Gli sviluppatori del progetto PHP hanno avvertito della compromissione del repository Git del progetto e della scoperta di due commit dannosi aggiunti al repository php-src il 28 marzo per conto di Rasmus Lerdorf, il fondatore di PHP, e Nikita Popov, uno dei sviluppatori chiave di PHP.
Poiché non c'è fiducia nell'affidabilità del server su cui è ospitato il repository Git, gli sviluppatori hanno deciso che il mantenimento dell'infrastruttura Git da soli crea ulteriori rischi per la sicurezza e hanno spostato il repository di riferimento sulla piattaforma GitHub, che si propone di utilizzare come quello primario. Tutte le modifiche ora dovrebbero essere inviate a GitHub e non a git.php.net, anche durante lo sviluppo, ora puoi utilizzare l'interfaccia web GitHub.
Nel primo commit dannoso, con il pretesto di correggere un errore di battitura nel file ext/zlib/zlib.c, è stata apportata una modifica che avrebbe eseguito il codice PHP passato nell'intestazione HTTP dell'agente utente se il contenuto iniziasse con la parola "zerodium ". Dopo che gli sviluppatori hanno notato la modifica dannosa e l'hanno annullata, nel repository è apparso un secondo commit, che ha annullato l'azione degli sviluppatori PHP per annullare la modifica dannosa.
Il codice aggiunto contiene la riga "REMOVETHIS: sold to zerodium, mid 2017", che potrebbe suggerire che dal 2017 il codice contenga un'altra modifica dannosa, ben camuffata, o una vulnerabilità non corretta venduta a Zerodium, una società che acquista 0-day vulnerabilità (Zerodium ha risposto di non aver acquistato informazioni sulla vulnerabilità PHP).
Al momento non ci sono informazioni dettagliate sull'incidente; si presume solo che le modifiche siano state aggiunte come risultato dell'hacking del server git.php.net e non della compromissione dei singoli account degli sviluppatori. È iniziata l'analisi del repository per la presenza di altre modifiche dannose oltre ai problemi identificati. Tutti sono invitati a rivedere; se vengono rilevati cambiamenti sospetti, è necessario inviare informazioni a [email protected].
Per quanto riguarda la transizione a GitHub, per ottenere l'accesso in scrittura al nuovo repository, i partecipanti allo sviluppo devono far parte dell'organizzazione PHP. Coloro che non sono elencati come sviluppatori PHP su GitHub dovrebbero contattare Nikita Popov via e-mail [email protected]. Inoltre, un requisito obbligatorio è abilitare l'autenticazione a due fattori. Dopo aver ottenuto gli opportuni diritti per modificare il repository, basta eseguire il comando “git remote set-url origin [email protected]:php/php-src.git". Inoltre, si sta valutando la questione del passaggio alla certificazione obbligatoria dei commit con firma digitale dello sviluppatore. Si propone inoltre di vietare l'aggiunta diretta di modifiche che non siano state sottoposte a revisione preventiva.
Fonte: opennet.ru