Програмери ПХП пројекта упозорили су на компромитацију Гит спремишта пројекта и откривање две злонамерне урезивања додате у пхп-срц спремиште 28. марта у име Расмуса Лердорфа, оснивача ПХП-а, и Никите Попова, једног од кључни програмери ПХП-а.
Пошто не постоји поверење у поузданост сервера на којем се налази Гит спремиште, програмери су одлучили да самостално одржавање Гит инфраструктуре ствара додатне безбедносне ризике и преместили су референтно спремиште на ГитХуб платформу, за коју се предлаже да се користи. као примарни. Све измене сада треба да се шаљу на ГитХуб, а не на гит.пхп.нет, укључујући и када развијате, сада можете да користите ГитХуб веб интерфејс.
У првом злонамерном урезивању, под маском исправљања грешке у куцању у датотеци ект/злиб/злиб.ц, направљена је промена која би покренула ПХП код који је прослеђен у ХТТП заглављу корисничког агента ако садржај почиње речју „зеродијум „. Након што су програмери приметили злонамерну промену и поништили је, у спремишту се појавило друго урезивање, које је поништило акцију ПХП програмера да пониште злонамерну промену.
Додати код садржи ред „РЕМОВЕТХИС: продато зеродиум-у, средином 2017.“, што може наговестити да од 2017. код садржи још једну, добро маскирану, злонамерну промену или неисправљену рањивост продату Зеродиум-у, компанији која купује 0-даи рањивости ( Зеродиум је одговорио да није купио информације о рањивости ПХП-а).
У овом тренутку нема детаљних информација о инциденту, само се претпоставља да су измене додате као резултат хаковања гит.пхп.нет сервера, а не компромитовања појединачних налога програмера. Започела је анализа спремишта на присуство других злонамерних промена поред идентификованих проблема. Сви су позвани да прегледају; ако се открију сумњиве промене, треба да пошаљете информације на [емаил заштићен].
Што се тиче преласка на ГитХуб, да би добили приступ за писање новом спремишту, учесници у развоју морају бити део ПХП организације. Они који нису наведени као ПХП програмери на ГитХуб-у треба да контактирају Никиту Попова путем е-поште [емаил заштићен]. Да додамо, обавезан услов је да се омогући двофакторска аутентикација. Након што добијете одговарајућа права за промену спремишта, само покрените команду „гит ремоте сет-урл оригин [емаил заштићен]:пхп/пхп-срц.гит". Поред тога, разматра се питање преласка на обавезну сертификацију урезивања дигиталним потписом програмера. Предлаже се и забрана директног додавања измена које нису претходно прегледане.
Извор: опеннет.ру