Pangembang proyek PHP ngelingake babagan kompromi repositori Git proyek kasebut lan panemuan rong komit jahat sing ditambahake ing gudang php-src tanggal 28 Maret atas jenenge Rasmus Lerdorf, pangadeg PHP, lan Nikita Popov, salah sawijining pangembang utama PHP.
Amarga ora ana kapercayan ing linuwih server sing dadi host repositori Git, para pangembang mutusake yen njaga infrastruktur Git dhewe nggawe risiko keamanan tambahan lan mindhah repositori referensi menyang platform GitHub, sing diusulake kanggo digunakake. minangka utami. Kabeh owah-owahan saiki kudu dikirim menyang GitHub, lan ora menyang git.php.net, kalebu nalika ngembangake, sampeyan saiki bisa nggunakake antarmuka web GitHub.
Ing tumindak angkoro pisanan, kanthi nyamar ndandani kesalahan ketik ing file ext/zlib/zlib.c, owah-owahan digawe sing bakal mbukak kode PHP sing dilewati ing header HTTP Agen Panganggo yen isi kasebut diwiwiti kanthi tembung "zerodium ". Sawise pangembang ngelingi owah-owahan angkoro lan dibalèkaké, komit kapindho muncul ing repositori, sing mbalèkaké tumindak pangembang PHP kanggo mbalèkaké owah-owahan sing ala.
Kode sing ditambahake ngemot baris "REMOVETHIS: didol menyang zerodium, pertengahan 2017," sing bisa uga nuduhake manawa wiwit taun 2017 kode kasebut ngemot owah-owahan liyane, uga-camouflaged, angkoro, utawa kerentanan sing ora dikoreksi sing didol menyang Zerodium, perusahaan sing tuku 0 dina. kerentanan (Zerodium nanggapi yen ora tuku informasi babagan kerentanan PHP).
Ing wektu iki, ora ana informasi rinci babagan kedadeyan kasebut; mung dianggep yen owah-owahan kasebut ditambahake minangka akibat saka peretasan server git.php.net, lan dudu kompromi saka akun pangembang individu. Analisis repositori wis diwiwiti kanggo ananΓ© owah-owahan angkoro liyane saliyane masalah sing diidentifikasi. Saben uwong diundang kanggo mriksa; yen owah-owahan sing curiga dideteksi, sampeyan kudu ngirim informasi menyang [email dilindhungi].
Babagan transisi menyang GitHub, kanggo entuk akses nulis menyang repositori anyar, peserta pangembangan kudu dadi bagian saka organisasi PHP. Sing ora kadhaptar minangka pangembang PHP ing GitHub kudu ngubungi Nikita Popov liwat email [email dilindhungi]. Kanggo nambah, syarat wajib yaiku ngaktifake otentikasi rong faktor. Sawise entuk hak sing cocog kanggo ngganti repositori, mung mbukak printah "git remote set-url origin [email dilindhungi]:php/php-src.git". Kajaba iku, masalah pindhah menyang sertifikasi wajib komitmen karo teken digital pangembang lagi dianggep. Sampeyan uga diusulake kanggo nglarang tambahan langsung saka owah-owahan sing durung ngalami review sadurunge.
Source: opennet.ru