Dezvoltatorii proiectului PHP au avertizat despre compromisul depozitului Git al proiectului și descoperirea a două comiteri rău intenționate adăugate la depozitul php-src pe 28 martie în numele lui Rasmus Lerdorf, fondatorul PHP, și Nikita Popov, unul dintre dezvoltatorii cheie ai PHP.
Deoarece nu există încredere în fiabilitatea serverului pe care a fost găzduit depozitul Git, dezvoltatorii au decis că menținerea infrastructurii Git pe cont propriu creează riscuri suplimentare de securitate și au mutat depozitul de referință pe platforma GitHub, care se propune să fie utilizat. ca primar. Toate modificările ar trebui să fie trimise acum la GitHub, și nu la git.php.net, inclusiv atunci când dezvoltați, acum puteți utiliza interfața web GitHub.
În prima comitere rău intenționată, sub pretextul remedierii unei greșeli de tipar în fișierul ext/zlib/zlib.c, a fost făcută o modificare care ar rula codul PHP trecut în antetul HTTP User Agent dacă conținutul începea cu cuvântul „zerodium”. ". După ce dezvoltatorii au observat modificarea rău intenționată și au anulat-o, a apărut un al doilea commit în depozit, care a inversat acțiunea dezvoltatorilor PHP de a anula modificarea rău intenționată.
Codul adăugat conține linia „REMOVETHIS: sold to zerodium, mid 2017”, care poate sugera că din 2017 codul conține o altă modificare bine camuflata, rău intenționată sau o vulnerabilitate necorectată vândută către Zerodium, o companie care cumpără 0-day. vulnerabilități ( Zerodium a răspuns că nu a achiziționat informații despre vulnerabilitatea PHP).
În prezent nu există informații detaliate despre incident, dar se presupune că modificările au fost adăugate în urma unui atac cibernetic. Server git.php.net, nu compromiterea conturilor individuale de dezvoltatori. A început o analiză a depozitului pentru alte modificări rău intenționate, pe lângă problemele identificate. Oricine este interesat să revizuiască modificările este binevenit. Dacă descoperiți modificări suspecte, vă rugăm să trimiteți informații la security@php.net.
În ceea ce privește tranziția la GitHub, pentru a obține acces de scriere la noul repository, contribuitorii trebuie să fie membri ai organizației PHP. Cei care nu sunt incluși în numărul de dezvoltatori PHP de pe GitHub ar trebui să îl contacteze pe Nikita Popov prin e-mail la adresa nikic@php.net. Pentru a adăuga, trebuie activată autentificarea cu doi factori. După primirea drepturilor corespunzătoare, pentru a schimba repository-ul, este suficient să executați comanda „git remote set-url origin git@github.com:php/php-src.git”. În plus, se are în vedere problema trecerii la certificarea obligatorie a commit-urilor cu semnătura digitală a dezvoltatorului. De asemenea, se propune interzicerea adăugării directe a modificărilor care nu au fost supuse unei revizuiri preliminare.
Sursa: opennet.ru
