PHP プロジェクトの開発者は、PHP の創設者である Rasmus Lerdorf とプロジェクトのメンバーの 28 人である Nikita Popov を代表して、プロジェクトの Git リポジトリの侵害と、XNUMX 月 XNUMX 日に php-src リポジトリに追加された XNUMX つの悪意のあるコミットの発見について警告しました。 PHP の主要な開発者。
Git リポジトリがホストされているサーバーの信頼性に自信がないため、開発者は、Git インフラストラクチャを独自に維持すると追加のセキュリティ リスクが生じると判断し、参照リポジトリを GitHub プラットフォームに移動しました。GitHub プラットフォームの使用が提案されています。プライマリとして。 開発時を含め、すべての変更は git.php.net ではなく GitHub に送信されるようになり、GitHub Web インターフェイスを使用できるようになりました。
最初の悪意のあるコミットでは、ファイル ext/zlib/zlib.c のタイプミスを修正するという名目で、コンテンツが「zerodium」という単語で始まった場合にユーザー エージェント HTTP ヘッダーに渡された PHP コードを実行するように変更が加えられました。 」。 開発者が悪意のある変更に気づき、それを元に戻した後、XNUMX 番目のコミットがリポジトリに表示され、悪意のある変更を元に戻すための PHP 開発者のアクションが元に戻されました。
追加されたコードには、「REMOVETHIS: sold to zerodium, mid 2017」という行が含まれており、これは、2017 年以降、コードに別の巧妙にカモフラージュされた悪意のある変更、またはゼロデイ ライセンスを購入する会社である Zerodium に販売された未修正の脆弱性が含まれていることを示唆している可能性があります。脆弱性 (Zerodium は、PHP の脆弱性に関する情報は購入していないと回答しました)。
現時点では、このインシデントに関する詳細な情報はありません。変更は、個々の開発者アカウントの侵害ではなく、git.php.net サーバーのハッキングの結果として追加されたものとのみ考えられます。 特定された問題に加えて、他の悪意のある変更の存在についてリポジトリの分析が開始されました。 全員がレビューに招待されます。疑わしい変更が検出された場合は、次の宛先に情報を送信してください。 [メール保護].
GitHub への移行に関しては、新しいリポジトリへの書き込みアクセスを取得するには、開発参加者が PHP 組織の一員である必要があります。 GitHub に PHP 開発者としてリストされていない人は、電子メールで Nikita Popov に連絡してください。 [メール保護]。 さらに、必須の要件は XNUMX 要素認証を有効にすることです。 リポジトリを変更するための適切な権限を取得したら、コマンド「git remote set-urlorigin」を実行するだけです。 [メール保護]:php/php-src.git」。 さらに、開発者のデジタル署名によるコミットの認証を義務化する問題も検討されています。 また、事前レビューを受けていない変更を直接追加することを禁止することも提案されています。
出所: オープンネット.ru