PHP 專案的開發人員代表PHP 創辦人Rasmus Lerdorf 和PHP 創辦人之一Nikita Popov 發出警告,表示該專案的Git 儲存庫遭到破壞,並於28 月XNUMX 日發現php-src 儲存庫中添加了兩處惡意提交。 PHP 的主要開發人員。
由於對託管 Git 儲存庫的伺服器的可靠性沒有信心,開發人員決定自行維護 Git 基礎設施會帶來額外的安全風險,並將參考儲存庫移至建議使用的 GitHub 平台作為主要的。 所有變更現在都應該發送到 GitHub,而不是發送到 git.php.net,包括在開發時,您現在可以使用 GitHub Web 介面。
在第一次惡意提交中,以修復檔案 ext/zlib/zlib.c 中的拼字錯誤為幌子,進行了更改,如果內容以「zerodium」開頭,則會執行使用者代理 HTTP 標頭中傳遞的 PHP 程式碼」。 在開發人員注意到惡意變更並將其還原後,儲存庫中出現了第二次提交,這還原了 PHP 開發人員還原惡意變更的操作。
新增的程式碼包含一行“REMOVETHIS:出售給zerodium,2017 年年中”,這可能暗示自2017 年以來,該程式碼包含另一個經過精心偽裝的惡意更改,或出售給Zerodium(一家購買0-day 的公司)的未經修正的漏洞漏洞(Zerodium 回應稱並未購買有關 PHP 漏洞的資訊)。
目前,還沒有有關該事件的詳細資訊;僅假設這些變更是由於 git.php.net 伺服器遭到駭客攻擊而添加的,而不是由於個人開發者帳戶的洩露而添加的。 除了已識別的問題之外,還開始對儲存庫進行分析,以確定是否存在其他惡意變更。 邀請每個人進行審查;如果檢測到可疑更改,您應該將資訊發送至 [電子郵件保護].
關於向 GitHub 的過渡,為了獲得對新儲存庫的寫入權限,開發參與者必須是 PHP 組織的一部分。 那些沒有在 GitHub 上被列為 PHP 開發人員的人應該透過電子郵件聯繫 Nikita Popov [電子郵件保護]。 要補充的是,強制要求是啟用雙重認證。 獲得更改儲存庫的適當權限後,只需執行命令“git remote set-url origin” [電子郵件保護]:php/php-src.git」。 此外,正在考慮使用開發人員的數位簽章對提交進行強制認證的問題。 也建議禁止直接添加未經事先審查的變更。
來源: opennet.ru