प्रोहोस्टर > Блог > इन्टरनेट समाचार > PHP परियोजनाको Git भण्डारमा खराब परिवर्तनहरू पत्ता लगाइयो

PHP परियोजनाको Git भण्डारमा खराब परिवर्तनहरू पत्ता लगाइयो

PHP परियोजनाका विकासकर्ताहरूले परियोजनाको Git भण्डारको सम्झौता र PHP का संस्थापक रासमस लेर्डर्फ र निकिता पोपोभको तर्फबाट मार्च 28 मा php-src भण्डारमा थपिएका दुईवटा दुर्भावनापूर्ण कमिटहरूको खोजी बारे चेतावनी दिए। PHP को प्रमुख विकासकर्ताहरू।

Git रिपोजिटरी होस्ट गरिएको सर्भरको विश्वसनीयतामा कुनै विश्वास नभएकोले, विकासकर्ताहरूले निर्णय गरे कि Git पूर्वाधार आफैंमा कायम राख्नाले अतिरिक्त सुरक्षा जोखिमहरू सिर्जना गर्दछ र सन्दर्भ भण्डारलाई GitHub प्लेटफर्ममा सारियो, जुन प्रयोगको लागि प्रस्ताव गरिएको छ। प्राथमिक रूपमा। सबै परिवर्तनहरू अब GitHub मा पठाइनुपर्छ, र git.php.net मा होइन, विकास गर्दा, तपाईं अब GitHub वेब इन्टरफेस प्रयोग गर्न सक्नुहुन्छ।

पहिलो मालिसियस कमिटमा, फाइल ext/zlib/zlib.c मा टाइपो फिक्स गर्ने आडमा, परिवर्तन गरिएको थियो जसले प्रयोगकर्ता एजेन्ट HTTP हेडरमा पारित PHP कोड चलाउनेछ यदि सामग्री "zerodium" शब्दबाट सुरु भयो। "। विकासकर्ताहरूले दुर्भावनापूर्ण परिवर्तन देखे र यसलाई उल्टाए पछि, भण्डारमा दोस्रो कमिट देखा पर्‍यो, जसले PHP विकासकर्ताहरूको खराब परिवर्तनलाई उल्टाउनको लागि कार्यलाई उल्टाउँछ।

थपिएको कोडमा "REMOVETHIS: बेल्ड टु zerodium, mid 2017" भन्ने पङ्क्ति समावेश छ, जसले सङ्केत गर्न सक्छ कि 2017 देखि कोडमा अर्को, राम्रोसँग छद्म, खराब परिवर्तन, वा 0-दिन खरिद गर्ने कम्पनी Zerodium लाई बेचिएको असुधारित जोखिम छ। कमजोरीहरू ( Zerodium ले प्रतिक्रिया दियो कि यसले PHP भेद्यताको बारेमा जानकारी खरीद गर्दैन)।

यस समयमा, घटनाको बारेमा कुनै विस्तृत जानकारी छैन; यो मात्र मानिन्छ कि परिवर्तनहरू git.php.net सर्भरको ह्याकिङको परिणामको रूपमा थपिएको थियो, र व्यक्तिगत विकासकर्ता खाताहरूको सम्झौता होइन। पहिचान गरिएका समस्याहरू बाहेक अन्य खराब परिवर्तनहरूको उपस्थितिको लागि भण्डारको विश्लेषण सुरु भएको छ। सबैलाई समीक्षा गर्न आमन्त्रित गरिएको छ; यदि संदिग्ध परिवर्तनहरू पत्ता लाग्यो भने, तपाईंले जानकारी पठाउनु पर्छ [ईमेल सुरक्षित].

GitHub मा संक्रमणको सन्दर्भमा, नयाँ भण्डारमा लेखन पहुँच प्राप्त गर्न, विकास सहभागीहरू PHP संगठनको हिस्सा हुनुपर्दछ। GitHub मा PHP विकासकर्ताहरूको रूपमा सूचीबद्ध नभएकाहरूले निकिता पोपोभलाई इमेलद्वारा सम्पर्क गर्नुपर्छ [ईमेल सुरक्षित]। थप्नको लागि, एक अनिवार्य आवश्यकता दुई-कारक प्रमाणीकरण सक्षम गर्न हो। भण्डार परिवर्तन गर्न उपयुक्त अधिकार प्राप्त गरेपछि, केवल आदेश चलाउनुहोस् "git remote set-url origin [ईमेल सुरक्षित]:php/php-src.git"। थप रूपमा, विकासकर्ताको डिजिटल हस्ताक्षरको साथ प्रतिबद्धताहरूको अनिवार्य प्रमाणीकरणमा सर्ने मुद्दा विचार भइरहेको छ। यो पनि परिवर्तनहरु को सीधा थप्न निषेध गर्न को लागी प्रस्ताव गरिएको छ जुन पहिलेको समीक्षा गुजरिएको छैन।

स्रोत: opennet.ru

एक टिप्पणी थप्न