A PHP projekt fejlesztői figyelmeztettek a projekt Git tárházának kompromittálására és a php-src adattárba március 28-án hozzáadott két rosszindulatú commit felfedezésére Rasmus Lerdorf, a PHP alapítója és Nikita Popov, a PHP egyik alapítója nevében. a PHP kulcsfontosságú fejlesztői.
Mivel nincs bizalom annak a szervernek a megbízhatóságában, amelyen a Git adattárat tárolták, a fejlesztők úgy döntöttek, hogy a Git infrastruktúra önmagukban történő karbantartása további biztonsági kockázatokat jelent, és áthelyezték a referenciatárolót a GitHub platformra, amelyet használni javasoltak. mint az elsődleges. Minden módosítást most a GitHubba kell elküldeni, nem a git.php.net-re, beleértve a fejlesztést is, most már használhatja a GitHub webes felületét.
Az első rosszindulatú commit során az ext/zlib/zlib.c fájl elírásának javítása álcája alatt olyan változtatást hajtottak végre, amely a User Agent HTTP fejlécében átadott PHP-kódot futtatta volna, ha a tartalom a "zerodium" szóval kezdődik. ". Miután a fejlesztők észrevették a rosszindulatú változást, és visszaállították azt, egy második véglegesítés jelent meg a tárolóban, amely visszavonta a PHP fejlesztőinek a rosszindulatú változás visszaállítására irányuló intézkedését.
A hozzáadott kód tartalmazza a „REMOVETHIS: sell to zerodium, mid 2017” sort, ami arra utalhat, hogy 2017 óta a kód egy másik, jól álcázott, rosszindulatú változást tartalmaz, vagy egy javítatlan sebezhetőséget, amelyet a Zerodiumnak adtak el, egy 0-dayt vásárló cégnek. sebezhetőségek (a Zerodium azt válaszolta, hogy nem vásárolt információkat a PHP sebezhetőségéről).
Egyelőre nincs részletes információ az incidensről, csak feltételezhető, hogy a változtatások a git.php.net szerver feltörése, nem pedig az egyes fejlesztői fiókok kompromittálódása miatt történtek. Megkezdődött az adattár elemzése, hogy az azonosított problémákon kívül más rosszindulatú változások is jelen vannak-e. Mindenkit szeretettel várunk az áttekintésre, ha gyanús változásokat észlel, küldjön információt a címre [e-mail védett].
Ami a GitHub-ra való átállást illeti, annak érdekében, hogy írási hozzáférést kapjanak az új tárhelyhez, a fejlesztés résztvevőinek a PHP szervezetének kell lenniük. Azok, akik nem szerepelnek PHP-fejlesztőként a GitHubon, lépjenek kapcsolatba Nikita Popovval e-mailben [e-mail védett]. Hozzáadásul kötelező követelmény a kéttényezős hitelesítés engedélyezése. Miután megszerezte a megfelelő jogosultságokat a tároló módosításához, csak futtassa a „git remote set-url origin” parancsot [e-mail védett]:php/php-src.git". Ezenkívül fontolóra veszi a kötelezettségvállalásoknak a fejlesztő digitális aláírásával történő kötelező tanúsítására való áttérést. Javasoljuk továbbá, hogy tiltsák meg az előzetesen felül nem vizsgált változtatások közvetlen hozzáadását.
Forrás: opennet.ru