Новини

В репозитории PHP навредили

Оказывается, что Git-репозиторий проекта PHP скомпрометировали: 28 марта злоумышленники добавили 2 вредоносных коммита от имени основателя PHP Расмуса Лердорфа и разработчика Никиты Попова. 

Из-за компрометации сервера разработчики перенесли эталонный репозиторий на GitHub. Платформу теперь будут считать первоисточником. Изменения нужно отправлять на GitHub вместо git.php.net, а разработку можно вести через веб-интерфейс платформы.

В первом коммите вместо исправления в файл ext/zlib/zlib.c добавили изменение, которое запускало php-код из http-заголовка User Agent при условии, что содержимое начинается словом “zerodium”. Разработчики заметили изменение, отменили его, но в репозиторий добавили второй коммит: он отменял отмену и возвращал первый коммит.

В коде есть строка “REMOVETHIS: sold to zerodium, mid 2017” с намёком на уязвимость или вредонос, который спрятали в середине 2017 года и продали компании Zerodium, что они отрицают.

По поводу этого случая нет точной информации. Есть лишь предположение, что проблема во взломе сервера, а не компрометации учёток разработчиков. На другие изменения репозиторий проверяют все желающие. Если вы что-то заметите, отправляйте свои результаты на [email protected]

Чтобы получить доступ к репозиторию на GitHub, нужно стать членом организации PHP. Для этого нужно написать Никите Попову на [email protected] и иметь двухфакторную аутентификацию. После получения прав нужно выполнить команду git remote set-url origin [email protected]:php/php-src.git

Сейчас обсуждается обязательное заверение коммитов цифровой подписью и запрет прямых изменений без рецензирования.