Vývojári projektu PHP varovali pred kompromitáciou úložiska Git projektu a objavením dvoch škodlivých commitov pridaných do úložiska php-src 28. marca v mene Rasmusa Lerdorfa, zakladateľa PHP, a Nikitu Popova, jedného z kľúčoví vývojári PHP.
Keďže neexistuje žiadna dôvera v spoľahlivosť servera, na ktorom bol repozitár Git hostovaný, vývojári sa rozhodli, že údržba infraštruktúry Git sama o sebe vytvára ďalšie bezpečnostné riziká a presunuli referenčné úložisko na platformu GitHub, ktorá sa má používať. ako primárny. Všetky zmeny by sa teraz mali odosielať na GitHub, a nie na git.php.net, vrátane vývoja, teraz môžete použiť webové rozhranie GitHubu.
V prvom škodlivom commite, pod zámienkou opravy preklepu v súbore ext/zlib/zlib.c, bola vykonaná zmena, ktorá spustila PHP kód odovzdaný v HTTP hlavičke User Agent, ak obsah začínal slovom „zerodium ". Potom, čo si vývojári všimli škodlivú zmenu a vrátili ju späť, v úložisku sa objavilo druhé potvrdenie, ktoré vrátilo akciu vývojárov PHP na vrátenie škodlivej zmeny.
Pridaný kód obsahuje riadok „REMOVETHIS: sell to zerodium, mid 2017“, čo môže naznačovať, že od roku 2017 kód obsahuje inú, dobre maskovanú, zákernú zmenu alebo neopravenú zraniteľnosť predanú spoločnosti Zerodium, ktorá nakupuje 0-day zraniteľnosti (Zerodium odpovedalo, že nekúpilo informácie o zraniteľnosti PHP).
V súčasnosti nie sú k dispozícii žiadne podrobné informácie o incidente, predpokladá sa len, že zmeny boli pridané v dôsledku hacknutia servera git.php.net, a nie kompromitácie jednotlivých vývojárskych účtov. Začala sa analýza úložiska na prítomnosť ďalších škodlivých zmien okrem identifikovaných problémov. Všetci sú pozvaní na kontrolu; ak sa zistia podozrivé zmeny, mali by ste poslať informácie na [chránené e-mailom].
Pokiaľ ide o prechod na GitHub, na získanie prístupu na zápis do nového úložiska musia byť účastníci vývoja súčasťou organizácie PHP. Tí, ktorí nie sú uvedení ako vývojári PHP na GitHub, by mali kontaktovať Nikitu Popova e-mailom [chránené e-mailom]. Okrem toho je povinnou požiadavkou umožnenie dvojfaktorovej autentifikácie. Po získaní príslušných práv na zmenu úložiska stačí spustiť príkaz „git remote set-url origin [chránené e-mailom]:php/php-src.git". Okrem toho sa zvažuje otázka prechodu na povinnú certifikáciu záväzkov s digitálnym podpisom vývojára. Navrhuje sa tiež zakázať priame pridávanie zmien, ktoré neprešli predchádzajúcim preskúmaním.
Zdroj: opennet.ru