Pamekar proyék PHP ngingetkeun ngeunaan kompromi tina gudang Git proyék sareng kapanggihna dua komitmen jahat anu ditambahkeun kana gudang php-src dina 28 Maret atas nama Rasmus Lerdorf, pangadeg PHP, sareng Nikita Popov, salah sahiji pamekar konci PHP.
Kusabab teu aya kapercayaan kana réliabilitas server dimana gudang Git di-host, pamekar mutuskeun yén ngajaga infrastruktur Git sorangan nyiptakeun résiko kaamanan tambahan sareng mindahkeun gudang rujukan ka platform GitHub, anu diusulkeun pikeun dianggo. salaku anu utami. Sadaya parobihan ayeuna kedah dikirim ka GitHub, sanés ka git.php.net, kalebet nalika ngembangkeun, anjeun ayeuna tiasa nganggo antarmuka wéb GitHub.
Dina komitmen jahat anu munggaran, dina kedok ngalereskeun kasalahan dina file ext/zlib/zlib.c, parobihan dilakukeun anu bakal ngajalankeun kode PHP anu disalurkeun dina lulugu HTTP Agen Pamaké upami eusina dimimitian ku kecap "zerodium. ". Saatos pamekar merhatikeun parobahan anu jahat sareng dibalikkeun deui, komitmen kadua muncul dina gudang, anu ngabalikeun tindakan pamekar PHP pikeun ngabalikeun perobahan anu jahat.
Kodeu anu ditambahan ngandung garis "REMOVETHIS: dijual ka zerodium, pertengahan 2017," anu tiasa nunjukkeun yén saprak 2017 kode éta ngandung parobihan anu sanés, disamarankeun, jahat, atanapi kerentanan anu teu dilereskeun dijual ka Zerodium, perusahaan anu mésér 0 dinten. kerentanan ( Zerodium ngaréspon yén éta henteu mésér inpormasi ngeunaan kerentanan PHP).
Dina waktos ayeuna, teu aya inpormasi anu lengkep ngeunaan kajadian éta; ngan ukur dianggap yén parobihan parantos ditambah salaku hasil tina peretasan server git.php.net, sanés kompromi tina akun pamekar individu. Analisis gudang geus dimimitian pikeun ayana parobahan jahat lianna salian masalah dicirikeun. Sadayana diondang pikeun marios; upami parobihan anu curiga dideteksi, anjeun kedah ngirim inpormasi ka [email dijaga].
Ngeunaan transisi ka GitHub, pikeun meunangkeun aksés nulis kana gudang anyar, pamilon pamekaran kedah janten bagian tina organisasi PHP. Anu henteu kadaptar salaku pamekar PHP dina GitHub kedah ngahubungi Nikita Popov ku email [email dijaga]. Pikeun nambahan, sarat wajib nyaéta ngaktipkeun auténtikasi dua faktor. Saatos kéngingkeun hak anu pas pikeun ngarobih gudang, jalankeun paréntah "git remote set-url origin [email dijaga]: php/php-src.git". Salaku tambahan, masalah pindah ka sertipikasi wajib komitmen sareng tanda tangan digital pamekar anu dianggap. Éta ogé diusulkeun pikeun nyaram tambihan langsung tina parobahan anu teu acan ngalaman tinjauan sateuacanna.
sumber: opennet.ru