Twórcy projektu PHP ostrzegali przed włamaniem do repozytorium Git projektu i wykryciem dwóch złośliwych zatwierdzeń dodanych do repozytorium php-src 28 marca w imieniu Rasmusa Lerdorfa, założyciela PHP, i Nikity Popova, jednego z kluczowi twórcy PHP.
Ponieważ nie było pewności co do niezawodności serwera, na którym hostowane było repozytorium Git, programiści uznali, że samodzielne utrzymywanie infrastruktury Git stwarza dodatkowe zagrożenia bezpieczeństwa i przenieśli repozytorium referencyjne na platformę GitHub, z której proponuje się korzystać jako podstawowy. Wszystkie zmiany powinny być teraz wysyłane do GitHub, a nie do git.php.net, w tym podczas programowania możesz teraz korzystać z interfejsu internetowego GitHub.
W pierwszym złośliwym zatwierdzeniu, pod pozorem naprawienia literówki w pliku ext/zlib/zlib.c, wprowadzono zmianę polegającą na uruchomieniu kodu PHP przekazanego w nagłówku HTTP User Agent, jeśli treść zaczynała się od słowa „zerodium „. Gdy programiści zauważyli złośliwą zmianę i cofnęli ją, w repozytorium pojawiło się drugie zatwierdzenie, które cofnęło działania programistów PHP mające na celu cofnięcie złośliwej zmiany.
Dodany kod zawiera wiersz „USUŃ TO: sprzedany do zerodium, połowa 2017 r.”, co może sugerować, że od 2017 r. kod zawiera inną, dobrze zakamuflowaną, złośliwą zmianę lub nieskorygowaną lukę sprzedaną firmie Zerodium, która kupuje 0-day luk w zabezpieczeniach (Zerodium odpowiedziało, że nie kupuje informacji o podatności PHP).
W tej chwili nie ma szczegółowych informacji na temat zdarzenia, zakłada się jedynie, że zmiany zostały dodane w wyniku włamania na serwer git.php.net, a nie włamania się na indywidualne konta programistów. Rozpoczęto analizę repozytorium pod kątem obecności innych szkodliwych zmian oprócz zidentyfikowanych problemów. Wszystkich zapraszamy do przeglądu, w przypadku wykrycia podejrzanych zmian należy przesłać informację na adres [email chroniony].
Jeśli chodzi o przejście do GitHub, aby uzyskać dostęp do zapisu w nowym repozytorium, uczestnicy rozwoju muszą być częścią organizacji PHP. Osoby, które nie są wymienione jako programiści PHP na GitHubie, powinny skontaktować się z Nikitą Popovem za pośrednictwem poczty elektronicznej [email chroniony]. Ponadto obowiązkowym wymaganiem jest włączenie uwierzytelniania dwuskładnikowego. Po uzyskaniu odpowiednich uprawnień do zmiany repozytorium wystarczy uruchomić komendę „git Remote set-url origin [email chroniony]:php/php-src.git”. Dodatkowo rozważana jest kwestia przejścia na obowiązkową certyfikację commitów podpisem cyfrowym dewelopera. Proponuje się także zakazanie bezpośredniego dodawania zmian, które nie zostały poddane wcześniejszej ocenie.
Źródło: opennet.ru