D'Entwéckler vum PHP-Projet hunn gewarnt iwwer de Kompromiss vum Git-Repository vum Projet an d'Entdeckung vun zwee béiswëlleg Verpflichtungen, déi den 28. Mäerz am php-src Repository am Numm vum Rasmus Lerdorf, dem Grënner vu PHP, an Nikita Popov, ee vun de Schlëssel Entwéckler vun PHP.
Well et kee Vertrauen an d'Zouverlässegkeet vum Server ass, op deem de Git-Repository gehost gouf, hunn d'Entwéckler decidéiert datt d'Git-Infrastruktur eleng ënnerhalen zousätzlech Sécherheetsrisiken erstellt an d'Referenzrepository op d'GitHub Plattform geplënnert, déi proposéiert gëtt benotzt ze ginn. als primär. All Ännerungen sollen elo op GitHub geschéckt ginn, an net op git.php.net, och wann Dir entwéckelt, kënnt Dir elo d'GitHub Web Interface benotzen.
Am éischte béisaarteg Engagement, ënner dem Deckmantel vun engem Tippfeeler an der Datei ext/zlib/zlib.c ze fixéieren, gouf eng Ännerung gemaach, déi de PHP-Code leeft, deen am User Agent HTTP-Header passéiert ass, wann den Inhalt mam Wuert "Zerodium" ugefaang huet. ". Nodeems d'Entwéckler déi béiswëlleg Ännerung gemierkt hunn an se zréckgezunn hunn, ass en zweeten Engagement am Repository opgetaucht, deen d'Handlung vun den PHP-Entwéckler zréckgezunn huet fir déi béiswëlleg Ännerung zréckzekréien.
De addéierte Code enthält d'Linn "REMOVETHIS: verkaf op Null, Mëtt 2017", wat kann hinweisen datt zënter 2017 de Code eng aner, gutt camoufléiert, béiswëlleg Ännerung enthält, oder eng onkorrigéiert Schwachstelle verkaaft un Zerodium, eng Firma déi 0-Dag kaaft. Schwachstelle (Zerodium huet geäntwert datt et keng Informatioun iwwer d'PHP Schwachstelle kaaft huet).
Zu dësem Zäitpunkt gëtt et keng detailléiert Informatioun iwwer den Zwëschefall; Et gëtt nëmmen ugeholl datt d'Ännerunge bäigefüügt goufen als Resultat vum Hacking vum git.php.net Server, an net de Kompromëss vun individuellen Entwécklerkonten. D'Analyse vum Repository huet ugefaang fir d'Präsenz vun anere béiswëlleg Ännerungen zousätzlech zu den identifizéierten Probleemer. Jiddereen ass invitéiert ze iwwerpréiwen; wann verdächteg Ännerungen entdeckt ginn, sollt Dir Informatioun schécken [Email geschützt].
Wat den Iwwergank op GitHub ugeet, fir Schreiwen Zougang zum neie Repository ze kréien, mussen d'Entwécklungsparticipanten Deel vun der PHP Organisatioun sinn. Déi, déi net als PHP Entwéckler op GitHub opgezielt sinn, sollten den Nikita Popov per E-Mail kontaktéieren [Email geschützt]. Ze addéieren, eng obligatoresch Fuerderung ass zwee-Faktor Authentifikatioun z'aktivéieren. Nodeems Dir déi entspriechend Rechter kritt hutt fir de Repository z'änneren, fuert just de Kommando "git remote set-url origin [Email geschützt]:php/php-src.git". Zousätzlech gëtt d'Fro vum Plënneren op obligatoresch Zertifizéierung vu Verpflichtungen mat enger digitaler Ënnerschrëft vum Entwéckler berücksichtegt. Et gëtt och proposéiert den direkten Zousatz vun Ännerungen ze verbidden déi net virdrun iwwerpréift goufen.
Source: opennet.ru