Die Entwickler des PHP-Projekts haben vor der Kompromittierung des Git-Repositorys gewarnt und zwei schĂ€dliche Commits entdeckt, die am 28. MĂ€rz im Repository php-src im Namen von Rasmus Lerdorf, dem GrĂŒnder von PHP, und Nikita Popov, einem der Hauptentwickler von PHP, hinzugefĂŒgt wurden.
Da keine Sicherheit bezĂŒglich des Servers besteht, auf dem das Git-Repository gehostet wurde, haben die Entwickler beschlossen, dass die eigene Verwaltung der Git-Infrastruktur zusĂ€tzliche Sicherheitsrisiken birgt. Sie haben das Referenz-Repository auf die Plattform GitHub ĂŒbertragen, die nun als primĂ€rer Host genutzt wird. Alle Ănderungen sind ab sofort an GitHub zu senden, nicht an git.php.net. Bei der Entwicklung kann nun auch die Web-OberflĂ€che von GitHub verwendet werden.
Im ersten schĂ€dlichen Commit, der als Korrektur eines Tippfehlers in der Datei ext/zlib/zlib.c getarnt war, wurde eine Ănderung vorgenommen, die PHP-Code ausfĂŒhrt, der im HTTP-Header User Agent ĂŒbermittelt wird, sofern der Inhalt mit dem Wort "zerodium" beginnt. Nachdem die Entwickler die schĂ€dliche Ănderung bemerkt hatten und sie zurĂŒcksetzten, erschien ein zweiter Commit im Repository, der die RĂŒcksetzung der PHP-Entwickler annullierte und die schĂ€dliche Ănderung wiederherstellte.
Im hinzugefĂŒgten Code gibt es die Zeile "REMOVETHIS: sold to zerodium, mid 2017", die darauf hindeuten könnte, dass seit 2017 eine andere, qualitativ besser getarnte schĂ€dliche Ănderung oder eine ungepatchte Schwachstelle im Code vorhanden ist, die an das Unternehmen Zerodium verkauft wurde, das sich auf den Kauf von 0-Day-Schwachstellen spezialisiert hat (Zerodium gab an, dass sie keine Informationen ĂŒber Schwachstellen in PHP erworben haben).
Derzeit gibt es noch keine detaillierten Informationen zu dem Vorfall; es wird lediglich vermutet, dass die Ănderungen im Rahmen eines Hacks hinzugefĂŒgt wurden. Server git.php.net, und nicht die Kompromittierung einzelner Entwicklerkonten. Eine Analyse des Repositories auf andere böswillige Ănderungen neben den identifizierten Problemen hat begonnen. Alle Interessierten sind eingeladen, die Bewertung vorzunehmen; bei Verdacht auf verdĂ€chtige Ănderungen sollte die Information an security@php.net gesendet werden.
Was den Wechsel zu GitHub betrifft, mĂŒssen die Entwickler, um Schreibzugriff auf das neue Repository zu erhalten, Teil der PHP-Organisation werden. Wer nicht zu den Entwicklern von PHP auf GitHub gehört, sollte sich per E-Mail an Nikita Popov unter nikic@php.net wenden. Eine zwingende Voraussetzung fĂŒr die HinzufĂŒgung ist die Aktivierung der Zwei-Faktor-Authentifizierung. Nach Erhalt der entsprechenden Berechtigungen genĂŒgt es, den Befehl âgit remote set-url origin git@github.com:php/php-src.gitâ auszufĂŒhren. Zudem wird die Möglichkeit erörtert, die digitale Signatur des Entwicklers fĂŒr Commits verbindlich zu machen. Es wird auch vorgeschlagen, das direkte HinzufĂŒgen von Ănderungen, die nicht vorher ĂŒberprĂŒft wurden, zu untersagen.
Quelle: opennet.ru
