Udviklerne af PHP-projektet advarede om kompromitteringen af projektets Git-lager og opdagelsen af to ondsindede commits føjet til php-src-lageret den 28. marts på vegne af Rasmus Lerdorf, grundlæggeren af PHP, og Nikita Popov, en af de nøgleudviklere af PHP.
Da der ikke er tillid til pålideligheden af serveren, som Git-lageret var hostet på, besluttede udviklerne, at vedligeholdelse af Git-infrastrukturen på egen hånd skaber yderligere sikkerhedsrisici og flyttede referencelageret til GitHub-platformen, som foreslås brugt som den primære. Alle ændringer skal nu sendes til GitHub, og ikke til git.php.net, inklusive når du udvikler, kan du nu bruge GitHub-webgrænsefladen.
I den første ondsindede commit, under dække af at rette en tastefejl i filen ext/zlib/zlib.c, blev der foretaget en ændring, der ville køre PHP-koden, der blev sendt i User Agent HTTP-headeren, hvis indholdet begyndte med ordet "zerodium ". Efter at udviklerne bemærkede den ondsindede ændring og vendte den tilbage, dukkede en anden commit op i depotet, som vendte PHP-udviklernes handling for at vende den ondsindede ændring tilbage.
Den tilføjede kode indeholder linjen "REMOVETHIS: sold to zerodium, mid 2017", som kan antyde, at koden siden 2017 indeholder en anden, velcamoufleret, ondsindet ændring eller en ukorrigeret sårbarhed solgt til Zerodium, et firma, der køber 0-dages sårbarheder (Zerodium svarede, at det ikke købte oplysninger om PHP-sårbarheden).
Der er i øjeblikket ingen detaljerede oplysninger om hændelsen, men det antages, at ændringerne blev tilføjet som følge af et hacking. server git.php.net, ikke kompromittering af individuelle udviklerkonti. En analyse af arkivet for andre ondsindede ændringer ud over de identificerede problemer er påbegyndt. Enhver, der er interesseret i at gennemgå ændringerne, er velkommen. Hvis du opdager mistænkelige ændringer, bedes du sende information til security@php.net.
Angående migreringen til GitHub skal udviklingsbidragydere være medlemmer af PHP-organisationen for at få skriveadgang til det nye repository. De, der ikke er PHP-udviklere på GitHub, skal kontakte Nikita Popov på nikic@php.net. Tofaktor-godkendelse skal være aktiveret for at tilføje repository'et. Når du har de nødvendige tilladelser, skal du blot køre kommandoen "git remote set-url origin git@github.com:php/php-src.git" for at ændre repository'et. Overgangen til obligatorisk verifikation af digital signatur for commits overvejes også. Et forbud mod direkte tilføjelser af ændringer, der ikke har gennemgået forudgående gennemgang, foreslås også.
Kilde: opennet.ru
