د PHP پروژې پراختیا کونکو د پروژې د Git ذخیره کولو سره د جوړجاړي په اړه خبرداری ورکړ او د مارچ په 28 د PHP بنسټ ایښودونکي راسموس لیرډورف او نیکیتا پاپوف په استازیتوب د php-src ذخیره کې اضافه شوي دوه ناوړه ژمنې کشف کړې. د PHP کلیدي پراختیا کونکي.
له هغه ځایه چې د سرور په اعتبار باور شتون نلري په کوم کې چې د Git زیربنا کوربه شوې وه ، نو پراختیا کونکو پریکړه وکړه چې پخپله د Git زیربنا ساتل اضافي امنیتي خطرونه رامینځته کوي او د حوالې ذخیره د GitHub پلیټ فارم ته لیږدول کیږي ، کوم چې د کارولو وړاندیز شوی. د لومړني په توګه. ټول بدلونونه باید اوس GitHub ته واستول شي، نه git.php.net ته، په شمول د پراختیا په وخت کې، تاسو اوس کولی شئ د GitHub ویب انٹرفیس وکاروئ.
په لومړي ناوړه ژمنې کې، د ext/zlib/zlib.c فایل کې د ټایپو د حل کولو په پلمه، یو بدلون رامینځته شوی چې د PHP کوډ به د کاروونکي ایجنټ HTTP سرلیک کې تیریږي که مینځپانګه د "زیروډیم" کلمې سره پیل شي. ". وروسته له هغه چې پراختیا کونکو ناوړه بدلون ولید او بیرته یې راوباسه ، دوهم ژمنې په ذخیره کې ښکاره شوه ، کوم چې د ناوړه بدلون بیرته راګرځولو لپاره د PHP پراختیا کونکو عمل بیرته راستون کړ.
اضافه شوي کوډ کې "REMOVETHIS: په زیروډیم کې پلورل شوی، د 2017 په مینځ کې" لیک لري، کوم چې کیدای شي اشاره وکړي چې د 2017 راهیسې کوډ یو بل، ښه پټ شوی، ناوړه بدلون، یا یو نا سم شوی زیان په زیروډیم پلورل شوی، هغه شرکت چې د 0-day پیرود کوي. زیانمننې (زیروډیم ځواب ورکړ چې دا د PHP زیان مننې په اړه معلومات ندي اخیستي).
په دې وخت کې، د پیښې په اړه هیڅ تفصيلي معلومات شتون نلري؛ یوازې داسې انګیرل کیږي چې بدلونونه د git.php.net سرور د هیک کولو په پایله کې اضافه شوي، او نه د انفرادي پراختیا کونکي حسابونو موافقت. د پېژندل شویو ستونزو سربیره د نورو ناوړه بدلونونو د شتون لپاره د ذخیره کولو تحلیل پیل شوی. هرڅوک د بیاکتنې لپاره بلنه ورکول کیږي؛ که چیرې شکمن بدلونونه وموندل شي، تاسو باید معلومات واستوئ [ایمیل خوندي شوی].
GitHub ته د لیږد په اړه، نوي ذخیره ته د لیکلو لاسرسي ترلاسه کولو لپاره، د پراختیا برخه اخیستونکي باید د PHP سازمان برخه وي. هغه څوک چې په GitHub کې د PHP پراختیا کونکو په توګه لیست شوي ندي باید د بریښنالیک له لارې نیکیتا پاپوف سره اړیکه ونیسي [ایمیل خوندي شوی]. د اضافه کولو لپاره، یو لازمي اړتیا د دوه فاکتور تصدیق فعالول دي. د ذخیره بدلولو لپاره د مناسبو حقونو ترلاسه کولو وروسته ، یوازې د "git remote set-url origin" کمانډ چل کړئ [ایمیل خوندي شوی]:php/php-src.git" سربیره پردې ، د پراختیا کونکي ډیجیټل لاسلیک سره د ژمنو لازمي تصدیق ته د تللو مسله په پام کې نیول کیږي. دا هم وړاندیز شوی چې د هغو بدلونونو مستقیم اضافه کول منع کړي چې مخکې بیاکتنه نه وي شوې.
سرچینه: opennet.ru