas un IDE avec un Language...
Et les applications qui ne tourne (quasiment) que sur des plateformes "Windows" niveau "système in-faillible" on reviendra....
NB : pour info, il n'y a plus de neige dans la plus part des stations de ski... Dommage que tu sois à la bourre dans tes projets, tu serais partis en même temps que nous, tu aurais pus en profiter...
57 De Ubikuity - 01/04/2011, 22:50
Bonsoir mageekguy,
J'ai une question :
- Est ce que tu confirmes les pirates ont fait des commit grâce à de l'usurpation d'identité ?
ou est ce que c'est le repository SVN a été corrompu en modifiant directement dans le répertoire "revs" de SVN ?
-
Cette histoire m'a fait penser cette conférence de Linus Torvald à propos de Git.
Et son anecdote sur la tentative de piratage du code source de Linux avant son passage sous Git (d'où l'idée du hash pour chaque commit et pour s'assurer de la non corruption).
Désolé, je ne me rappelle plus à quel moment il en parle dans la vidéo :
http://www.youtube.com/watch?v=4Xpn...
-
(Ceci n'est pas un troll Git vs. SVN ;-))
58 De Ubikuity - 01/04/2011, 23:12
Petite suite à ce débat du 1er avril.
Voici le transcript de la conférence Git dont je parlais ci-desssus :
https://git.wiki.kernel.org/index.p...
-
"Having a good hash is good for being able to trust your data."
"One of the reasons I care is we actually had for the kernel a break-in on one of the BitKeeper sites, where people tried to corrupt the kernel source code repository, and BitKeeper actually caught it. BitKeeper did not have a really fancy hash at all, I think it is only 16-bit CRC, something like that"
59 De foxmask - 01/04/2011, 23:23
Bonsoir,
c'était bien marrant cette journée de pêche
à l'année prochaine ! :D vivement :D
60 De Diauce - 01/04/2011, 23:52
Le meilleur dans ce poisson d'avril reste la gestion des commentaires. J'ai vraiment cru qu'il n'y avait que des personnes naïves et ironiques qui y répondaient.
61 De le vieux - 02/04/2011, 01:02
Aaaahhhh,
Je savait bien que l'on avait raison dans mon entreprise de laisser nos sites en PHP 4.1 (la seule vrai version à mes yeux).
Bon sinon c'est quand que l'on annonce que le rachat de MySQL par Oracle était un poisson d'avril, car là je pense que les gens ont bien mordu à l'hameçon.
62 De gabriel - 02/04/2011, 01:06
aucun humour !!! ceci dit il a fait 26° aujourd'hui et demain je vais à la plage :-))
Et pour ceux qui n'ont pas compris l'allusion, il y a effectivement de la pub pour visual studio qui disait clairement qu'avec microsoft, la vie du développeur est vraiment meilleur ...
63 De Nami - 02/04/2011, 13:38
Hum, j'aurais pu y croire si SVN ne permettait pas de voir les modifs :p.
64 De stopher - 03/04/2011, 16:35
Et qui est tombé ds le panneau ..
> Moi <:pVoilà qui m'apprendra à ne pas toujours vérifier les liens ou articles :p
Superbe poisson en tt cas , bravo