PHP-projektin kehittäjät varoittivat projektin Git-tietovaraston vaarantumisesta ja kahden php-src-tietovarastoon lisätyn haitallisen sitoumuksen löytämisestä 28. maaliskuuta PHP:n perustajan Rasmus Lerdorfin ja Nikita Popovin, yhden PHP:n tärkeimmät kehittäjät.
Koska Git-arkistoa isännöidyn palvelimen luotettavuuteen ei uskota, kehittäjät päättivät, että Git-infrastruktuurin ylläpitäminen yksinään aiheuttaa lisäturvariskejä ja siirsivät viitetietovaraston GitHub-alustalle, jota ehdotetaan käytettäväksi. ensisijaisena. Kaikki muutokset tulee nyt lähettää GitHubiin, ei git.php.net-osoitteeseen, mukaan lukien kehitettäessä, voit nyt käyttää GitHubin verkkokäyttöliittymää.
Ensimmäisessä haitallisessa sitoumuksessa tehtiin tiedoston ext/zlib/zlib.c kirjoitusvirheen korjaamisen varjolla muutos, joka ajaisi User Agentin HTTP-otsikossa välitetyn PHP-koodin, jos sisältö alkoi sanalla "zerodium". ". Kun kehittäjät huomasivat haitallisen muutoksen ja peruuttivat sen, arkistoon ilmestyi toinen sitoumus, joka kumosi PHP-kehittäjien toiminnan haitallisen muutoksen palauttamiseksi.
Lisätty koodi sisältää rivin "REMOVETHIS: myd to zerodium, mid 2017", mikä saattaa vihjata, että vuodesta 2017 lähtien koodi sisältää toisen, hyvin naamioituneen, haitallisen muutoksen tai korjaamattoman haavoittuvuuden, joka on myyty Zerodiumille, yritykselle, joka ostaa 0 päivää. haavoittuvuuksia (Zerodium vastasi, ettei se ostanut tietoja PHP-haavoittuvuudesta).
Tällä hetkellä tapauksesta ei ole tarkempaa tietoa, oletetaan vain, että muutokset on lisätty git.php.net-palvelimen hakkeroinnin seurauksena, ei yksittäisten kehittäjätilien vaarantumisen seurauksena. Arkiston analysointi on aloitettu havaittujen ongelmien lisäksi muiden haitallisten muutosten varalta. Kaikki ovat tervetulleita tarkistamaan, jos epäilyttäviä muutoksia havaitaan, sinun tulee lähettää tiedot osoitteeseen [sähköposti suojattu].
Mitä tulee GitHubiin siirtymiseen, kehitysosallistujien on oltava osa PHP-organisaatiota saadakseen kirjoitusoikeudet uuteen tietovarastoon. Niiden, joita ei ole listattu PHP-kehittäjiksi GitHubissa, tulee ottaa yhteyttä Nikita Popoviin sähköpostitse [sähköposti suojattu]. Lisäksi pakollinen vaatimus on ottaa käyttöön kaksivaiheinen todennus. Kun olet hankkinut tarvittavat oikeudet muuttaa arkiston, suorita komento "git remote set-url origin [sähköposti suojattu]:php/php-src.git". Lisäksi harkitaan siirtymistä sitoumusten pakolliseen sertifiointiin kehittäjän digitaalisella allekirjoituksella. Lisäksi ehdotetaan, että kielletään sellaisten muutosten suora lisääminen, joita ei ole tarkistettu etukäteen.
Lähde: opennet.ru