นักพัฒนาโครงการ PHP เตือนเกี่ยวกับการประนีประนอมของพื้นที่เก็บข้อมูล Git ของโครงการและการค้นพบคอมมิตที่เป็นอันตราย 28 รายการที่ถูกเพิ่มเข้าไปในพื้นที่เก็บข้อมูล php-src เมื่อวันที่ XNUMX มีนาคม ในนามของ Rasmus Lerdorf ผู้ก่อตั้ง PHP และ Nikita Popov หนึ่งใน นักพัฒนาหลักของ PHP
เนื่องจากไม่มีความมั่นใจในความน่าเชื่อถือของเซิร์ฟเวอร์ที่โฮสต์พื้นที่เก็บข้อมูล Git นักพัฒนาจึงตัดสินใจว่าการบำรุงรักษาโครงสร้างพื้นฐาน Git ด้วยตนเองจะสร้างความเสี่ยงด้านความปลอดภัยเพิ่มเติม และย้ายพื้นที่เก็บข้อมูลอ้างอิงไปยังแพลตฟอร์ม GitHub ซึ่งเสนอให้ใช้ เป็นหลัก ตอนนี้การเปลี่ยนแปลงทั้งหมดควรถูกส่งไปยัง GitHub ไม่ใช่ git.php.net รวมถึงเมื่อกำลังพัฒนา คุณสามารถใช้เว็บอินเทอร์เฟซ GitHub ได้แล้ว
ในการกระทำที่เป็นอันตรายครั้งแรก ภายใต้หน้ากากของการแก้ไขการพิมพ์ผิดในไฟล์ ext/zlib/zlib.c มีการเปลี่ยนแปลงเกิดขึ้นซึ่งจะเรียกใช้โค้ด PHP ที่ส่งผ่านส่วนหัว User Agent HTTP หากเนื้อหาขึ้นต้นด้วยคำว่า "zerodium ". หลังจากที่นักพัฒนาสังเกตเห็นการเปลี่ยนแปลงที่เป็นอันตรายและเปลี่ยนกลับ การคอมมิตครั้งที่สองปรากฏขึ้นในพื้นที่เก็บข้อมูล ซึ่งคืนค่าการกระทำของนักพัฒนา PHP เพื่อคืนค่าการเปลี่ยนแปลงที่เป็นอันตราย
โค้ดที่เพิ่มเข้ามามีบรรทัด “REMOVETHIS: ขายให้กับ zerodium กลางปี 2017” ซึ่งอาจบอกเป็นนัยว่าตั้งแต่ปี 2017 โค้ดนั้นมีการเปลี่ยนแปลงอื่นที่อำพรางอย่างดีและเป็นอันตราย หรือมีช่องโหว่ที่ยังไม่ได้แก้ไขที่ขายให้กับ Zerodium ซึ่งเป็นบริษัทที่ซื้อ 0-day ช่องโหว่ (Zerodium ตอบว่าไม่ได้ซื้อข้อมูลเกี่ยวกับช่องโหว่ PHP)
ในขณะนี้ ยังไม่มีข้อมูลโดยละเอียดเกี่ยวกับเหตุการณ์ดังกล่าว สันนิษฐานว่าการเปลี่ยนแปลงดังกล่าวถูกเพิ่มเข้ามาเนื่องจากการแฮ็กเซิร์ฟเวอร์ git.php.net เท่านั้น และไม่ใช่การประนีประนอมของบัญชีนักพัฒนาแต่ละราย การวิเคราะห์พื้นที่เก็บข้อมูลได้เริ่มต้นขึ้นสำหรับการมีการเปลี่ยนแปลงที่เป็นอันตรายอื่นๆ นอกเหนือจากปัญหาที่ระบุ ขอเชิญทุกคนตรวจสอบ หากตรวจพบการเปลี่ยนแปลงที่น่าสงสัย คุณควรส่งข้อมูลไปที่ [ป้องกันอีเมล].
เกี่ยวกับการเปลี่ยนไปใช้ GitHub เพื่อให้สามารถเข้าถึงพื้นที่เก็บข้อมูลใหม่ได้ ผู้เข้าร่วมการพัฒนาจะต้องเป็นส่วนหนึ่งขององค์กร PHP ผู้ที่ไม่อยู่ในรายชื่อนักพัฒนา PHP บน GitHub ควรติดต่อ Nikita Popov ทางอีเมล [ป้องกันอีเมล]. หากต้องการเพิ่ม ข้อกำหนดบังคับคือการเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย หลังจากได้รับสิทธิ์ที่เหมาะสมในการเปลี่ยนแปลงที่เก็บแล้ว ให้รันคำสั่ง “git remote set-url origin [ป้องกันอีเมล]:php/php-src.git". นอกจากนี้ ยังมีการพิจารณาประเด็นการย้ายไปสู่การรับรองภาคบังคับของการดำเนินการที่มีลายเซ็นดิจิทัลของนักพัฒนาอีกด้วย มีการเสนอให้ห้ามการเพิ่มการเปลี่ยนแปลงโดยตรงที่ยังไม่ได้ผ่านการตรวจสอบล่วงหน้า
ที่มา: opennet.ru