Programeri PHP projekta upozorili su na kompromitaciju Git repozitorija projekta i otkrivanje dva zlonamerna urezivanja dodata u php-src spremište 28. marta u ime Rasmusa Lerdorfa, osnivača PHP-a, i Nikite Popova, jednog od ključni programeri PHP-a.
Budući da nema povjerenja u pouzdanost servera na kojem je smješteno Git spremište, programeri su odlučili da samostalno održavanje Git infrastrukture stvara dodatne sigurnosne rizike i premjestili su referentno spremište na GitHub platformu, za koju se predlaže da se koristi kao primarni. Sve promjene sada treba slati na GitHub, a ne na git.php.net, uključujući i kada razvijate, sada možete koristiti GitHub web interfejs.
U prvom zlonamjernom urezivanju, pod krinkom popravljanja greške u kucanju u datoteci ext/zlib/zlib.c, napravljena je izmjena koja bi pokrenula PHP kod proslijeđen u HTTP zaglavlju korisničkog agenta ako sadržaj počinje riječju "zerodium ". Nakon što su programeri primijetili zlonamjernu promjenu i poništili je, u spremištu se pojavilo drugo urezivanje, koje je poništilo akciju PHP programera da ponište zlonamjernu promjenu.
Dodati kod sadrži redak „REMOVETHIS: prodato zerodiumu, sredinom 2017.“, što može nagovijestiti da od 2017. kod sadrži još jednu, dobro zamaskiranu, zlonamjernu promjenu ili neispravljenu ranjivost prodatu Zerodiumu, kompaniji koja kupuje 0-day ranjivosti ( Zerodium je odgovorio da nije kupio informacije o ranjivosti PHP-a).
Trenutno nema detaljnih informacija o incidentu, ali se pretpostavlja da su promjene dodane kao rezultat hakerskog napada. server git.php.net, a ne kompromitovanje pojedinačnih programerskih računa. Započeta je analiza repozitorija u potrazi za drugim zlonamjernim promjenama pored identifikovanih problema. Svi koji su zainteresovani za pregled promjena su dobrodošli. Ako otkrijete bilo kakve sumnjive promjene, pošaljite informacije na security@php.net.
Što se tiče migracije na GitHub, da bi dobili pristup za pisanje u novi repozitorij, razvojni saradnici moraju biti članovi PHP organizacije. Oni koji nisu PHP programeri na GitHub-u trebaju kontaktirati Nikitu Popova na nikic@php.net. Dvofaktorska autentifikacija mora biti omogućena da bi se dodao repozitorij. Nakon što dobijete potrebne dozvole, jednostavno pokrenite naredbu "git remote set-url origin git@github.com:php/php-src.git" da biste promijenili repozitorij. Također se razmatra prelazak na obaveznu verifikaciju digitalnog potpisa za commit-ove. Predlaže se i zabrana direktnog dodavanja promjena koje nisu prošle prethodni pregled.
izvor: opennet.ru
