حذر مطورو مشروع PHP من تسوية مستودع Git الخاص بالمشروع واكتشاف التزامين ضارين تمت إضافتهما في 28 مارس إلى مستودع php-src نيابة عن Rasmus Lerdorf ، مؤسس PHP ، ونيكيتا بوبوف ، أحدهما المطورين الرئيسيين لـ PHP.
نظرًا لعدم وجود ثقة في موثوقية الخادم الذي يستضيف مستودع Git ، فقد قرر المطورون أن الحفاظ على البنية التحتية لـ Git بمفردهم يؤدي إلى مخاطر أمنية إضافية ونقل المستودع المرجعي إلى النظام الأساسي GitHub ، والذي يُقترح استخدامه كمنصة أساسية واحد. من الآن فصاعدًا ، يجب إرسال جميع التغييرات إلى GitHub ، وليس إلى git.php.net ، بما في ذلك عند التطوير ، يمكنك الآن استخدام واجهة الويب GitHub.
في أول ارتكاب ضار ، تحت ستار إصلاح خطأ مطبعي في ملف ext / zlib / zlib.c ، تم إجراء تغيير يقوم بتشغيل رمز PHP الذي تم تمريره في رأس HTTP لعامل المستخدم إذا كان المحتوى يبدأ بكلمة "zerodium" . بعد أن لاحظ المطورون التغيير الضار وعادوه ، ظهر التزام ثان في المستودع ، مما أدى إلى عكس عمل مطوري PHP وأعاد التغيير الضار.
تحتوي الشفرة المضافة على السطر "REMOVETHIS: تم بيعه إلى zerodium ، منتصف عام 2017" ، مما قد يشير إلى أنه منذ عام 2017 ، كان هناك تغيير خبيث آخر ، مموه نوعيا ، في الشفرة ، أو ثغرة أمنية غير مصححة تم بيعها لشركة Zerodium ، وهي شركة تشتري 0- نقاط الضعف اليومية (ردت شركة Zerodium بأنها لم تشتري معلومات الثغرات الأمنية في PHP).
في الوقت الحالي ، لا توجد معلومات تفصيلية حول الحادث حتى الآن ، من المفترض فقط أن التغييرات قد تمت إضافتها نتيجة لاختطاف خادم git.php.net ، وليس اختراق حسابات المطورين الفرديين. بدأ تحليل المستودع لوجود تغييرات خبيثة أخرى بالإضافة إلى المشاكل التي تم تحديدها. الجميع مدعوون للمراجعة ، إذا تم العثور على تغييرات مشبوهة ، يجب إرسال المعلومات إلى [البريد الإلكتروني محمي].
فيما يتعلق بالانتقال إلى GitHub ، يجب أن يكون المساهمون في التطوير جزءًا من مؤسسة PHP من أجل الحصول على حق الوصول للكتابة إلى المستودع الجديد. بالنسبة لأولئك غير المدرجين كمطورين PHP على GitHub ، يرجى الاتصال بـ Nikita Popov عبر البريد الإلكتروني [البريد الإلكتروني محمي]. للإضافة ، من المتطلبات الإلزامية تمكين المصادقة الثنائية. بعد الحصول على الحقوق المناسبة لتغيير المستودع ، يكفي تنفيذ الأمر "git remote set-url origin [البريد الإلكتروني محمي]: php / php-src.git ". بالإضافة إلى ذلك ، يجري النظر في مسألة التحول إلى الاعتماد الإلزامي للالتزامات بالتوقيع الرقمي للمطور. يُقترح أيضًا حظر الإضافة المباشرة للتغييرات التي لم تخضع لمراجعة أولية.
المصدر: opennet.ru