PHP-projektin kehittäjät ovat varoittaneet projektin Git-arkiston vaarantumisesta ja kahdesta haitallisesta commitista, jotka lisättiin 28. maaliskuuta php-src-arkistoon PHP:n perustajan Rasmus Lerdorfin ja yhden PHP:n avainkehittäjien Nikita Popovin puolesta.
Koska Git-arkiston ylläpitävän palvelimen luotettavuus oli epävarmaa, kehittäjät päättivät, että oman Git-infrastruktuurin ylläpitäminen loisi lisää tietoturvariskejä, ja siirsivät referenssiarkiston GitHubiin, jota he aikovat käyttää ensisijaisena alustana. Kaikki muutokset tulee nyt lähettää GitHubiin, ei git.php.net-sivustolle, ja GitHubin web-käyttöliittymää voidaan nyt käyttää kehitykseen.
Ensimmäinen haitallinen commit, jonka väitettiin korjaavan kirjoitusvirheen tiedostossa ext/zlib/zlib.c, toi mukanaan muutoksen, joka suoritti User Agentin HTTP-otsikossa annetun PHP-koodin, jos sisältö alkoi sanalla "zerodium". Kun kehittäjät huomasivat haitallisen muutoksen ja peruivat sen, repositorioon lisättiin toinen commit, joka kumosi PHP-kehittäjien toiminnan ja perui haitallisen muutoksen.
Lisätty koodi sisältää rivin "REMOVETHIS: sold to zerodium, mid 2017", mikä saattaa viitata siihen, että koodissa on vuodesta 2017 lähtien ollut toinen, erittäin peitelty, haitallinen muutos tai korjaamaton haavoittuvuus, joka on myyty Zerodiumille, yritykselle, joka ostaa nollapäivähaavoittuvuuksia (Zerodium vastasi, ettei se ostanut tietoja PHP-haavoittuvuudesta).
Tapauksesta ei ole tällä hetkellä tarkempia tietoja, mutta muutosten oletetaan olevan seurausta tietomurrosta. palvelin git.php.net, ei yksittäisten kehittäjätilien vaarantuminen. Tietovaraston analysointi muiden haitallisten muutosten varalta tunnistettujen ongelmien lisäksi on aloitettu. Kaikki muutosten tarkastelusta kiinnostuneet ovat tervetulleita. Jos havaitset epäilyttäviä muutoksia, lähetä tiedot osoitteeseen security@php.net.
GitHubiin siirtymisen osalta kehittäjien on oltava PHP-organisaation jäseniä saadakseen kirjoitusoikeudet uuteen repositorioon. Niiden, jotka eivät ole GitHubin PHP-kehittäjiä, tulee ottaa yhteyttä Nikita Popoviin osoitteessa nikic@php.net. Repositorion lisäämiseksi on otettava käyttöön kaksivaiheinen todennus. Kun sinulla on tarvittavat oikeudet, suorita komento "git remote set-url origin git@github.com:php/php-src.git" vaihtaaksesi repositorion. Myös siirtymistä pakolliseen digitaalisen allekirjoituksen varmennukseen commit-muutoksissa harkitaan. Ehdotetaan myös sellaisten muutosten suoran lisäämisen kieltoa, joita ei ole aiemmin tarkistettu.
Lähde: opennet.ru
