Razvijalci projekta PHP so 28. marca v imenu Rasmusa Lerdorfa, ustanovitelja PHP, in Nikite Popova, enega od ključni razvijalci PHP.
Ker ni zaupanja v zanesljivost strežnika, na katerem gostuje repozitorij Git, so se razvijalci odločili, da samostojno vzdrževanje infrastrukture Git ustvarja dodatna varnostna tveganja, in referenčni repozitorij preselili na platformo GitHub, ki je predlagana za uporabo. kot primarno. Vse spremembe je treba zdaj poslati na GitHub in ne na git.php.net, vključno z razvojem, zdaj lahko uporabite spletni vmesnik GitHub.
Pri prvi zlonamerni objavi je bila pod krinko popravka tipkarske napake v datoteki ext/zlib/zlib.c izvedena sprememba, ki bi zagnala kodo PHP, posredovano v glavi HTTP uporabniškega agenta, če bi se vsebina začela z besedo "zerodium" ". Potem ko so razvijalci opazili zlonamerno spremembo in jo razveljavili, se je v repozitoriju pojavila druga potrditev, ki je razveljavila dejanje razvijalcev PHP za razveljavitev zlonamerne spremembe.
Dodana koda vsebuje vrstico »REMOVETHIS: prodano zerodiumu, sredi leta 2017«, kar lahko namiguje, da od leta 2017 koda vsebuje drugo, dobro zamaskirano, zlonamerno spremembo ali nepopravljeno ranljivost, prodano podjetju Zerodium, ki kupuje 0-dnevni ranljivosti (Zerodium je odgovoril, da ni kupil informacij o ranljivosti PHP).
Trenutno ni podrobnejših informacij o incidentu, domneva se le, da so bile spremembe dodane zaradi vdora v strežnik git.php.net in ne zaradi ogrožanja posameznih računov razvijalcev. Začela se je analiza repozitorija glede prisotnosti drugih zlonamernih sprememb poleg ugotovljenih težav. K pregledu vabljeni vsi, v primeru sumljivih sprememb pošljite podatke na [e-pošta zaščitena].
Kar zadeva prehod na GitHub, morajo biti udeleženci v razvoju del organizacije PHP, če želijo pridobiti pisalni dostop do novega repozitorija. Tisti, ki na GitHubu niso navedeni kot razvijalci PHP, naj kontaktirajo Nikito Popova po e-pošti [e-pošta zaščitena]. Poleg tega je obvezna zahteva omogočiti dvostopenjsko avtentikacijo. Ko pridobite ustrezne pravice za spreminjanje repozitorija, zaženite ukaz »git remote set-url origin [e-pošta zaščitena]:php/php-src.git". Poleg tega se obravnava vprašanje prehoda na obvezno certificiranje potrditev z digitalnim podpisom razvijalca. Predlaga se tudi prepoved neposrednega dodajanja sprememb, ki niso bile predhodno pregledane.
Vir: opennet.ru