ProHoster > وبلاگ > اخبار اینترنتی > تغییرات مخرب در مخزن Git پروژه PHP شناسایی شده است

تغییرات مخرب در مخزن Git پروژه PHP شناسایی شده است

توسعه دهندگان پروژه PHP در مورد به خطر افتادن مخزن Git پروژه و کشف دو commit مخرب اضافه شده به مخزن php-src در 28 مارس از طرف راسموس لردورف، بنیانگذار PHP، و نیکیتا پوپوف، یکی از PHP هشدار دادند. توسعه دهندگان کلیدی PHP

از آنجایی که اطمینانی به قابلیت اطمینان سروری که مخزن Git روی آن میزبانی شده است وجود ندارد، توسعه دهندگان تصمیم گرفتند که حفظ زیرساخت Git به تنهایی خطرات امنیتی بیشتری ایجاد می کند و مخزن مرجع را به پلتفرم GitHub منتقل کردند، که پیشنهاد می شود از آن استفاده شود. به عنوان اولیه همه تغییرات اکنون باید به GitHub ارسال شوند و نه به git.php.net، از جمله در هنگام توسعه، اکنون می توانید از رابط وب GitHub استفاده کنید.

در اولین ارتکاب مخرب، تحت عنوان رفع یک اشتباه تایپی در فایل ext/zlib/zlib.c، تغییری ایجاد شد که در صورتی که محتوا با کلمه "zerodium" شروع شود، کد PHP ارسال شده در هدر HTTP Agent را اجرا می کند. ". پس از اینکه توسعه دهندگان متوجه تغییر مخرب شدند و آن را برگرداندند، یک commit دوم در مخزن ظاهر شد که اقدام توسعه دهندگان PHP برای برگرداندن تغییرات مخرب را برگرداند.

کد اضافه شده حاوی خط "REMOVETHIS: فروخته شده به zerodium، اواسط 2017" است، که ممکن است به این نکته اشاره کند که از سال 2017 این کد حاوی یک تغییر مخرب دیگر، به خوبی استتار شده، یا یک آسیب پذیری اصلاح نشده فروخته شده به Zerodium، شرکتی است که 0 روز خرید می کند. آسیب‌پذیری‌ها (زیرودیوم پاسخ داد که اطلاعاتی درباره آسیب‌پذیری PHP خریداری نکرده است).

در حال حاضر، اطلاعات دقیقی در مورد این حادثه وجود ندارد؛ تنها فرض بر این است که تغییرات در نتیجه هک سرور git.php.net اضافه شده است و نه به خطر افتادن حساب های توسعه دهنده فردی. تجزیه و تحلیل مخزن برای وجود تغییرات مخرب دیگر علاوه بر مشکلات شناسایی شده آغاز شده است. از همه دعوت می شود تا بررسی کنند؛ اگر تغییرات مشکوکی شناسایی شد، باید اطلاعات را به آن ارسال کنید [ایمیل محافظت شده].

با توجه به انتقال به GitHub، برای دستیابی به دسترسی نوشتن به مخزن جدید، شرکت کنندگان توسعه باید بخشی از سازمان PHP باشند. کسانی که به عنوان توسعه دهندگان PHP در GitHub فهرست نشده اند، باید از طریق ایمیل با نیکیتا پوپوف تماس بگیرند [ایمیل محافظت شده]. برای اضافه کردن، یک الزام اجباری فعال کردن احراز هویت دو مرحله‌ای است. پس از به دست آوردن حقوق مناسب برای تغییر مخزن، فقط دستور "git remote set-url origin" را اجرا کنید. [ایمیل محافظت شده]:php/php-src.git". علاوه بر این، موضوع انتقال به گواهی اجباری تعهدات با امضای دیجیتالی توسعه‌دهنده در حال بررسی است. همچنین پیشنهاد می‌شود از افزودن مستقیم تغییراتی که قبلاً بررسی نشده‌اند، ممنوع شود.

منبع: opennet.ru

اضافه کردن نظر