La programistoj de la PHP-projekto avertis pri la kompromiso de la Git-deponejo de la projekto kaj la malkovro de du malicaj komitaĵoj aldonitaj al la php-src-deponejo la 28-an de marto nome de Rasmus Lerdorf, la fondinto de PHP, kaj Nikita Popov, unu el la ŝlosilaj programistoj de PHP.
Ĉar ne estas fido pri la fidindeco de la servilo sur kiu la Git-deponejo estis gastigita, la programistoj decidis, ke konservi la Git-infrastrukturon memstare kreas pliajn sekurecajn riskojn kaj movis la referencan deponejon al la platformo GitHub, kiu estas proponita esti uzata. kiel la primara. Ĉiuj ŝanĝoj nun devus esti senditaj al GitHub, kaj ne al git.php.net, inkluzive dum evoluado, vi nun povas uzi la retan interfacon de GitHub.
En la unua malica kompromiso, sub la preteksto de korektado de tajperaro en la dosiero ext/zlib/zlib.c, ŝanĝo estis farita, kiu rulus la PHP-kodon pasigitan en la HTTP-kapo de Uzanto Agento se la enhavo komenciĝus per la vorto "zerodio". ". Post kiam la programistoj rimarkis la malican ŝanĝon kaj revertis ĝin, dua komito aperis en la deponejo, kiu revertis la agadon de la PHP-programistoj por revenigi la malican ŝanĝon.
La aldonita kodo enhavas la linion "REMOVETHIS: vendita al zerodium, meze de 2017", kiu povas sugesti ke ekde 2017 la kodo enhavas alian, bone kamuflitan, malican ŝanĝon, aŭ nekorektitan vundeblecon venditan al Zerodium, firmao kiu aĉetas 0-tagan. vundeblecoj (Zerodium respondis ke ĝi ne aĉetis informojn pri la PHP-vundebleco).
Nuntempe, ne ekzistas detalaj informoj pri la okazaĵo; oni supozas, ke la ŝanĝoj estis aldonitaj kiel rezulto de la hakado de la servilo git.php.net, kaj ne la kompromiso de individuaj programistoj. La analizo de la deponejo komenciĝis por la ĉeesto de aliaj malicaj ŝanĝoj krom la identigitaj problemoj. Ĉiuj estas invitataj revizii; se suspektindaj ŝanĝoj estas detektitaj, vi sendu informojn al [retpoŝte protektita].
Koncerne la transiron al GitHub, por akiri skriban aliron al la nova deponejo, evoluaj partoprenantoj devas esti parto de la PHP-organizo. Tiuj, kiuj ne estas listigitaj kiel PHP-programistoj en GitHub, devas kontakti Nikita Popov retpoŝte [retpoŝte protektita]. Por aldoni, deviga postulo estas ebligi dufaktoran aŭtentikigon. Post akiri la taŭgajn rajtojn por ŝanĝi la deponejon, simple rulu la komandon "git remote set-url origin [retpoŝte protektita]:php/php-src.git". Aldone, la afero pri transloĝiĝo al deviga atestado de kompromisoj kun cifereca subskribo de la programisto estas konsiderata. Estas ankaŭ proponite malpermesi la rektan aldonon de ŝanĝoj kiuj ne spertis antaŭan revizion.
fonto: opennet.ru