Nagbabala ang mga developer ng proyektong PHP tungkol sa kompromiso ng Git repository ng proyekto at ang pagtuklas ng dalawang malicious commit na idinagdag sa php-src repository noong Marso 28 sa ngalan ni Rasmus Lerdorf, ang tagapagtatag ng PHP, at Nikita Popov, isa sa mga pangunahing mga developer ng PHP.
Dahil walang tiwala sa pagiging maaasahan ng server kung saan naka-host ang Git repository, nagpasya ang mga developer na ang pagpapanatili ng imprastraktura ng Git sa kanilang sarili ay lumilikha ng karagdagang mga panganib sa seguridad at inilipat ang reference na repository sa GitHub platform, na iminungkahing gamitin. bilang pangunahin. Ang lahat ng mga pagbabago ay dapat na ngayong ipadala sa GitHub, at hindi sa git.php.net, kasama na kapag bumubuo, maaari mo na ngayong gamitin ang GitHub web interface.
Sa unang malisyosong commit, sa ilalim ng pagkukunwari ng pag-aayos ng typo sa file na ext/zlib/zlib.c, isang pagbabago ang ginawa na magpapatakbo sa PHP code na ipinasa sa User Agent HTTP header kung ang nilalaman ay nagsimula sa salitang "zerodium ". Matapos mapansin ng mga developer ang malisyosong pagbabago at ibalik ito, lumitaw ang pangalawang commit sa repository, na nagpabalik sa aksyon ng mga developer ng PHP upang ibalik ang nakakahamak na pagbabago.
Ang idinagdag na code ay naglalaman ng linyang βREMOVETHIS: sold to zerodium, mid 2017,β na maaaring magpahiwatig na mula noong 2017 ang code ay naglalaman ng isa pa, well-camouflaged, malisyosong pagbabago, o isang hindi naitama na kahinaan na ibinebenta sa Zerodium, isang kumpanyang bumibili ng 0-araw mga kahinaan ( Tumugon ang Zerodium na hindi ito bumili ng impormasyon tungkol sa kahinaan ng PHP).
Sa ngayon, walang detalyadong impormasyon tungkol sa insidente; ipinapalagay lamang na ang mga pagbabago ay idinagdag bilang resulta ng pag-hack ng git.php.net server, at hindi ang kompromiso ng mga indibidwal na developer account. Nagsimula na ang pagsusuri ng repositoryo para sa pagkakaroon ng iba pang malisyosong pagbabago bilang karagdagan sa mga natukoy na problema. Iniimbitahan ang lahat na suriin; kung may nakitang mga kahina-hinalang pagbabago, dapat kang magpadala ng impormasyon sa [protektado ng email].
Tungkol sa paglipat sa GitHub, upang makakuha ng access sa pagsulat sa bagong repository, ang mga kalahok sa pagbuo ay dapat na bahagi ng organisasyong PHP. Ang mga hindi nakalista bilang mga developer ng PHP sa GitHub ay dapat makipag-ugnayan kay Nikita Popov sa pamamagitan ng email [protektado ng email]. Upang magdagdag, isang ipinag-uutos na kinakailangan ay upang paganahin ang dalawang-factor na pagpapatotoo. Matapos makuha ang naaangkop na mga karapatan upang baguhin ang imbakan, patakbuhin lamang ang command na "git remote set-url origin [protektado ng email]:php/php-src.git". Bukod pa rito, ang isyu ng paglipat sa mandatoryong certification ng mga commit na may digital signature ng developer ay isinasaalang-alang. Iminungkahi din na ipagbawal ang direktang pagdaragdag ng mga pagbabago na hindi sumailalim sa paunang pagsusuri.
Pinagmulan: opennet.ru