PHP પ્રોજેક્ટના ડેવલપર્સે PHPના સ્થાપક રાસ્મસ લેર્ડોર્ફ અને નિકિતા પોપોવ વતી 28 માર્ચે પ્રોજેક્ટના ગિટ રિપોઝીટરીમાં થયેલા સમાધાન અને php-src રિપોઝીટરીમાં ઉમેરાયેલા બે દૂષિત કમિટ્સની શોધ વિશે ચેતવણી આપી હતી. PHP ના મુખ્ય વિકાસકર્તાઓ.
સર્વર કે જેના પર Git રિપોઝીટરી હોસ્ટ કરવામાં આવી હતી તેની વિશ્વસનીયતામાં કોઈ વિશ્વાસ ન હોવાથી, વિકાસકર્તાઓએ નક્કી કર્યું કે Git ઈન્ફ્રાસ્ટ્રક્ચરને પોતાની રીતે જાળવવાથી વધારાના સુરક્ષા જોખમો સર્જાય છે અને સંદર્ભ રિપોઝીટરીને GitHub પ્લેટફોર્મ પર ખસેડવામાં આવી છે, જેનો ઉપયોગ કરવાની દરખાસ્ત છે. પ્રાથમિક તરીકે. બધા ફેરફારો હવે GitHub પર મોકલવા જોઈએ, અને git.php.net પર નહીં, વિકાસ કરતી વખતે, તમે હવે GitHub વેબ ઈન્ટરફેસનો ઉપયોગ કરી શકો છો.
પ્રથમ દૂષિત કમિટમાં, ફાઇલ ext/zlib/zlib.c માં ટાઇપો સુધારવાની આડમાં, એક ફેરફાર કરવામાં આવ્યો હતો જે વપરાશકર્તા એજન્ટ HTTP હેડરમાં પસાર થયેલ PHP કોડને ચલાવશે જો સામગ્રી "ઝીરોડિયમ" શબ્દથી શરૂ થાય છે " વિકાસકર્તાઓએ દૂષિત ફેરફારની નોંધ લીધી અને તેને પાછું ફેરવ્યા પછી, રિપોઝીટરીમાં બીજી પ્રતિબદ્ધતા દેખાઈ, જેણે દૂષિત ફેરફારને પાછું લાવવા માટે PHP વિકાસકર્તાઓની ક્રિયાને પાછી ખેંચી.
ઉમેરવામાં આવેલ કોડમાં "REMOVETHIS: zerodium, mid 2017 ને વેચવામાં આવેલ" વાક્ય શામેલ છે, જે સંકેત આપી શકે છે કે 2017 થી કોડમાં અન્ય, સારી રીતે છદ્મવેષી, દૂષિત ફેરફાર અથવા 0-દિવસની ખરીદી કરતી કંપની Zerodium ને વેચવામાં આવેલી અસુધારિત નબળાઈ છે. નબળાઈઓ ( Zerodium એ જવાબ આપ્યો કે તેણે PHP નબળાઈ વિશેની માહિતી ખરીદી નથી).
આ સમયે, ઘટના વિશે કોઈ વિગતવાર માહિતી નથી; ફક્ત એવું માનવામાં આવે છે કે ફેરફારો git.php.net સર્વરના હેકિંગના પરિણામે ઉમેરવામાં આવ્યા હતા, અને વ્યક્તિગત વિકાસકર્તા એકાઉન્ટ્સ સાથે સમાધાન નહીં. ઓળખાયેલ સમસ્યાઓ ઉપરાંત અન્ય દૂષિત ફેરફારોની હાજરી માટે રીપોઝીટરીનું વિશ્લેષણ શરૂ થયું છે. દરેક વ્યક્તિને સમીક્ષા માટે આમંત્રિત કરવામાં આવે છે; જો શંકાસ્પદ ફેરફારો મળી આવે, તો તમારે માહિતી મોકલવી જોઈએ [ઇમેઇલ સુરક્ષિત].
GitHub માં સંક્રમણ અંગે, નવા રિપોઝીટરીમાં લખવાની ઍક્સેસ મેળવવા માટે, વિકાસ સહભાગીઓએ PHP સંસ્થાનો ભાગ હોવો જોઈએ. જેઓ GitHub પર PHP વિકાસકર્તાઓ તરીકે સૂચિબદ્ધ નથી તેઓએ નિકિતા પોપોવનો ઇમેઇલ દ્વારા સંપર્ક કરવો જોઈએ [ઇમેઇલ સુરક્ષિત]. ઉમેરવા માટે, ફરજિયાત આવશ્યકતા બે-પરિબળ પ્રમાણીકરણને સક્ષમ કરવાની છે. રિપોઝીટરી બદલવા માટેના યોગ્ય અધિકારો મેળવ્યા પછી, ફક્ત "git remote set-url origin" આદેશ ચલાવો [ઇમેઇલ સુરક્ષિત]:php/php-src.git" વધુમાં, ડેવલપરના ડિજિટલ હસ્તાક્ષર સાથે કમિટ્સના ફરજિયાત પ્રમાણપત્ર તરફ જવાના મુદ્દા પર વિચારણા કરવામાં આવી રહી છે. અગાઉ સમીક્ષા કરવામાં આવી ન હોય તેવા ફેરફારોના સીધા ઉમેરા પર પ્રતિબંધ મૂકવાનો પણ પ્રસ્તાવ છે.
સોર્સ: opennet.ru