Pembangun projek PHP telah memberi amaran tentang kompromi repositori Git projek dan penemuan dua komit berniat jahat ditambah pada 28 Mac kepada repositori php-src bagi pihak Rasmus Lerdorf, pengasas PHP, dan Nikita Popov, salah satu pembangun utama PHP.
Oleh kerana kebolehpercayaan pelayan yang mengehos repositori Git tidak pasti, pembangun memutuskan bahawa mengekalkan infrastruktur Git mereka sendiri mewujudkan risiko keselamatan tambahan dan memindahkan repositori rujukan ke GitHub, yang mereka cadangkan untuk digunakan sebagai platform utama. Semua perubahan kini harus diserahkan kepada GitHub, bukan git.php.net, dan antara muka web GitHub kini boleh digunakan untuk pembangunan.
Komit berniat jahat pertama, yang dikatakan membetulkan kesilapan taip dalam fail ext/zlib/zlib.c, memperkenalkan perubahan yang akan melaksanakan kod PHP yang diluluskan dalam pengepala HTTP Ejen Pengguna jika kandungan bermula dengan perkataan "sifar." Selepas pembangun menyedari perubahan berniat jahat itu dan membalikkannya, komit kedua telah ditambahkan pada repositori, membalikkan tindakan pembangun PHP dan membalikkan perubahan berniat jahat.
Kod yang ditambah mengandungi baris "REMOVETHIS: sold to zerodium, pertengahan 2017," yang mungkin mencadangkan bahawa sejak 2017, kod itu mengandungi satu lagi perubahan yang sangat penyamaran, berniat jahat atau kelemahan yang tidak ditambal dijual kepada Zerodium, sebuah syarikat yang membeli kelemahan sifar hari (Zerodium menjawab bahawa ia tidak membeli maklumat tentang kerentanan PHP).
Buat masa ini tiada maklumat terperinci tentang kejadian itu, tetapi diandaikan bahawa perubahan itu ditambah hasil daripada penggodaman. pelayan git.php.net, bukan kompromi akaun pembangun individu. Analisis repositori untuk perubahan berniat jahat lain selain isu yang dikenal pasti telah dimulakan. Sesiapa yang berminat untuk menyemak perubahan dialu-alukan. Jika anda menemui sebarang perubahan yang mencurigakan, sila hantar maklumat ke security@php.net.
Mengenai pemindahan ke GitHub, untuk mendapatkan akses tulis kepada repositori baharu, penyumbang pembangunan mestilah ahli organisasi PHP. Mereka yang bukan pembangun PHP di GitHub harus menghubungi Nikita Popov di nikic@php.net. Pengesahan dua faktor mesti didayakan untuk menambah repositori. Sebaik sahaja anda mempunyai kebenaran yang diperlukan, hanya jalankan arahan "git remote set-url origin git@github.com:php/php-src.git" untuk menukar repositori. Peralihan kepada pengesahan tandatangan digital mandatori untuk komit juga sedang dipertimbangkan. Larangan terhadap penambahan langsung perubahan yang belum melalui semakan awal juga dicadangkan.
Sumber: opennet.ru
