У проєкт PHP намагались додати бекдор: днями у репозиторії php-src з'явились коміти зі шкідливим кодом. Їх буцімто пропонували засновник PHP Расмус Лердорф та ключовий розробник проєкту Нікіта Попов.
Ці коміти мали дозволити виконання RCE-атаки. Перший з них запускав PHP-код, що передавався в HTTP-заголовку User-Agent, якщо рядок починався зі слова «zerodium». Коміт маскувався під виправлення хибодруку в ext/zlib/zlib.c, але розробники помітили й видалили його. Тож другий шкідливий коміт мав би скасувати видалення та повернути зміни.
Припускається, що зловмисники скомпрометували не облікові записи розробників, а зламали безпосередньо сервер git.php.net.
Розслідування ще триває, але розробники PHP вирішили, що власна git-інфраструктура недостатньо безпечна. Тож проєкт не буде працювати з сервером git.php.net, а перейде на GitHub. Репозиторії на GitHub, які раніше були дзеркалами, тепер стануть основними.
Поки триває перевірка, нові релізи PHP відкладаються мінімум на два тижні.
Ще немає коментарів