Распрацоўнікі праекту PHP папярэдзілі аб кампраметацыі Git-рэпазітара праекту і выяўленні двух шкоднасных коммітаў, дададзеных 28 сакавіка ў рэпазітар php-src ад імя Расмуса Лердорфа, заснавальніка PHP, і Мікіты Папова, аднаго з ключавых распрацоўнікаў PHP.
Бо няма ўпэўненасці ў надзейнасці сервера, на якім быў размешчаны Git-рэпазітар, распрацоўнікі вырашылі, што падтрыманне саматугам Git-інфраструктуры стварае дадатковыя рызыкі бяспекі і перанеслі эталонны рэпазітар на платформу GitHub, якую прапануецца выкарыстоўваць у якасці першаснай. Усе змены з гэтага часу трэба адпраўляць на GitHub, а не на git.php.net, у тым ліку пры распрацоўцы зараз можна выкарыстоўваць web-інтэрфейс GitHub.
У першым шкоднасным коміце пад выглядам выпраўлення памылкі друку ў файле ext/zlib/zlib.c была занесеная змена, якое запускае PHP-код, перададзены ў HTTP-загалоўку User Agent, калі змесціва пачынаецца са слова «zerodium». Пасля таго як распрацоўнікі заўважылі шкоднасную змену і адмянілі яго, у рэпазітары з'явіўся другі коміт, які адмяняў дзеянне распрацоўнікаў PHP у вяртаў шкоднасную змену.
У дададзеным кодзе прысутнічае радок «REMOVETHIS: sold to zerodium, mid 2017», які можа намякаць, што з 2017 года ў кодзе знаходзіцца іншая, якасна закамуфляваная, шкодная змена, або невыпраўленая ўразлівасць, прададзеная кампаніі Zerodium, якая займаецца скупкай. кампанія Zerodium адказала, што не купляла звесткі аб уразлівасці ў PHP).
У цяперашні час пакуль няма дэталёвай інфармацыі аб інцыдэнце, мяркуецца толькі, што змены былі дададзены ў выніку ўзлому сервера git.php.net, а не кампраметацыі асобных уліковых запісы распрацоўшчыкаў. Пачаўся аналіз рэпазітара на наяўнасць іншых шкоднасных змен апроч выяўленых праблем. Да рэцэнзавання запрашаюцца ўсе жадаючыя, пры выяўленні падазроных змен трэба адправіць інфармацыю на [электронная пошта абаронена].
Што да пераходу на GitHub, то для атрымання доступу на запіс да новага рэпазітара ўдзельнікам распрацоўкі неабходна ўвайсці ў склад арганізацыі PHP. Тым, хто не ўключаны ў лік распрацоўшчыкаў PHP на GitHub, трэба звязацца з Мікітам Паповым па email [электронная пошта абаронена]. Для дадання абавязковым патрабаваннем з'яўляецца ўключэнне двухфактарнай аўтэнтыфікацыі. Пасля атрымання належных правоў для змены рэпазітара дастаткова выканаць каманду «git remote set-url origin [электронная пошта абаронена]:php/php-src.git». Дадаткова разглядаецца пытанне аб пераходзе да абавязковага запэўнення коммітаў лічбавым подпісам распрацоўшчыка. Таксама прапануецца забараніць прамое даданне змен, якія не прайшлі папярэдняга рэцэнзавання.
Крыніца: opennet.ru