Pengembang proyek PHP memperingatkan tentang kompromi repositori Git proyek dan penemuan dua komitmen jahat yang ditambahkan ke repositori php-src pada tanggal 28 Maret atas nama Rasmus Lerdorf, pendiri PHP, dan Nikita Popov, salah satu dari pengembang utama PHP.
Karena tidak ada kepercayaan pada keandalan server tempat repositori Git dihosting, pengembang memutuskan bahwa memelihara infrastruktur Git sendiri menciptakan risiko keamanan tambahan dan memindahkan repositori referensi ke platform GitHub, yang diusulkan untuk digunakan. sebagai yang utama. Semua perubahan sekarang harus dikirim ke GitHub, bukan ke git.php.net, termasuk saat mengembangkan, Anda sekarang dapat menggunakan antarmuka web GitHub.
Dalam komit jahat pertama, dengan kedok memperbaiki kesalahan ketik pada file ext/zlib/zlib.c, perubahan dilakukan yang akan menjalankan kode PHP yang diteruskan di header HTTP Agen Pengguna jika konten dimulai dengan kata "zerodium ". Setelah pengembang memperhatikan perubahan berbahaya dan mengembalikannya, komit kedua muncul di repositori, yang mengembalikan tindakan pengembang PHP untuk mengembalikan perubahan berbahaya.
Kode yang ditambahkan berisi baris “REMOVETHIS: dijual ke zerodium, pertengahan 2017,” yang mungkin mengisyaratkan bahwa sejak tahun 2017 kode tersebut berisi perubahan berbahaya lainnya yang disamarkan dengan baik, atau kerentanan yang belum diperbaiki yang dijual ke Zerodium, sebuah perusahaan yang membeli 0-hari kerentanan ( Zerodium menjawab bahwa mereka tidak membeli informasi tentang kerentanan PHP).
Saat ini, belum ada informasi rinci mengenai kejadian tersebut; hanya diasumsikan bahwa perubahan tersebut ditambahkan sebagai akibat dari peretasan server git.php.net, dan bukan penyusupan akun pengembang individu. Analisis repositori telah dimulai untuk mengetahui adanya perubahan berbahaya lainnya selain masalah yang teridentifikasi. Setiap orang diundang untuk meninjau; jika perubahan mencurigakan terdeteksi, Anda harus mengirimkan informasi ke [email dilindungi].
Mengenai transisi ke GitHub, untuk mendapatkan akses tulis ke repositori baru, peserta pengembangan harus menjadi bagian dari organisasi PHP. Mereka yang tidak terdaftar sebagai pengembang PHP di GitHub harus menghubungi Nikita Popov melalui email [email dilindungi]. Sebagai tambahan, persyaratan wajibnya adalah mengaktifkan otentikasi dua faktor. Setelah mendapatkan hak yang sesuai untuk mengubah repositori, jalankan saja perintah “git remote set-url origin [email dilindungi]:php/php-src.git". Selain itu, masalah peralihan ke sertifikasi wajib komitmen dengan tanda tangan digital pengembang sedang dipertimbangkan. Diusulkan juga untuk melarang penambahan langsung perubahan yang belum melalui tinjauan sebelumnya.
Sumber: opennet.ru