Thug forbróirí an tionscadail PHP rabhadh faoi chomhréiteach stór Git an tionscadail agus fionnachtain dhá ghealltanas mailíseach a cuireadh leis an stór php-src an 28 Márta thar ceann Rasmus Lerdorf, bunaitheoir PHP, agus Nikita Popov, ceann de na príomhfhorbróirí PHP.
Ós rud é nach bhfuil aon mhuinín in iontaofacht an fhreastalaí ar a raibh an stór Git á óstáil, chinn na forbróirí go gcruthódh cothabháil an bhonneagair Git ina n-aonar rioscaí slándála breise agus bhog siad an stór tagartha chuig an ardán GitHub, atá beartaithe a úsáid. mar an bunrang. Ba cheart gach athrú a sheoladh chuig GitHub anois, agus ní chuig git.php.net, lena n-áirítear nuair a bhíonn tú ag forbairt, is féidir leat comhéadan gréasáin GitHub a úsáid anois.
Sa chéad ghealltanas mailíseach, faoi chruth clóscríobhán a shocrú sa chomhad ext/zlib/zlib.c, rinneadh athrú a rithfeadh an cód PHP a ritheadh sa cheanntásc HTTP Gníomhaire Úsáideora dá dtosódh an t-ábhar leis an bhfocal "zerodium" “. Tar éis do na forbróirí an t-athrú mailíseach a thabhairt faoi deara agus é a thabhairt ar ais, tháinig an dara gealltanas sa stór, rud a chuir gníomh na bhforbróirí PHP ar ais chun an t-athrú mailíseach a thabhairt ar ais.
Sa chód breise tá an líne “REMOVETHIS: díolta le zerodium, lár 2017,” a d’fhéadfadh a thabhairt le tuiscint go bhfuil athrú mailíseach eile, dea-camouflaged, nó leochaileacht neamhcheartaithe a dhíoltar le Zerodium, cuideachta a cheannaíonn 2017-lá, sa chód ó 0 i leith. leochaileachtaí (D'fhreagair Zerodium nár cheannaigh sé faisnéis faoi leochaileacht PHP).
Ag an am seo, níl aon fhaisnéis mhionsonraithe faoin eachtra; ní ghlactar leis ach gur cuireadh na hathruithe leis mar thoradh ar hack an fhreastalaí git.php.net, agus ní mar gheall ar chomhréiteach na gcuntas forbróra aonair. Tá tús curtha le hanailís an taisclainne maidir le láithreacht athruithe mailíseacha eile de bhreis ar na fadhbanna a aithníodh. Tugtar cuireadh do gach duine athbhreithniú a dhéanamh; má aimsítear athruithe amhrasacha, ba cheart duit faisnéis a sheoladh chuig [ríomhphost faoi chosaint].
Maidir leis an aistriú go GitHub, chun rochtain scríofa a fháil ar an stór nua, ní mór do rannpháirtithe forbartha a bheith mar chuid den eagraíocht PHP. Ba cheart dóibh siúd nach bhfuil liostaithe mar fhorbróirí PHP ar GitHub teagmháil a dhéanamh le Nikita Popov trí ríomhphost [ríomhphost faoi chosaint]. Lena chois sin, tá ceanglas éigeantach fíordheimhniú dhá fhachtóir a chumasú. Tar éis na cearta cuí a fháil chun an stór a athrú, níl le déanamh ach an t-ordú “git remote set-url origin [ríomhphost faoi chosaint]:php/php-src.git". Ina theannta sin, tá an tsaincheist maidir le bogadh chuig deimhniú éigeantach ar ghealltanais le síniú digiteach an fhorbróra á breithniú. Tá sé beartaithe freisin cosc a chur ar athruithe nach ndearnadh athbhreithniú orthu roimhe seo a chur leis go díreach.
Foinse: oscailtenet.ru