Im Git-Repository des PHP-Projekts wurden schĂ€dliche Änderungen festgestellt.

Die Entwickler des PHP-Projekts haben vor der Kompromittierung des Git-Repositorys gewarnt und zwei schĂ€dliche Commits entdeckt, die am 28. MĂ€rz im Repository php-src im Namen von Rasmus Lerdorf, dem GrĂŒnder von PHP, und Nikita Popov, einem der Hauptentwickler von PHP, hinzugefĂŒgt wurden.

Da keine Sicherheit bezĂŒglich des Servers besteht, auf dem das Git-Repository gehostet wurde, haben die Entwickler beschlossen, dass die eigene Verwaltung der Git-Infrastruktur zusĂ€tzliche Sicherheitsrisiken birgt. Sie haben das Referenz-Repository auf die Plattform GitHub ĂŒbertragen, die nun als primĂ€rer Host genutzt wird. Alle Änderungen sind ab sofort an GitHub zu senden, nicht an git.php.net. Bei der Entwicklung kann nun auch die Web-OberflĂ€che von GitHub verwendet werden.

Im ersten schĂ€dlichen Commit, der als Korrektur eines Tippfehlers in der Datei ext/zlib/zlib.c getarnt war, wurde eine Änderung vorgenommen, die PHP-Code ausfĂŒhrt, der im HTTP-Header User Agent ĂŒbermittelt wird, sofern der Inhalt mit dem Wort "zerodium" beginnt. Nachdem die Entwickler die schĂ€dliche Änderung bemerkt hatten und sie zurĂŒcksetzten, erschien ein zweiter Commit im Repository, der die RĂŒcksetzung der PHP-Entwickler annullierte und die schĂ€dliche Änderung wiederherstellte.

Im hinzugefĂŒgten Code gibt es die Zeile "REMOVETHIS: sold to zerodium, mid 2017", die darauf hindeuten könnte, dass seit 2017 eine andere, qualitativ besser getarnte schĂ€dliche Änderung oder eine ungepatchte Schwachstelle im Code vorhanden ist, die an das Unternehmen Zerodium verkauft wurde, das sich auf den Kauf von 0-Day-Schwachstellen spezialisiert hat (Zerodium gab an, dass sie keine Informationen ĂŒber Schwachstellen in PHP erworben haben).

Derzeit gibt es noch keine detaillierten Informationen zu dem Vorfall; es wird lediglich vermutet, dass die Änderungen im Rahmen eines Hacks hinzugefĂŒgt wurden. Server git.php.net, und nicht die Kompromittierung einzelner Entwicklerkonten. Eine Analyse des Repositories auf andere böswillige Änderungen neben den identifizierten Problemen hat begonnen. Alle Interessierten sind eingeladen, die Bewertung vorzunehmen; bei Verdacht auf verdĂ€chtige Änderungen sollte die Information an security@php.net gesendet werden.

Was den Wechsel zu GitHub betrifft, mĂŒssen die Entwickler, um Schreibzugriff auf das neue Repository zu erhalten, Teil der PHP-Organisation werden. Wer nicht zu den Entwicklern von PHP auf GitHub gehört, sollte sich per E-Mail an Nikita Popov unter nikic@php.net wenden. Eine zwingende Voraussetzung fĂŒr die HinzufĂŒgung ist die Aktivierung der Zwei-Faktor-Authentifizierung. Nach Erhalt der entsprechenden Berechtigungen genĂŒgt es, den Befehl „git remote set-url origin git@github.com:php/php-src.git“ auszufĂŒhren. Zudem wird die Möglichkeit erörtert, die digitale Signatur des Entwicklers fĂŒr Commits verbindlich zu machen. Es wird auch vorgeschlagen, das direkte HinzufĂŒgen von Änderungen, die nicht vorher ĂŒberprĂŒft wurden, zu untersagen.

Quelle: opennet.ru

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster