D'Entwéckler vum PHP-Projet hunn gewarnt iwwer de Kompromiss vum Git-Repository vum Projet an d'Entdeckung vun zwee béiswëlleg Verpflichtungen, déi den 28. MÀerz am php-src Repository am Numm vum Rasmus Lerdorf, dem Grënner vu PHP, an Nikita Popov, ee vun de Schlëssel Entwéckler vun PHP.
Well et kee Vertrauen an d'ZouverlĂ€ssegkeet vum Server ass, op deem de Git-Repository gehost gouf, hunn d'EntwĂ©ckler decidĂ©iert datt d'Git-Infrastruktur eleng Ă«nnerhalen zousĂ€tzlech SĂ©cherheetsrisiken erstellt an d'Referenzrepository op d'GitHub Plattform geplĂ«nnert, dĂ©i proposĂ©iert gĂ«tt benotzt ze ginn. als primĂ€r. All Ănnerungen sollen elo op GitHub geschĂ©ckt ginn, an net op git.php.net, och wann Dir entwĂ©ckelt, kĂ«nnt Dir elo d'GitHub Web Interface benotzen.
Am Ă©ischte bĂ©isaarteg Engagement, Ă«nner dem Deckmantel vun engem Tippfeeler an der Datei ext/zlib/zlib.c ze fixĂ©ieren, gouf eng Ănnerung gemaach, dĂ©i de PHP-Code leeft, deen am User Agent HTTP-Header passĂ©iert ass, wann den Inhalt mam Wuert "Zerodium" ugefaang huet. ". Nodeems d'EntwĂ©ckler dĂ©i bĂ©iswĂ«lleg Ănnerung gemierkt hunn an se zrĂ©ckgezunn hunn, ass en zweeten Engagement am Repository opgetaucht, deen d'Handlung vun den PHP-EntwĂ©ckler zrĂ©ckgezunn huet fir dĂ©i bĂ©iswĂ«lleg Ănnerung zrĂ©ckzekrĂ©ien.
De addĂ©ierte Code enthĂ€lt d'Linn "REMOVETHIS: verkaf op Null, MĂ«tt 2017", wat kann hinweisen datt zĂ«nter 2017 de Code eng aner, gutt camouflĂ©iert, bĂ©iswĂ«lleg Ănnerung enthĂ€lt, oder eng onkorrigĂ©iert Schwachstelle verkaaft un Zerodium, eng Firma dĂ©i 0-Dag kaaft. Schwachstelle (Zerodium huet geĂ€ntwert datt et keng Informatioun iwwer d'PHP Schwachstelle kaaft huet).
Et gĂ«tt de Moment keng detaillĂ©iert Informatiounen iwwer den TĂ«schefall, awer et gĂ«tt ugeholl, datt d'Ănnerungen als Resultat vun engem Hack bĂ€igefĂŒĂŒgt goufen. Server git.php.net, net d'KompromittĂ©ierung vun eenzelnen EntwĂ©cklerkonten. Eng Analyse vum Repository op aner bĂ©iswĂ«lleg Ănnerungen zousĂ€tzlech zu den identifizĂ©ierte Problemer huet ugefaangen. Jiddereen, deen interessĂ©iert ass, d'Ănnerungen ze iwwerprĂ©iwen, ass wĂ«llkomm. Wann Dir verdĂ€chteg Ănnerungen entdeckt, schĂ©ckt w.e.g. Informatiounen un security@php.net.
Wat den Iwwergank op GitHub ugeet, mussen d'Matareechter Member vun der PHP-Organisatioun sinn, fir Schreifzougang zum neie Repository ze krĂ©ien. DĂ©i, dĂ©i net an der Zuel vun de PHP-EntwĂ©ckler op GitHub abegraff sinn, solle sech mam Nikita Popov per E-Mail un nikic@php.net wenden. Fir dĂ«st ze maachen, muss d'Zwei-Faktor-Authentifikatioun aktivĂ©iert sinn. Nodeems Dir dĂ©i entspriechend Rechter kritt hutt, fir de Repository z'Ă€nneren, ass et genuch, de Kommando "git remote set-url origin git@github.com:php/php-src.git" auszefĂ©ieren. ZousĂ€tzlech gĂ«tt d'Fro vum Wiessel op eng obligatoresch ZertifizĂ©ierung vu Commits mat enger digitaler ĂnnerschrĂ«ft vum EntwĂ©ckler iwwerluecht. Et gĂ«tt och virgeschloen, d'direkt Zousetzung vun Ănnerungen ze verbidden, dĂ©i keng virleefeg IwwerprĂ©iwung duerchgefouert goufen.
Source: opennet.ru
