Таҳиягарони лоиҳаи PHP аз созиши анбори Git-и лоиҳа ва ошкор шудани ду ҷинояти зараровар ба анбори php-src аз номи Расмус Лердорф, асосгузори PHP ва Никита Попов, яке аз таҳиягарони асосии PHP.
Азбаски ба эътимоднокии сервере, ки дар он анбори Git ҷойгир шудааст, боварӣ нест, таҳиягарон қарор доданд, ки нигоҳ доштани инфрасохтори Git ба таври худкор хатарҳои иловагии амниятро ба вуҷуд меорад ва анбори истинодро ба платформаи GitHub, ки барои истифода пешниҳод карда мешавад, интиқол доданд. ҳамчун ибтидоӣ. Ҳама тағиротҳо бояд акнун ба GitHub фиристода шаванд, на ба git.php.net, аз ҷумла ҳангоми таҳия, шумо ҳоло метавонед интерфейси веби GitHub-ро истифода баред.
Дар аввалин амали бадқасдона, зери ниқоби ислоҳи хатои хаттӣ дар файли ext/zlib/zlib.c, тағирот ворид карда шуд, ки рамзи PHP-ро, ки дар сарлавҳаи Agent HTTP интиқол дода мешавад, иҷро мекунад, агар мундариҷа бо калимаи "zorodium" оғоз шавад ". Пас аз он ки таҳиягарон тағироти зарароварро пайхас карданд ва онро баргардонданд, дар анбор ӯҳдадории дуюм пайдо шуд, ки амали таҳиягарони PHP-ро барои баргардонидани тағироти бадқасдона баргардонд.
Рамзи иловашуда сатри "REMOVETHIS: фурӯхта ба zerodium, нимаи соли 2017" -ро дар бар мегирад, ки метавонад ишора кунад, ки аз соли 2017 ин код тағироти дигаре, хуб пинҳоншуда, зараровар ё осебпазирии ислоҳнашуда ба Zerodium, ширкате, ки 0-рӯз мехарад фурӯхта шудааст. осебпазирӣ (Zerodium ҷавоб дод, ки он маълумотро дар бораи осебпазирии PHP нахаридааст).
Дар айни замон, маълумоти муфассал дар бораи ин ҳодиса вуҷуд надорад; танҳо тахмин карда мешавад, ки тағирот дар натиҷаи ҳакерии сервери git.php.net илова карда шудааст, на созиши ҳисобҳои инфиродии таҳиягарон. Таҳлили анбор барои мавҷудияти дигар тағйироти бад ба ғайр аз мушкилоти муайяншуда оғоз шуд. Ҳама даъват карда мешаванд, ки аз назар гузаронанд; агар тағйироти шубҳанок ошкор карда шаванд, шумо бояд маълумотро ба он фиристед [почтаи электронӣ ҳифз карда шудааст].
Дар мавриди гузариш ба GitHub, барои ба даст овардани дастрасии хаттӣ ба анбори нав, иштирокчиёни таҳия бояд қисми ташкилоти PHP бошанд. Онҳое, ки дар GitHub ҳамчун таҳиягарони PHP номбар нашудаанд, бояд тавассути почтаи электронӣ бо Никита Попов тамос гиранд [почтаи электронӣ ҳифз карда шудааст]. Барои илова кардан, як талаботи ҳатмӣ имкон додани аутентификатсияи ду омил аст. Пас аз гирифтани ҳуқуқи мувофиқ барои тағир додани анбор, танҳо фармони "git remote set-url origin" -ро иҷро кунед [почтаи электронӣ ҳифз карда шудааст]:php/php-src.git". Илова бар ин, масъалаи гузаштан ба сертификатсияи ҳатмӣ бо имзои рақамии таҳиякунанда баррасӣ мешавад. Инчунин пешниҳод карда мешавад, ки иловаи мустақими тағйироте, ки аз баррасии пешакӣ нагузаштаанд, манъ карда шавад.
Манбаъ: opennet.ru