Þróunaraðilar PHP verkefnisins hafa varað við því að Git geymslunni hafi verið brotist inn og að tvær illgjarnar færslur hafi fundist sem bætt var við php-src geymsluna 28. mars fyrir hönd Rasmus Lerdorf, stofnanda PHP, og Nikita Popov, eins af lykilforriturum PHP.
Þar sem óvissa var um áreiðanleika netþjónsins sem hýsir Git-geymsluna ákváðu forritararnir að viðhald eigin Git-innviða skapaði frekari öryggisáhættu og fluttu viðmiðunargeymsluna yfir á GitHub, sem þeir hyggjast nota sem aðalvettvang. Allar breytingar ættu nú að vera sendar inn á GitHub, ekki git.php.net, og nú er hægt að nota GitHub-vefviðmótið til þróunar.
Fyrsta illgjarna breytingin, sem átti að leiðrétta innsláttarvillu í skránni ext/zlib/zlib.c, kynnti til sögunnar breytingu sem myndi keyra PHP kóða sem var sendur í HTTP hausinn á notandaumboðinu ef efnið byrjaði á orðinu „zerodium“. Eftir að forritararnir tóku eftir illgjarnri breytingunni og afturkölluðu hana, var önnur breyting bætt við geymsluna, sem sneri við aðgerðum PHP forritaranna og afturköllaði illgjarna breytinguna.
Viðbættur kóði inniheldur línuna „REMOVETHIS: seldur til zerodium, miðjan 2017,“ sem gæti bent til þess að frá árinu 2017 hafi kóðinn innihaldið aðra, mjög dulbúna, illgjarna breytingu eða óuppfærðan öryggisgalla sem seldur var til Zerodium, fyrirtækis sem kaupir núlldagsgalla (Zerodium svaraði að það hefði ekki keypt upplýsingar um PHP-galla).
Engar ítarlegar upplýsingar eru tiltækar um atvikið að svo stöddu, en talið er að breytingarnar hafi verið gerðar vegna tölvuárásar. miðlara git.php.net, ekki brot á einstökum forritarareikningum. Greining á gagnageymslunni fyrir aðrar skaðlegar breytingar auk þeirra vandamála sem greinst hafa hefur hafist. Allir sem hafa áhuga á að skoða breytingarnar eru velkomnir. Ef þú finnur einhverjar grunsamlegar breytingar, vinsamlegast sendu upplýsingar á security@php.net.
Varðandi flutninginn yfir á GitHub, til að fá skrifaðgang að nýja geymslunni, verða þróunaraðilar að vera meðlimir PHP-samtakanna. Þeir sem eru ekki PHP-forritarar á GitHub ættu að hafa samband við Nikita Popov á nikic@php.net. Tvíþátta auðkenning verður að vera virk til að bæta geymslunni við. Þegar þú hefur fengið nauðsynleg leyfi skaltu einfaldlega keyra skipunina "git remote set-url origin git@github.com:php/php-src.git" til að breyta geymslunni. Einnig er verið að íhuga að skipta yfir í skyldubundna staðfestingu stafrænnar undirskriftar fyrir commits. Einnig er lagt til að banna beina viðbót breytinga sem ekki hafa verið yfirfarnar áður.
Heimild: opennet.ru
