Utvecklarna av PHP-projektet varnade för kompromissen med projektets Git-repository och upptäckten av två skadliga bekräftelser som lades till php-src-förvaret den 28 mars på uppdrag av Rasmus Lerdorf, grundaren av PHP, och Nikita Popov, en av de nyckelutvecklare av PHP.
Eftersom det inte finns något förtroende för tillförlitligheten hos servern som Git-förvaret var värd på, beslutade utvecklarna att underhåll av Git-infrastrukturen på egen hand skapar ytterligare säkerhetsrisker och flyttade referensförrådet till GitHub-plattformen, som föreslås användas som den primära. Alla ändringar ska nu skickas till GitHub, och inte till git.php.net, inklusive när du utvecklar, kan du nu använda GitHub webbgränssnitt.
I den första skadliga commit, under sken av att fixa ett stavfel i filen ext/zlib/zlib.c, gjordes en ändring som skulle köra PHP-koden som skickades i User Agent HTTP-huvudet om innehållet började med ordet "zerodium" ". Efter att utvecklarna märkte den skadliga förändringen och återställde den, dök en andra commit upp i förvaret, som återställde PHP-utvecklarnas åtgärd för att återställa den skadliga förändringen.
Den tillagda koden innehåller raden "REMOVETHIS: sold to zerodium, mid 2017", vilket kan antyda att koden sedan 2017 innehåller en annan, väl kamouflerad, skadlig ändring eller en okorrigerad sårbarhet som säljs till Zerodium, ett företag som köper 0-dagars sårbarheter (Zerodium svarade att det inte köpte information om PHP-sårbarheten).
För närvarande finns det ingen detaljerad information om incidenten, det antas bara att ändringarna har lagts till som ett resultat av hackningen av git.php.net-servern, och inte kompromissen med individuella utvecklarkonton. Analysen av förvaret har påbörjats för förekomsten av andra skadliga förändringar utöver de identifierade problemen. Alla är välkomna att granska, om misstänkta förändringar upptäcks ska du skicka information till [e-postskyddad].
När det gäller övergången till GitHub, för att få skrivåtkomst till det nya arkivet, måste utvecklingsdeltagare vara en del av PHP-organisationen. De som inte är listade som PHP-utvecklare på GitHub bör kontakta Nikita Popov via e-post [e-postskyddad]. För att lägga till är ett obligatoriskt krav att aktivera tvåfaktorsautentisering. Efter att ha erhållit lämpliga rättigheter för att ändra förvaret, kör bara kommandot "git remote set-url origin [e-postskyddad]:php/php-src.git". Dessutom övervägs frågan om att gå till obligatorisk certifiering av åtaganden med en digital signatur från utvecklaren. Det föreslås också att förbjuda direkt tillägg av ändringar som inte har genomgått föregående granskning.
Källa: opennet.ru