Ang mga nag-develop sa proyekto sa PHP nagpasidaan bahin sa pagkompromiso sa Git repository sa proyekto ug ang pagkadiskubre sa duha ka malisyosong commit nga gidugang sa php-src repository niadtong Marso 28 sa ngalan ni Rasmus Lerdorf, ang nagtukod sa PHP, ug Nikita Popov, usa sa yawe nga developers sa PHP.
Tungod kay walay pagsalig sa pagkakasaligan sa server diin ang Git repository gi-host, ang mga developers nakahukom nga ang pagmintinar sa Git nga imprastraktura sa ilang kaugalingon nagmugna og dugang nga mga risgo sa seguridad ug gibalhin ang reference repository ngadto sa GitHub platform, nga gisugyot nga gamiton. isip nag-una. Ang tanan nga mga pagbag-o kinahanglan ipadala na karon sa GitHub, ug dili sa git.php.net, lakip na kung mag-develop, mahimo nimong gamiton ang GitHub web interface.
Sa unang malisyoso nga commit, ubos sa pagtabon sa pag-ayo sa typo sa file ext/zlib/zlib.c, usa ka pagbag-o ang gihimo nga mopadagan sa PHP code nga gipasa sa User Agent HTTP header kon ang sulod nagsugod sa pulong nga "zerodium ". Human namatikdan sa mga developer ang malisyoso nga pagbag-o ug gibalik kini, usa ka ikaduha nga commit ang nagpakita sa repository, nga nagbalik sa aksyon sa PHP developers aron ibalik ang malisyoso nga pagbag-o.
Ang gidugang nga code naglangkob sa linya nga "REMOVETHIS: gibaligya sa zerodium, tunga-tunga sa 2017," nga mahimong magpasabut nga sukad sa 2017 ang code adunay lain, maayo nga pagkatago, malisyoso nga pagbag-o, o usa ka wala matul-id nga kahuyangan nga gibaligya sa Zerodium, usa ka kompanya nga namalit 0 ka adlaw. mga kahuyangan (Mitubag ang Zerodium nga wala kini namalit og impormasyon bahin sa kahuyang sa PHP).
Niining panahona, wala'y detalyadong impormasyon mahitungod sa insidente; gituohan lamang nga ang mga pagbag-o gidugang isip resulta sa pag-hack sa git.php.net server, ug dili ang pagkompromiso sa indibidwal nga developer accounts. Ang pag-analisar sa repository nagsugod na alang sa presensya sa uban pang malisyoso nga mga pagbag-o dugang pa sa giila nga mga problema. Giimbitahan ang tanan sa pagrepaso; kung makit-an ang mga kadudahang pagbag-o, kinahanglan nimo ipadala ang impormasyon sa [protektado sa email].
Mahitungod sa transisyon ngadto sa GitHub, aron makakuha og access sa pagsulat ngadto sa bag-ong repository, ang mga partisipante sa kalamboan kinahanglang kabahin sa organisasyon sa PHP. Kadtong wala nalista isip PHP developers sa GitHub kinahanglang mokontak ni Nikita Popov pinaagi sa email [protektado sa email]. Aron idugang, usa ka mandatory nga kinahanglanon mao ang pagpagana sa two-factor authentication. Human makuha ang angay nga mga katungod sa pag-usab sa repository, pagdagan lang ang command "git remote set-url origin [protektado sa email]:php/php-src.git". Dugang pa, ang isyu sa pagbalhin sa mandatory nga sertipikasyon sa mga commit nga adunay digital nga pirma sa developer gikonsiderar. Gisugyot usab nga idili ang direkta nga pagdugang sa mga pagbag-o nga wala pa nakaagi sa una nga pagsusi.
Source: opennet.ru