Розробники проекту PHP попередили про компрометацію Git-репозиторія проекту та виявлення двох шкідливих коммітів, доданих 28 березня до репозиторію php-src від імені Расмуса Лердорфа, засновника PHP, та Микити Попова, одного з ключових розробників PHP.
Оскільки немає впевненості у надійності сервера, на якому був розміщений Git-репозиторій, розробники вирішили, що підтримка своїми силами Git-інфраструктури створює додаткові ризики безпеки та перенесли еталонний репозиторій на платформу GitHub, яку пропонується використовувати як первинну. Всі зміни відтепер слід відправляти на GitHub, а не на git.php.net, у тому числі при розробці можна використовувати web-інтерфейс GitHub.
У першому шкідливому коміті під виглядом виправлення друкарської помилки у файлі ext/zlib/zlib.c було внесено зміну, що запускає PHP-код, переданий у HTTP-заголовку User Agent, якщо вміст починається зі слова «zerodium». Після того як розробники помітили шкідливу зміну і скасували її, в репозиторії з'явився другий коміт, який скасовував дію розробників PHP і повертав шкідливу зміну.
У доданому коді присутній рядок «REMOVETHIS: sold to zerodium, mid 2017», який може натякати, що з 2017 року в коді знаходиться інша, якісно закамуфльована, шкідлива зміна, або невиправлена вразливість, продана компанії Zerodium, що займається скупкою компанія Zerodium відповіла, що не купувала відомості про вразливість у PHP).
В даний час поки немає детальної інформації про інцидент, передбачається лише, що зміни були додані в результаті злому сервера git.php.net, а не компрометації окремих облікових записів розробників. Розпочався аналіз репозиторію на наявність інших шкідливих змін, крім виявлених проблем. До рецензування запрошуються усі охочі, при виявленні підозрілих змін слід надіслати інформацію на [захищено електронною поштою].
Що стосується переходу на GitHub, то для отримання доступу до нового репозиторію учасникам розробки необхідно увійти до складу організації PHP. Тим, хто не включений до розробників PHP на GitHub, слід зв'язатися з Микитою Поповим по email [захищено електронною поштою]. Для додавання обов'язковою вимогою є включення двофакторної автентифікації. Після отримання належних прав для зміни репозиторію достатньо виконати команду git remote set-url origin [захищено електронною поштою]:php/php-src.git». Додатково розглядається питання про перехід до обов'язкового засвідчення комітів цифровим підписом розробника. Також пропонується заборонити пряме додавання змін, які не пройшли попереднього рецензування.
Джерело: opennet.ru