Комментарии 27
А сейчас они на какой системе контроля? И почему коммит теперь является атакой? Хочешь мержи, хотешь — не мержи.
Также, ни слова в новости о том, кто этот коммит сделал.
Забавно, что прям в коммите указано zerodium. Это на что нужно расчитывать, чтобы смержить.
Комит является атакой, поскольку он уже «прошел» и «замержился» и уже потом всплыл на ГитХабе, где его и «поймал» чешский программист.
Если в период с момента появления комита, кто-то загрузил себе исходники и скомпилил их, то он возможно получил бэкдор в свой PHP. Просто в мире не так много разработчиков, которые компилируют рнр из исходников. Часто они берут уже готовые бинарники, а бинарники в свою очередь поставщики компилят тоже не каждый день, а только
Данную атаку нужно также рассматривать как атаку на цепочку поставок. И своевременное обнаружение в данном случае показало прореху в безопасности используемого ПО репозитория, на что и обращает внимание Никита, говоря о том что команда перейдет на использование более безопасного GitHub.
habr.com/ru/post/515550
уже ответили выше
если окрыть коммит, то там будет ссылка на объяснение в котором написано, что это был не pullrequest, а прямой push на их сервер с гитом от имени одного из меинтейнеров
Если почитать текст по второй ссылке, то станет ясно что был скомпрометирован сервер git.php.net, на котором и были произведены два коммита, один от имени Rasmus Lerdorf, второй от имени Nikita Popov, эти изменения были зеркалированы GitHub-ом.
По итогу git.php.net закрывают, будут работать чисто на GitHub.
P.S. Работать без pull request — зло.
А если посмотреть на вторую ссылку в статье?
Уровень паники…
Revert "Revert "Revert "[skip-ci] Fix typo"""
https://github.com/php/php-src/commit/8d743d5281c29e9750e183804b7ba02e1ff82f0b
И строка, которая идёт третьим параметром в zend_eval_string: «REMOVETHIS: sold to zerodium, mid 2017».
Судя по вики Zerodium является биржей zero-day уязвимостей для скорейшего их закрытия, но почему тут 2017 год, не очень понятно.
но почему тут 2017 годВозможно, надеялись, что коммит пройдёт незамеченным и во время обнаружения в будущем подумают, что бекдор с 2017го года. Таким образом, инцидент поднял бы больше паники, а злоумышленников искали бы в другом «месте».
Озвучивалась гипотеза, что уязвимость на git.php.net была продана zerodium еще в 2017.
Может быть <conspiracy-mode>компания zerodium поставляет 0day эксплойты каким-то мутным клиентам (напр. NSA), и это является попыткой заявить о ситуации какими-то whistleblower'ами — это объяснило бы, почему
так явно с умыслом в код вставили строчку zerodium </conspiracy-mode>
Соответственно, за 3 года могли быть запушены и другие коммиты
Есть конторы, которые платят за то, что ты в чей-то публичный и популярный софт/реп максимально незаметно внесёшь бэкдор.
Зеродиум таким не занимаются?
После того как разработчики заметили вредоносное изменение и отменили его, в репозитории появился второй коммит, который отменял действие разработчиков PHP в возвращал вредоносное изменение.
Наверно можно добавить в новость
Пресечена попытка встроить бэкдор в репозиторий PHP