PHP projekta izstrādātāji brīdināja par projekta Git repozitorija kompromitēšanu un divu ļaunprātīgu saistību atklāšanu, kas 28. martā tika pievienotas php-src krātuvei PHP dibinātāja Rasmusa Lerdorfa un Ņikitas Popova, viena no galvenie PHP izstrādātāji.
Tā kā nav pārliecības par servera, kurā tika mitināts Git repozitorijs, uzticamību, izstrādātāji nolēma, ka Git infrastruktūras uzturēšana pati par sevi rada papildu drošības riskus, un pārcēla atsauces repozitoriju uz GitHub platformu, kuru tiek piedāvāts izmantot. kā primāro. Visas izmaiņas tagad ir jānosūta uz GitHub, nevis uz git.php.net, tostarp izstrādājot, tagad varat izmantot GitHub tīmekļa saskarni.
Pirmajā ļaunprātīgajā darbībā, aizbildinoties ar drukas kļūdas labošanu failā ext/zlib/zlib.c, tika veiktas izmaiņas, kas palaist PHP kodu, kas tika nodots User Agent HTTP galvenē, ja saturs sākas ar vārdu "zerodium". ". Pēc tam, kad izstrādātāji pamanīja ļaunprātīgās izmaiņas un tos atsauca, repozitorijā parādījās otrā apņemšanās, kas atsauca PHP izstrādātāju darbību, lai atsauktu ļaunprātīgās izmaiņas.
Pievienotajā kodā ir rindiņa “REMOVETHIS: selled to zerodium, mid 2017”, kas var liecināt, ka kopš 2017. gada kodā ir ietvertas citas, labi maskētas, ļaunprātīgas izmaiņas vai nelabota ievainojamība, kas pārdota Zerodium — uzņēmumam, kas pērk 0 dienu. ievainojamības (Zerodium atbildēja, ka neiegādājās informāciju par PHP ievainojamību).
Pagaidām sīkākas informācijas par incidentu nav, tiek tikai pieņemts, ka izmaiņas tika pievienotas git.php.net servera uzlaušanas rezultātā, nevis atsevišķu izstrādātāju kontu kompromitēšanas rezultātā. Ir sākta repozitorija analīze, lai papildus konstatētajām problēmām konstatētu arī citas ļaunprātīgas izmaiņas. Ikviens ir aicināts pārskatīt, ja tiek konstatētas aizdomīgas izmaiņas, jāsūta informācija uz [e-pasts aizsargāts].
Attiecībā uz pāreju uz GitHub, lai iegūtu rakstīšanas piekļuvi jaunajam repozitorijam, izstrādes dalībniekiem ir jābūt PHP organizācijas daļai. Tiem, kuri nav norādīti kā PHP izstrādātāji vietnē GitHub, jāsazinās ar Ņikitu Popovu pa e-pastu [e-pasts aizsargāts]. Lai pievienotu, obligāta prasība ir iespējot divu faktoru autentifikāciju. Pēc atbilstošu tiesību iegūšanas mainīt repozitoriju, vienkārši palaidiet komandu “git remote set-url origin [e-pasts aizsargāts]:php/php-src.git". Turklāt tiek izskatīts jautājums par pāreju uz obligātu saistību sertifikāciju ar izstrādātāja digitālo parakstu. Ierosināts arī aizliegt tieši pievienot izmaiņas, kas nav iepriekš izskatītas.
Avots: opennet.ru