پي ايڇ پي پروجيڪٽ جي ڊولپرز پروجيڪٽ جي گِٽ ريپوزٽري جي سمجھوتي جي باري ۾ خبردار ڪيو ۽ 28 مارچ تي پي ايڇ پي جي باني راسمس ليرڊورف ۽ نڪيتا پوپوف جي طرفان php-src مخزن ۾ شامل ڪيل ٻن خراب ڪمن جي دريافت بابت خبردار ڪيو ويو. PHP جي اهم ڊولپرز.
جيئن ته سرور جي ڀروسي تي ڪو به اعتماد نه آهي جنهن تي Git مخزن جي ميزباني ڪئي وئي هئي، ڊولپر فيصلو ڪيو ته Git انفراسٽرڪچر کي برقرار رکڻ پنهنجو پاڻ تي اضافي حفاظتي خطرات پيدا ڪري ٿو ۽ ريفرنس مخزن کي GitHub پليٽ فارم ڏانهن منتقل ڪيو، جيڪو استعمال ڪرڻ جي تجويز آهي. بنيادي طور تي. سڀني تبديلين کي ھاڻي GitHub ڏانھن موڪليو وڃي، ۽ git.php.net ڏانھن نه، بشمول جڏھن ترقي ڪندي، توھان ھاڻي استعمال ڪري سگھو ٿا GitHub ويب انٽرفيس.
پهرين بدسلوڪي ڪمٽ ۾، فائيل ext/zlib/zlib.c ۾ ٽائپو کي درست ڪرڻ جي آڙ ۾، هڪ تبديلي ڪئي وئي جيڪا هلائي ويندي PHP ڪوڊ کي پاس ڪيو ويو يوزر ايجنٽ HTTP هيڊر ۾ جيڪڏهن مواد شروع ٿئي ٿو "زيروڊيم. ". ڊولپرز بدسلوڪي تبديلي کي محسوس ڪرڻ ۽ ان کي واپس ڪرڻ کان پوءِ، مخزن ۾ هڪ ٻيو ڪمٽ ظاهر ٿيو، جنهن PHP ڊولپرز جي عمل کي رد ڪري ڇڏيو ته بدسلوڪي تبديلي کي واپس آڻڻ لاءِ.
شامل ڪيل ڪوڊ لائن تي مشتمل آهي “REMOVETHIS: selled to zerodium, mid 2017”، جيڪو اشارو ڪري سگھي ٿو ته 2017 کان وٺي ڪوڊ ۾ هڪ ٻي، چڱيءَ طرح ڇنڊڇاڻ ٿيل، بدنيتي واري تبديلي، يا اڻ سڌريل خطرن تي مشتمل آهي Zerodium، هڪ ڪمپني جيڪا 0-ڏينهن خريد ڪري ٿي. ڪمزوريون (زيروڊيم جواب ڏنو ته اهو پي ايڇ پي جي نقصان جي باري ۾ معلومات خريد نه ڪيو).
هن وقت، واقعي جي باري ۾ ڪا به تفصيلي ڄاڻ نه آهي؛ اهو صرف اهو فرض ڪيو ويو آهي ته تبديليون شامل ڪيون ويون آهن git.php.net سرور جي هيڪنگ جي نتيجي ۾، ۽ انفرادي ڊولپر اڪائونٽن جي سمجھوتي نه. سڃاڻپ ٿيل مسئلن کان علاوه ٻين خراب تبديلين جي موجودگيءَ لاءِ مخزن جو تجزيو شروع ڪيو ويو آهي. هر ڪنهن کي نظرثاني ڪرڻ جي دعوت ڏني وئي آهي؛ جيڪڏهن مشڪوڪ تبديليون ڳولي رهيا آهن، توهان کي معلومات موڪلڻ گهرجي [ايميل محفوظ ٿيل].
GitHub ڏانهن منتقلي جي حوالي سان، نئين مخزن تائين لکڻ جي رسائي حاصل ڪرڻ لاء، ترقي ڪندڙ شرڪت ڪندڙن کي PHP تنظيم جو حصو هجڻ گهرجي. اهي جيڪي GitHub تي PHP ڊولپرز طور درج نه ڪيا ويا آهن انهن کي اي ميل ذريعي نيڪيتا پوپوف سان رابطو ڪرڻ گهرجي [ايميل محفوظ ٿيل]. شامل ڪرڻ لاء، هڪ لازمي گهربل آهي ٻه عنصر جي تصديق کي فعال ڪرڻ. مخزن کي تبديل ڪرڻ لاءِ مناسب حق حاصل ڪرڻ کان پوءِ، صرف ڪمانڊ کي هلايو "git remote set-url origin [ايميل محفوظ ٿيل]:php/php-src.git". اضافي طور تي، ڊولپر جي ڊجيٽل دستخط سان ڪمن جي لازمي سرٽيفڪيشن ڏانهن منتقل ٿيڻ جو مسئلو سمجهيو پيو وڃي. اهو پڻ تجويز ڪيو ويو آهي ته انهن تبديلين جي سڌي اضافو کي ممنوع ڪيو وڃي جيڪي اڳ ۾ نظرثاني نه ڪيا ويا آهن.
جو ذريعو: opennet.ru