Rhybuddiodd datblygwyr y prosiect PHP am gyfaddawd ystorfa Git y prosiect a darganfod dau ymrwymiad maleisus a ychwanegwyd at y storfa php-src ar Fawrth 28 ar ran Rasmus Lerdorf, sylfaenydd PHP, a Nikita Popov, un o'r datblygwyr allweddol PHP.
Gan nad oes unrhyw hyder yn nibynadwyedd y gweinydd y cynhaliwyd y storfa Git arno, penderfynodd y datblygwyr fod cynnal y seilwaith Git ar eu pen eu hunain yn creu risgiau diogelwch ychwanegol a symudasant yr ystorfa gyfeirio i'r platfform GitHub, y bwriedir ei ddefnyddio fel yr un cynradd. Dylid anfon pob newid i GitHub nawr, ac nid i git.php.net, gan gynnwys wrth ddatblygu, gallwch nawr ddefnyddio'r rhyngwyneb gwe GitHub.
Yn yr ymrwymiad maleisus cyntaf, dan gochl gosod teip yn y ffeil ext/zlib/zlib.c, gwnaed newid a fyddai'n rhedeg y cod PHP a basiwyd ym mhennyn HTTP Asiant Defnyddiwr pe bai'r cynnwys yn dechrau gyda'r gair "zerodium " . Ar ôl i'r datblygwyr sylwi ar y newid maleisus a'i ddychwelyd, ymddangosodd ail ymrwymiad yn y gadwrfa, a oedd yn dychwelyd gweithred y datblygwyr PHP i ddychwelyd y newid maleisus.
Mae'r cod ychwanegol yn cynnwys y llinell “REMOVETHIS: sold to zerodium, mid 2017,” a all awgrymu bod y cod ers 2017 yn cynnwys newid maleisus arall, wedi'i guddliwio'n dda, neu fregusrwydd heb ei gywiro a werthir i Zerodium, cwmni sy'n prynu 0-day gwendidau (ymatebodd Zerodium nad oedd yn prynu gwybodaeth am fregusrwydd PHP).
Ar hyn o bryd nid oes unrhyw wybodaeth fanwl am y digwyddiad, ond tybir bod y newidiadau wedi'u hychwanegu o ganlyniad i hac. gweinydd git.php.net, nid peryglu cyfrifon datblygwyr unigol. Mae dadansoddiad o'r storfa am newidiadau maleisus eraill yn ogystal â'r problemau a nodwyd wedi dechrau. Mae croeso i unrhyw un sydd â diddordeb mewn adolygu'r newidiadau. Os byddwch chi'n darganfod unrhyw newidiadau amheus, anfonwch wybodaeth at security@php.net.
O ran y mudo i GitHub, er mwyn cael mynediad ysgrifennu i'r storfa newydd, rhaid i gyfranwyr datblygu fod yn aelodau o'r sefydliad PHP. Dylai'r rhai nad ydynt yn ddatblygwyr PHP ar GitHub gysylltu â Nikita Popov yn nikic@php.net. Rhaid galluogi dilysu dau ffactor i ychwanegu'r storfa. Unwaith y bydd gennych y caniatâd angenrheidiol, rhedwch y gorchymyn "git remote set-url origin git@github.com:php/php-src.git" i newid y storfa. Mae'r newid i ddilysu llofnod digidol gorfodol ar gyfer ymrwymiadau hefyd yn cael ei ystyried. Cynigir gwaharddiad ar ychwanegu newidiadau'n uniongyrchol nad ydynt wedi cael adolygiad blaenorol hefyd.
Ffynhonnell: opennet.ru
