Udviklerne af PHP-projektet advarede om kompromitteringen af projektets Git-lager og opdagelsen af to ondsindede commits føjet til php-src-lageret den 28. marts på vegne af Rasmus Lerdorf, grundlæggeren af PHP, og Nikita Popov, en af de nøgleudviklere af PHP.
Da der ikke er tillid til pålideligheden af serveren, som Git-lageret var hostet på, besluttede udviklerne, at vedligeholdelse af Git-infrastrukturen på egen hånd skaber yderligere sikkerhedsrisici og flyttede referencelageret til GitHub-platformen, som foreslås brugt som den primære. Alle ændringer skal nu sendes til GitHub, og ikke til git.php.net, inklusive når du udvikler, kan du nu bruge GitHub-webgrænsefladen.
I den første ondsindede commit, under dække af at rette en tastefejl i filen ext/zlib/zlib.c, blev der foretaget en ændring, der ville køre PHP-koden, der blev sendt i User Agent HTTP-headeren, hvis indholdet begyndte med ordet "zerodium ". Efter at udviklerne bemærkede den ondsindede ændring og vendte den tilbage, dukkede en anden commit op i depotet, som vendte PHP-udviklernes handling for at vende den ondsindede ændring tilbage.
Den tilføjede kode indeholder linjen "REMOVETHIS: sold to zerodium, mid 2017", som kan antyde, at koden siden 2017 indeholder en anden, velcamoufleret, ondsindet ændring eller en ukorrigeret sårbarhed solgt til Zerodium, et firma, der køber 0-dages sårbarheder (Zerodium svarede, at det ikke købte oplysninger om PHP-sårbarheden).
På nuværende tidspunkt er der ingen detaljerede oplysninger om hændelsen; det antages kun, at ændringerne blev tilføjet som et resultat af hacking af git.php.net-serveren, og ikke kompromittering af individuelle udviklerkonti. Analysen af depotet er begyndt for tilstedeværelsen af andre ondsindede ændringer ud over de identificerede problemer. Alle inviteres til at gennemgå, hvis der opdages mistænkelige ændringer, skal du sende oplysninger til [e-mail beskyttet].
Vedrørende overgangen til GitHub skal udviklingsdeltagere være en del af PHP-organisationen for at få skriveadgang til det nye repository. De, der ikke er opført som PHP-udviklere på GitHub, bør kontakte Nikita Popov via e-mail [e-mail beskyttet]. For at tilføje, er et obligatorisk krav at aktivere to-faktor autentificering. Efter at have opnået de relevante rettigheder til at ændre depotet, skal du bare køre kommandoen "git remote set-url origin [e-mail beskyttet]:php/php-src.git". Derudover overvejes spørgsmålet om at gå til obligatorisk certificering af forpligtelser med en digital signatur fra udvikleren. Det foreslås også at forbyde direkte tilføjelse af ændringer, der ikke har gennemgået forudgående gennemgang.
Kilde: opennet.ru