Die ontwikkelaars van die PHP-projek het gewaarsku oor die kompromie van die projek se Git-bewaarplek en die ontdekking van twee kwaadwillige verbintenisse wat op 28 Maart by die php-src-bewaarplek gevoeg is namens Rasmus Lerdorf, die stigter van PHP, en Nikita Popov, een van die sleutelontwikkelaars van PHP.
Aangesien daar geen vertroue is in die betroubaarheid van die bediener waarop die Git-bewaarplek gehuisves is nie, het die ontwikkelaars besluit dat die instandhouding van die Git-infrastruktuur op hul eie bykomende sekuriteitsrisiko's skep en die verwysingsbewaarplek na die GitHub-platform geskuif, wat voorgestel word om gebruik te word as die primêre een. Alle veranderinge moet nou na GitHub gestuur word, en nie na git.php.net nie, insluitend wanneer jy ontwikkel, kan jy nou die GitHub-webkoppelvlak gebruik.
In die eerste kwaadwillige commit, onder die dekmantel van die regstelling van 'n tikfout in die lêer ext/zlib/zlib.c, is 'n verandering gemaak wat die PHP-kode sal laat loop wat in die User Agent HTTP-opskrif geslaag is as die inhoud met die woord "zerodium" begin ". Nadat die ontwikkelaars die kwaadwillige verandering opgemerk het en dit teruggekeer het, het 'n tweede commit in die bewaarplek verskyn, wat die PHP-ontwikkelaars se optrede om die kwaadwillige verandering terug te keer, teruggekeer het.
Die bygevoegde kode bevat die reël "REMOVETHIS: sold to zerodium, mid 2017," wat dalk daarop dui dat die kode sedert 2017 'n ander, goed gekamoefleerde, kwaadwillige verandering bevat, of 'n ongekorrigeerde kwesbaarheid wat verkoop is aan Zerodium, 'n maatskappy wat 0-dag koop. kwesbaarhede (Zerodium het geantwoord dat dit nie inligting oor die PHP-kwesbaarheid gekoop het nie).
Op hierdie tydstip is daar geen gedetailleerde inligting oor die voorval nie; daar word slegs aanvaar dat die veranderinge bygevoeg is as gevolg van die inbraak van die git.php.net-bediener, en nie die kompromie van individuele ontwikkelaarrekeninge nie. Die ontleding van die bewaarplek het begin vir die teenwoordigheid van ander kwaadwillige veranderinge bykomend tot die geïdentifiseerde probleme. Almal word genooi om te hersien; as verdagte veranderinge bespeur word, moet jy inligting aan stuur [e-pos beskerm].
Wat die oorgang na GitHub betref, moet ontwikkelingsdeelnemers deel wees van die PHP-organisasie om skryftoegang tot die nuwe bewaarplek te kry. Diegene wat nie as PHP-ontwikkelaars op GitHub gelys is nie, moet Nikita Popov per e-pos kontak [e-pos beskerm]. Om by te voeg, 'n verpligte vereiste is om twee-faktor-verifikasie te aktiveer. Nadat u die toepaslike regte verkry het om die bewaarplek te verander, voer net die opdrag "git remote set-url origin [e-pos beskerm]:php/php-src.git". Daarbenewens word die kwessie van oorskakeling na verpligte sertifisering van verbintenisse met 'n digitale handtekening van die ontwikkelaar oorweeg. Daar word ook voorgestel om die direkte toevoeging van veranderinge wat nie vooraf hersiening ondergaan het nie, te verbied.
Bron: opennet.ru