PHP ప్రాజెక్ట్ యొక్క డెవలపర్లు ప్రాజెక్ట్ యొక్క Git రిపోజిటరీ యొక్క రాజీ గురించి మరియు PHP-src రిపోజిటరీకి మార్చి 28న జోడించబడిన రెండు హానికరమైన కమిట్లను PHP వ్యవస్థాపకుడు రాస్మస్ లెర్డార్ఫ్ మరియు నికితా పోపోవ్ తరపున హెచ్చరించారు. PHP యొక్క ముఖ్య డెవలపర్లు.
Git రిపోజిటరీ హోస్ట్ చేయబడిన సర్వర్ యొక్క విశ్వసనీయతపై విశ్వాసం లేనందున, డెవలపర్లు Git అవస్థాపనను వారి స్వంతంగా నిర్వహించడం వలన అదనపు భద్రతా ప్రమాదాలు ఏర్పడతాయని మరియు రిఫరెన్స్ రిపోజిటరీని GitHub ప్లాట్ఫారమ్కు తరలించాలని నిర్ణయించారు. ప్రాథమికంగా. అన్ని మార్పులు ఇప్పుడు GitHubకి పంపబడాలి మరియు git.php.netకి కాదు, అభివృద్ధి చేస్తున్నప్పుడు సహా, మీరు ఇప్పుడు GitHub వెబ్ ఇంటర్ఫేస్ని ఉపయోగించవచ్చు.
మొదటి హానికరమైన కమిట్లో, ext/zlib/zlib.c ఫైల్లో అక్షర దోషాన్ని పరిష్కరించే ముసుగులో, "జీరోడియం" అనే పదంతో కంటెంట్ ప్రారంభమైనట్లయితే, వినియోగదారు ఏజెంట్ HTTP హెడర్లో పాస్ చేసిన PHP కోడ్ను అమలు చేసే మార్పు చేయబడింది. ". డెవలపర్లు హానికరమైన మార్పును గమనించి, దానిని తిరిగి మార్చిన తర్వాత, రిపోజిటరీలో రెండవ కమిట్ కనిపించింది, ఇది హానికరమైన మార్పును తిరిగి మార్చడానికి PHP డెవలపర్ల చర్యను తిప్పికొట్టింది.
జోడించిన కోడ్లో “REMOVETHIS: zerodiumకి విక్రయించబడింది, 2017 మధ్యలో” అనే పంక్తిని కలిగి ఉంది, ఇది 2017 నుండి కోడ్లో మరొక, బాగా మభ్యపెట్టబడిన, హానికరమైన మార్పు లేదా 0-రోజులను కొనుగోలు చేసే సంస్థ అయిన Zerodiumకి విక్రయించబడిన సరిదిద్దని దుర్బలత్వం ఉందని సూచించవచ్చు. దుర్బలత్వాలు ( PHP దుర్బలత్వం గురించిన సమాచారాన్ని కొనుగోలు చేయలేదని Zerodium ప్రతిస్పందించింది).
ఈ సమయంలో, సంఘటన గురించి వివరణాత్మక సమాచారం లేదు; git.php.net సర్వర్ హ్యాకింగ్ ఫలితంగా మార్పులు జోడించబడ్డాయి మరియు వ్యక్తిగత డెవలపర్ ఖాతాల రాజీ కారణంగా కాదు. గుర్తించబడిన సమస్యలతో పాటు ఇతర హానికరమైన మార్పుల ఉనికి కోసం రిపోజిటరీ యొక్క విశ్లేషణ ప్రారంభమైంది. సమీక్షించడానికి అందరూ ఆహ్వానించబడ్డారు; అనుమానాస్పద మార్పులు గుర్తించబడితే, మీరు దీనికి సమాచారాన్ని పంపాలి [ఇమెయిల్ రక్షించబడింది].
GitHubకి పరివర్తనకు సంబంధించి, కొత్త రిపోజిటరీకి రైట్ యాక్సెస్ పొందడానికి, డెవలప్మెంట్ పార్టిసిపెంట్లు తప్పనిసరిగా PHP సంస్థలో భాగం అయి ఉండాలి. GitHubలో PHP డెవలపర్లుగా జాబితా చేయబడని వారు ఇమెయిల్ ద్వారా Nikita Popovని సంప్రదించాలి [ఇమెయిల్ రక్షించబడింది]. జోడించడానికి, రెండు-కారకాల ప్రమాణీకరణను ప్రారంభించడం తప్పనిసరి అవసరం. రిపోజిటరీని మార్చడానికి తగిన హక్కులను పొందిన తర్వాత, “git remote set-url origin” ఆదేశాన్ని అమలు చేయండి [ఇమెయిల్ రక్షించబడింది]:php/php-src.git". అదనంగా, డెవలపర్ యొక్క డిజిటల్ సంతకంతో కమిట్ల తప్పనిసరి ధృవీకరణకు వెళ్లే సమస్య పరిగణించబడుతోంది. ముందస్తు సమీక్షకు గురికాని మార్పులను నేరుగా జోడించడాన్ని నిషేధించాలని కూడా ప్రతిపాదించబడింది.
మూలం: opennet.ru