Hönnuðir PHP verkefnisins vöruðu við málamiðlun Git geymslu verkefnisins og uppgötvun á tveimur skaðlegum skuldbindingum sem bætt var við php-src geymsluna þann 28. mars fyrir hönd Rasmus Lerdorf, stofnanda PHP, og Nikita Popov, einn af lykilhönnuðir PHP.
Þar sem það er ekkert traust á áreiðanleika þjónsins sem Git geymsluna var hýst á, ákváðu verktaki að viðhalda Git innviðum á eigin spýtur skapar frekari öryggisáhættu og færðu viðmiðunargeymsluna yfir á GitHub vettvanginn, sem lagt er til að verði notaður. sem aðal. Allar breytingar ættu nú að vera sendar til GitHub, en ekki til git.php.net, þar með talið þegar þú þróar, þú getur nú notað GitHub vefviðmótið.
Í fyrsta illgjarna framsetningunni, undir því yfirskini að lagfært væri innsláttarvillu í skránni ext/zlib/zlib.c, var gerð breyting sem myndi keyra PHP kóðann sem var færður í HTTP haus User Agent ef efnið byrjaði á orðinu "zerodium ". Eftir að verktaki tók eftir illgjarnri breytingu og sneri henni til baka, birtist önnur skuldbinding í geymslunni, sem sneri til baka aðgerð PHP þróunaraðila til að snúa illgjarnri breytingu til baka.
Kóðinn sem bætt er við inniheldur línuna „REMOVETHIS: sold to zerodium, mid 2017,“ sem gæti gefið í skyn að síðan 2017 hafi kóðinn innihaldið aðra, vel dulbúna, illgjarna breytingu eða óleiðréttan varnarleysi sem seldur er til Zerodium, fyrirtækis sem kaupir 0-daga. veikleika (Zerodium svaraði því til að það keypti ekki upplýsingar um PHP varnarleysið).
Á þessari stundu eru engar nákvæmar upplýsingar um atvikið; það er aðeins gert ráð fyrir að breytingunum hafi verið bætt við vegna innbrots á git.php.net netþjóninn, en ekki málamiðlun einstakra þróunarreikninga. Greining á geymslunni er hafin með tilliti til tilvistar annarra skaðlegra breytinga til viðbótar við tilgreind vandamál. Allir eru hvattir til að skoða, ef grunsamlegar breytingar finnast ættir þú að senda upplýsingar á [netvarið].
Varðandi umskiptin yfir í GitHub, til að fá skrifaðgang að nýju geymslunni, verða þróunaraðilar að vera hluti af PHP stofnuninni. Þeir sem eru ekki skráðir sem PHP forritarar á GitHub ættu að hafa samband við Nikita Popov með tölvupósti [netvarið]. Til að bæta við er lögboðin krafa að virkja tvíþætta auðkenningu. Eftir að hafa fengið viðeigandi réttindi til að breyta geymslunni skaltu bara keyra skipunina „git remote set-url origin [netvarið]:php/php-src.git". Að auki er verið að huga að því að fara yfir í lögboðna vottun skuldbindinga með stafrænni undirskrift framkvæmdaraðila. Jafnframt er lagt til að bannað verði að bæta beint við breytingum sem ekki hafa hlotið fyrri endurskoðun.
Heimild: opennet.ru