PHP 项目的开发人员代表 PHP 创始人 Rasmus Lerdorf 和 PHP 创始人之一 Nikita Popov 发出警告,称该项目的 Git 存储库遭到破坏,并于 28 月 XNUMX 日发现 php-src 存储库中添加了两处恶意提交。 PHP 的主要开发人员。
由于对托管 Git 存储库的服务器的可靠性没有信心,开发人员决定自行维护 Git 基础设施会产生额外的安全风险,并将参考存储库移至建议使用的 GitHub 平台作为主要的。 所有更改现在都应该发送到 GitHub,而不是发送到 git.php.net,包括在开发时,您现在可以使用 GitHub Web 界面。
在第一次恶意提交中,以修复文件 ext/zlib/zlib.c 中的拼写错误为幌子,进行了更改,如果内容以“zerodium”开头,则将运行用户代理 HTTP 标头中传递的 PHP 代码”。 在开发人员注意到恶意更改并将其还原后,存储库中出现了第二次提交,这还原了 PHP 开发人员还原恶意更改的操作。
添加的代码包含一行“REMOVETHIS:出售给 zerodium,2017 年中”,这可能暗示自 2017 年以来,该代码包含另一个经过精心伪装的恶意更改,或出售给 Zerodium(一家购买 0-day 漏洞的公司)的未经纠正的漏洞漏洞(Zerodium 回应称并未购买有关 PHP 漏洞的信息)。
目前,还没有有关该事件的详细信息;仅假设这些更改是由于 git.php.net 服务器遭到黑客攻击而添加的,而不是由于个人开发者帐户受到损害。 除了已识别的问题之外,还开始对存储库进行分析,以确定是否存在其他恶意更改。 邀请每个人进行审查;如果检测到可疑更改,您应该将信息发送至 [电子邮件保护].
关于向 GitHub 的过渡,为了获得对新存储库的写入权限,开发参与者必须是 PHP 组织的一部分。 那些没有在 GitHub 上被列为 PHP 开发人员的人应该通过电子邮件联系 Nikita Popov [电子邮件保护]。 要补充的是,强制要求是启用双因素身份验证。 获得更改存储库的适当权限后,只需运行命令“git remote set-url origin” [电子邮件保护]:php/php-src.git”。 此外,正在考虑使用开发人员的数字签名对提交进行强制认证的问题。 还建议禁止直接添加未经事先审查的变更。
来源: opennet.ru