PHP-projekti arendajad hoiatasid projekti Git-hoidla kompromiteerimise ja php-src hoidlasse 28. märtsil PHP-i asutaja Rasmus Lerdorfi ja Nikita Popovi, ühe php-src hoidlasse lisatud kahe pahatahtliku toimepanemise avastamise eest. PHP peamised arendajad.
Kuna Giti hoidla majutatud serveri usaldusväärsuses ei ole kindlustunnet, otsustasid arendajad, et Giti taristu omaette hooldamine tekitab täiendavaid turvariske ja viisid viitehoidla GitHubi platvormile, mida soovitatakse kasutada. kui esmane. Kõik muudatused tuleks nüüd saata GitHubi, mitte git.php.net, sealhulgas arendamisel saate nüüd kasutada GitHubi veebiliidest.
Esimeses pahatahtlikus sissekandes tehti faili ext/zlib/zlib.c kirjavea parandamise varjus muudatus, mis käivitaks User Agent HTTP päises edastatud PHP koodi, kui sisu algas sõnaga "zerodium". ". Pärast seda, kui arendajad märkasid pahatahtlikku muudatust ja selle tagasi tõid, ilmus hoidlasse teine kohustus, mis tühistas PHP arendajate tegevuse pahatahtliku muudatuse tühistamiseks.
Lisatud kood sisaldab rida "REMOVETHIS: müüdud nullini, 2017. aasta keskel", mis võib vihjata, et alates 2017. aastast sisaldab kood teist, hästi maskeeritud, pahatahtlikku muudatust või parandamata haavatavust, mis on müüdud 0-päevast ostvale ettevõttele Zerodium. haavatavused (Zerodium vastas, et ei ostnud teavet PHP haavatavuse kohta).
Hetkel täpsemat teavet juhtunu kohta ei ole, vaid oletatakse, et muudatused lisati git.php.net serveri häkkimise, mitte üksikute arendajakontode kompromiteerimise tulemusena. Hoidla analüüs on alanud lisaks tuvastatud probleemidele ka muude pahatahtlike muudatuste leidmiseks. Kõik on oodatud üle vaatama, kahtlaste muudatuste avastamisel tuleks info saata aadressile [meiliga kaitstud].
Mis puudutab GitHubile üleminekut, siis uuele hoidlale kirjutamisõiguse saamiseks peavad arenduses osalejad kuuluma PHP organisatsiooni. Need, kes pole GitHubis PHP-arendajate loendis, peaksid Nikita Popoviga e-posti teel ühendust võtma [meiliga kaitstud]. Lisamiseks on kohustuslik nõue lubada kahefaktoriline autentimine. Pärast hoidla muutmiseks vajalike õiguste saamist käivitage lihtsalt käsk "git remote set-url origin [meiliga kaitstud]:php/php-src.git". Lisaks kaalutakse üleminekut kohustuste kohustuslikule sertifitseerimisele arendaja digiallkirjaga. Samuti tehakse ettepanek keelata muudatuste otsene lisamine, mis ei ole eelnevalt läbi vaadatud.
Allikas: opennet.ru