PHP proiektuaren garatzaileek proiektuaren Git biltegiaren konpromezuaz eta php-src biltegian gehitutako bi konpromiso maltzurren aurkikuntzaz ohartarazi zuten martxoaren 28an Rasmus Lerdorf, PHP-ren sortzailea, eta Nikita Popov-en izenean. PHPren garatzaile nagusiak.
Git biltegia ostatatutako zerbitzariaren fidagarritasunean konfiantzarik ez dagoenez, garatzaileek erabaki zuten Git azpiegitura beren kabuz mantentzeak segurtasun arrisku gehigarriak sortzen dituela eta erreferentzia biltegia GitHub plataformara eraman zuten, hau erabiltzea proposatzen dena. lehen mailako gisa. Aldaketa guztiak GitHub-era bidali behar dira, eta ez git.php.net-era, garatzerakoan barne, orain GitHub web interfazea erabil dezakezu.
Lehenengo konpromiso gaiztoan, ext/zlib/zlib.c fitxategian akatsa konpontzeko moduan, aldaketa bat egin zen Erabiltzaile Agente HTTP goiburuan emandako PHP kodea exekutatuko zuen edukia "zerodium" hitzarekin hasten bazen. ". Garatzaileek aldaketa gaiztoa nabaritu eta hura leheneratu ondoren, bigarren konpromezu bat agertu zen biltegian, eta PHP garatzaileek aldaketa gaiztoa leheneratzeko egin zuten ekintza atzera bota zuen.
Gehitutako kodeak "REMOVETHIS: sale to zerodium, mid 2017" lerroa dauka, eta horrek aditzera eman dezake 2017az geroztik kodeak beste aldaketa maltzur bat, ondo kamuflatua, edo zuzendu gabeko ahultasun bat duela Zerodium, 0 eguneko erosten duen konpainia bat. ahultasunak (Zerodiumek erantzun zuen ez zuela PHP ahultasunari buruzko informaziorik erosi).
Une honetan, ez dago gertakariari buruzko informazio zehatzik; aldaketak git.php.net zerbitzariaren hackearen ondorioz gehitu zirela soilik suposatzen da, eta ez garatzaileen kontu indibidualen arriskuaren ondorioz. Biltegiaren analisia hasi da identifikatutako arazoez gain beste aldaketa gaizto batzuen presentziagatik. Guztiak berrikustera gonbidatuta daude; aldaketa susmagarriak hautematen badira, informazioa bidali behar diozu hona [posta elektroniko bidez babestua].
GitHub-erako trantsizioari dagokionez, biltegi berrira idazteko sarbidea lortzeko, garapen parte-hartzaileek PHP erakundearen parte izan behar dute. GitHub-en PHP garatzaile gisa zerrendatuta ez daudenek Nikita Popov-ekin harremanetan jarri beharko lukete posta elektronikoz [posta elektroniko bidez babestua]. Gehitzeko, derrigorrezko baldintza bat bi faktoreko autentifikazioa gaitzea da. Biltegia aldatzeko eskubide egokiak lortu ondoren, exekutatu komandoa "git remote set-url origin [posta elektroniko bidez babestua]:php/php-src.git". Gainera, garatzailearen sinadura digitala duten konpromisoen derrigorrezko ziurtagirira pasatzearen gaia aztertzen ari da. Era berean, aldez aurretik berrikuspenik izan ez duten aldaketak zuzenean gehitzea debekatzea proposatzen da.
Iturria: opennet.ru