Os desenvolvedores do proxecto PHP advertiron sobre o compromiso do repositorio Git do proxecto e o descubrimento de dous commits maliciosos engadidos ao repositorio php-src o 28 de marzo en nome de Rasmus Lerdorf, o fundador de PHP, e Nikita Popov, un dos desenvolvedores clave de PHP.
Dado que non hai confianza na fiabilidade do servidor no que estaba aloxado o repositorio de Git, os desenvolvedores decidiron que manter a infraestrutura de Git por si mesmos xera riscos de seguridade adicionais e trasladaron o repositorio de referencia á plataforma GitHub, que se propón que se use. como o principal. Agora todos os cambios deberían enviarse a GitHub e non a git.php.net, incluso cando se desenvolve, agora podes usar a interface web de GitHub.
Na primeira confirmación maliciosa, baixo o pretexto de corrixir un erro de tipografía no ficheiro ext/zlib/zlib.c, realizouse un cambio que executaría o código PHP pasado na cabeceira HTTP do axente de usuario se o contido comezase coa palabra "zerodium". ". Despois de que os desenvolvedores notaran o cambio malicioso e o reverteran, apareceu unha segunda confirmación no repositorio, que reverteu a acción dos desenvolvedores de PHP para reverter o cambio malicioso.
O código engadido contén a liña "REMOVETHIS: sold to zerodium, mid 2017", que pode indicar que desde 2017 o código contén outro cambio malicioso ben camuflado ou unha vulnerabilidade sen corrixir vendida a Zerodium, unha empresa que compra un día 0. vulnerabilidades ( Zerodium respondeu que non comprou información sobre a vulnerabilidade de PHP).
Neste momento, non hai información detallada sobre o incidente; só se supón que os cambios foron engadidos como resultado do pirateo do servidor git.php.net, e non polo compromiso das contas individuais de desenvolvedores. A análise do repositorio comezou para detectar a presenza doutros cambios maliciosos ademais dos problemas identificados. Todos están invitados a revisar; se se detectan cambios sospeitosos, debes enviar información a [protexido por correo electrónico].
No que respecta á transición a GitHub, para poder ter acceso de escritura ao novo repositorio, os participantes no desenvolvemento deben formar parte da organización PHP. Aqueles que non figuren como programadores PHP en GitHub deben contactar con Nikita Popov por correo electrónico [protexido por correo electrónico]. Para engadir, un requisito obrigatorio é habilitar a autenticación de dous factores. Despois de obter os dereitos axeitados para cambiar o repositorio, só tes que executar o comando "git remote set-url origin [protexido por correo electrónico]:php/php-src.git". Ademais, estase a considerar a cuestión de pasar á certificación obrigatoria dos compromisos cunha sinatura dixital do desenvolvedor. Tamén se propón prohibir a incorporación directa de modificacións que non fosen sometidas a revisión previa.
Fonte: opennet.ru