Die Entwickler des PHP-Projekts warnten vor der Kompromittierung des Git-Repositorys des Projekts und der Entdeckung zweier bösartiger Commits, die am 28. März im Namen von Rasmus Lerdorf, dem Gründer von PHP, und Nikita Popov, einem der Gründer, zum PHP-SRC-Repository hinzugefügt wurden Schlüsselentwickler von PHP.
Da kein Vertrauen in die Zuverlässigkeit des Servers besteht, auf dem das Git-Repository gehostet wurde, entschieden die Entwickler, dass die alleinige Wartung der Git-Infrastruktur zusätzliche Sicherheitsrisiken mit sich bringt, und verlegten das Referenz-Repository auf die GitHub-Plattform, deren Verwendung vorgeschlagen wird als primäres. Alle Änderungen sollten jetzt an GitHub gesendet werden und nicht an git.php.net. Auch beim Entwickeln können Sie jetzt die GitHub-Weboberfläche verwenden.
Beim ersten böswilligen Commit wurde unter dem Vorwand, einen Tippfehler in der Datei ext/zlib/zlib.c zu beheben, eine Änderung vorgenommen, die den im HTTP-Header des Benutzeragenten übergebenen PHP-Code ausführen würde, wenn der Inhalt mit dem Wort „zerodium“ begann ". Nachdem die Entwickler die böswillige Änderung bemerkt und rückgängig gemacht hatten, erschien ein zweiter Commit im Repository, der die Aktion der PHP-Entwickler, die böswillige Änderung rückgängig zu machen, rückgängig machte.
Der hinzugefügte Code enthält die Zeile „REMOVETHIS: verkauft an Zerodium, Mitte 2017“, was darauf hindeuten könnte, dass der Code seit 2017 eine weitere, gut getarnte, böswillige Änderung oder eine unkorrigierte Schwachstelle enthält, die an Zerodium, ein Unternehmen, das 0-Day kauft, verkauft wurde Sicherheitslücken (Zerodium antwortete, dass es keine Informationen über die PHP-Sicherheitslücke erworben habe).
Zum jetzigen Zeitpunkt gibt es keine detaillierten Informationen zu dem Vorfall; es wird lediglich angenommen, dass die Änderungen durch den Hackerangriff auf den git.php.net-Server hinzugefügt wurden und nicht durch die Kompromittierung einzelner Entwicklerkonten. Die Analyse des Repositorys auf das Vorhandensein weiterer schädlicher Änderungen zusätzlich zu den identifizierten Problemen hat begonnen. Jeder ist zur Überprüfung eingeladen; wenn verdächtige Änderungen festgestellt werden, sollten Sie Informationen an senden [E-Mail geschützt] .
Was den Übergang zu GitHub betrifft, müssen Entwicklungsteilnehmer Teil der PHP-Organisation sein, um Schreibzugriff auf das neue Repository zu erhalten. Wer nicht als PHP-Entwickler auf GitHub aufgeführt ist, sollte sich per E-Mail an Nikita Popov wenden [E-Mail geschützt] . Darüber hinaus ist die Aktivierung der Zwei-Faktor-Authentifizierung zwingend erforderlich. Nachdem Sie die entsprechenden Rechte zum Ändern des Repositorys erhalten haben, führen Sie einfach den Befehl „git remote set-url origin“ aus [E-Mail geschützt] :php/php-src.git". Darüber hinaus wird über die Frage der Umstellung auf eine obligatorische Zertifizierung von Commits mit einer digitalen Signatur des Entwicklers nachgedacht. Außerdem wird vorgeschlagen, die direkte Hinzufügung von Änderungen, die keiner vorherigen Prüfung unterzogen wurden, zu verbieten.
Source: opennet.ru