حذر مطورو مشروع PHP من تسوية مستودع Git الخاص بالمشروع واكتشاف التزامين ضارين تمت إضافتهما في 28 مارس إلى مستودع php-src نيابة عن Rasmus Lerdorf ، مؤسس PHP ، ونيكيتا بوبوف ، أحدهما المطورين الرئيسيين لـ PHP.
نظرًا لعدم وجود ثقة في موثوقية الخادم الذي يستضيف مستودع Git ، فقد قرر المطورون أن الحفاظ على البنية التحتية لـ Git بمفردهم يؤدي إلى مخاطر أمنية إضافية ونقل المستودع المرجعي إلى النظام الأساسي GitHub ، والذي يُقترح استخدامه كمنصة أساسية واحد. من الآن فصاعدًا ، يجب إرسال جميع التغييرات إلى GitHub ، وليس إلى git.php.net ، بما في ذلك عند التطوير ، يمكنك الآن استخدام واجهة الويب GitHub.
في أول ارتكاب ضار ، تحت ستار إصلاح خطأ مطبعي في ملف ext / zlib / zlib.c ، تم إجراء تغيير يقوم بتشغيل رمز PHP الذي تم تمريره في رأس HTTP لعامل المستخدم إذا كان المحتوى يبدأ بكلمة "zerodium" . بعد أن لاحظ المطورون التغيير الضار وعادوه ، ظهر التزام ثان في المستودع ، مما أدى إلى عكس عمل مطوري PHP وأعاد التغيير الضار.
تحتوي الشفرة المضافة على السطر "REMOVETHIS: تم بيعه إلى zerodium ، منتصف عام 2017" ، مما قد يشير إلى أنه منذ عام 2017 ، كان هناك تغيير خبيث آخر ، مموه نوعيا ، في الشفرة ، أو ثغرة أمنية غير مصححة تم بيعها لشركة Zerodium ، وهي شركة تشتري 0- نقاط الضعف اليومية (ردت شركة Zerodium بأنها لم تشتري معلومات الثغرات الأمنية في PHP).
لا توجد حاليًا معلومات مفصلة حول الحادث، ولكن يُفترض أن التغييرات تمت إضافتها نتيجة لعملية اختراق. الخادم لم يتم اختراق حسابات المطورين الفردية، بل تم استهداف موقع git.php.net. بدأ تحليل المستودع بحثًا عن تغييرات ضارة أخرى بالإضافة إلى المشكلات المحددة. نرحب بأي شخص مهتم بمراجعة التغييرات. في حال اكتشاف أي تغييرات مشبوهة، يُرجى إرسال المعلومات إلى security@php.net.
أما بالنسبة للانتقال إلى GitHub، فسوف يحتاج المساهمون إلى أن يكونوا جزءًا من منظمة PHP للحصول على حق الوصول إلى الكتابة إلى المستودع الجديد. يجب على أولئك الذين لم يتم تضمينهم في المساهمين PHP على GitHub الاتصال بـ Nikita Popov على nikic@php.net. يعد تفعيل المصادقة الثنائية شرطًا إلزاميًا للإضافة. بمجرد حصولك على الأذونات المناسبة، يصبح تغيير المستودع بسيطًا مثل تشغيل الأمر "git remote set-url origin git@github.com:php/php-src.git". بالإضافة إلى ذلك، يتم النظر في مسألة التحول إلى التصديق الإلزامي على الالتزامات باستخدام التوقيع الرقمي للمطور. ومن المقترح أيضًا منع الإضافة المباشرة للتغييرات التي لم تخضع لمراجعة مسبقة.
المصدر: opennet.ru
