Les développeurs du projet PHP ont alerté sur la compromission du dépôt Git du projet et la découverte de deux commits malveillants ajoutés au dépôt php-src le 28 mars de la part de Rasmus Lerdorf, le fondateur de PHP, et Nikita Popov, l'un des développeurs clés de PHP.
Puisqu'il n'y a aucune confiance dans la fiabilité du serveur sur lequel le référentiel Git était hébergé, les développeurs ont décidé que la maintenance de l'infrastructure Git par eux-mêmes créait des risques de sécurité supplémentaires et ont déplacé le référentiel de référence vers la plate-forme GitHub, dont il est proposé d'utiliser comme le principal. Toutes les modifications doivent désormais être envoyées à GitHub, et non à git.php.net, y compris lors du développement, vous pouvez désormais utiliser l'interface web de GitHub.
Dans le premier commit malveillant, sous couvert de corriger une faute de frappe dans le fichier ext/zlib/zlib.c, une modification a été apportée qui exécuterait le code PHP transmis dans l'en-tête HTTP de l'agent utilisateur si le contenu commençait par le mot "zerodium". ". Après que les développeurs ont remarqué la modification malveillante et l'ont annulée, un deuxième commit est apparu dans le référentiel, qui a annulé l'action des développeurs PHP visant à annuler la modification malveillante.
Le code ajouté contient la ligne « REMOVETHIS : vendu à Zerodium, mi-2017 », ce qui peut laisser entendre que depuis 2017, le code contient une autre modification malveillante, bien camouflée, ou une vulnérabilité non corrigée vendue à Zerodium, une société qui achète des logiciels 0-day. vulnérabilités ( Zerodium a répondu qu'il n'avait pas acheté d'informations sur la vulnérabilité PHP).
Pour le moment, il n'y a aucune information détaillée sur l'incident ; on suppose seulement que les modifications ont été ajoutées à la suite du piratage du serveur git.php.net, et non de la compromission des comptes de développeurs individuels. L'analyse du référentiel a commencé pour détecter la présence d'autres modifications malveillantes en plus des problèmes identifiés. Tout le monde est invité à examiner ; si des changements suspects sont détectés, vous devez envoyer des informations à [email protected].
Concernant la transition vers GitHub, afin d'obtenir un accès en écriture au nouveau référentiel, les participants au développement doivent faire partie de l'organisation PHP. Ceux qui ne sont pas répertoriés comme développeurs PHP sur GitHub doivent contacter Nikita Popov par email [email protected]. Pour ajouter, une exigence obligatoire est d’activer l’authentification à deux facteurs. Après avoir obtenu les droits appropriés pour modifier le référentiel, exécutez simplement la commande « git remote set-url origin [email protected]:php/php-src.git". De plus, la question du passage à une certification obligatoire des engagements avec une signature numérique du développeur est à l'étude. Il est également proposé d'interdire l'ajout direct de modifications qui n'ont pas fait l'objet d'un examen préalable.
Source: opennet.ru