PHP-projektets utvecklare har varnat för en kompromettering av projektets Git-arkiv och upptäckten av två skadliga commits som lades till den 28 mars i php-src-arkivet på uppdrag av Rasmus Lerdorf, grundaren av PHP, och Nikita Popov, en av de viktigaste PHP-utvecklarna.
Eftersom det inte finns någon säkerhet kring tillförlitligheten hos servern där Git-arkivet låg, beslutade utvecklarna att det skapar ytterligare säkerhetsrisker att underhålla Git-infrastrukturen på egen hand och flyttade referensarkivet till GitHub-plattformen, som föreslås användas som det primära. Alla ändringar ska nu skickas till GitHub, inte till git.php.net, inklusive att GitHubs webbgränssnitt nu kan användas under utveckling.
Den första skadliga commiten, under förevändning att rätta ett stavfel i filen ext/zlib/zlib.c, introducerade en ändring som skulle köra PHP-kod som skickats i User Agent HTTP-headern om innehållet började med ordet "zerodium". Efter att utvecklarna upptäckte den skadliga ändringen och återställde den, dök en andra commit upp i arkivet som återställde PHP-utvecklarnas åtgärd och återställde den skadliga ändringen.
Den tillagda koden innehåller raden "REMOVETHIS: sold to zerodium, mid 2017", vilket kan antyda att det sedan 2017 har skett ytterligare en, väl kamouflerad, skadlig ändring i koden, eller en opatchad sårbarhet som sålts till företaget Zerodium, som köper 0-dagarssårbarheter (Zerodium svarade att de inte köpte information om sårbarheten i PHP).
Det finns för närvarande ingen detaljerad information om händelsen, men det antas att ändringarna gjordes till följd av ett hack. server git.php.net, inte kompromettering av enskilda utvecklarkonton. En analys av arkivet för andra skadliga ändringar utöver de identifierade problemen har påbörjats. Alla som är intresserade av att granska ändringarna är välkomna. Om du upptäcker några misstänkta ändringar, vänligen skicka information till security@php.net.
När det gäller övergången till GitHub måste bidragsgivarna vara medlemmar i PHP-organisationen för att få skrivåtkomst till det nya arkivet. De som inte ingår i antalet PHP-utvecklare på GitHub bör kontakta Nikita Popov via e-post nikic@php.net. För att lägga till måste tvåfaktorsautentisering vara aktiverad. Efter att ha fått lämpliga rättigheter räcker det med att köra kommandot "git remote set-url origin git@github.com:php/php-src.git" för att ändra arkivet. Dessutom övervägs frågan om att övergå till obligatorisk certifiering av commits med en digital signatur från utvecklaren. Det föreslås också att förbjuda direkt tillägg av ändringar som inte har genomgått en preliminär granskning.
Källa: opennet.ru
