PHP projekto kūrėjai įspėjo apie projekto Git saugyklos sukompromitavimą ir dviejų kenkėjiškų įsipareigojimų, kurie buvo įtraukti į php-src saugyklą kovo 28 d. PHP įkūrėjo Rasmuso Lerdorfo ir Nikitos Popovo, vieno iš pagrindiniai PHP kūrėjai.
Kadangi nepasitiki serverio, kuriame buvo talpinama „Git“ saugykla, patikimumu, kūrėjai nusprendė, kad „Git“ infrastruktūros priežiūra savaime sukelia papildomų saugumo pavojų ir perkėlė referencinę saugyklą į „GitHub“ platformą, kurią siūloma naudoti. kaip pirminis. Visi pakeitimai dabar turėtų būti siunčiami į GitHub, o ne į git.php.net, įskaitant kūrimą, dabar galite naudoti GitHub žiniatinklio sąsają.
Pirmajame kenkėjiškame įsipareigojime, prisidengiant rašybos klaidos ištaisymu faile ext/zlib/zlib.c, buvo atliktas pakeitimas, kuris paleistų PHP kodą, perduotą User Agent HTTP antraštėje, jei turinys prasidėtų žodžiu „zerodium“. “. Kūrėjams pastebėjus kenkėjišką pakeitimą ir jį atšaukus, saugykloje atsirado antrasis įsipareigojimas, kuris atšaukė PHP kūrėjų veiksmą, kad būtų atšauktas kenkėjiškas pakeitimas.
Pridėtame kode yra eilutė „REMOVETHIS: parduota nuliui, 2017 m. vidurys“, kuri gali reikšti, kad nuo 2017 m. kode yra dar vienas, gerai užmaskuotas, kenkėjiškas pakeitimas arba nepataisytas pažeidžiamumas, parduotas „Zerodium“, įmonei, kuri perka 0 dienų. pažeidžiamumų (Zerodium atsakė, kad nepirko informacijos apie PHP pažeidžiamumą).
Šiuo metu nėra išsamios informacijos apie incidentą, tik manoma, kad pakeitimai buvo įtraukti dėl įsilaužimo į git.php.net serverį, o ne dėl atskirų kūrėjų paskyrų kompromiso. Saugykloje pradėta analizuoti, ar, be nustatytų problemų, nėra ir kitų kenkėjiškų pakeitimų. Kviečiame peržiūrėti visus, aptikus įtartinų pakeitimų, reikia siųsti informaciją el [apsaugotas el. paštu].
Kalbant apie perėjimą prie „GitHub“, norėdami gauti rašymo prieigą prie naujos saugyklos, kūrimo dalyviai turi būti PHP organizacijos dalimi. Tie, kurie nėra įtraukti kaip PHP kūrėjai GitHub, turėtų susisiekti su Nikita Popov el [apsaugotas el. paštu]. Be to, privalomas reikalavimas yra įjungti dviejų veiksnių autentifikavimą. Gavę atitinkamas teises pakeisti saugyklą, tiesiog paleiskite komandą „git remote set-url origin [apsaugotas el. paštu]:php/php-src.git". Be to, svarstomas perėjimo prie privalomo įsipareigojimų sertifikavimo skaitmeniniu kūrėjo parašu klausimas. Taip pat siūloma uždrausti tiesiogiai pridėti pakeitimus, kurie iš anksto nebuvo peržiūrėti.
Šaltinis: opennet.ru