Pull to refresh

Comments 27

А сейчас они на какой системе контроля? И почему коммит теперь является атакой? Хочешь мержи, хотешь — не мержи.
Также, ни слова в новости о том, кто этот коммит сделал.


Забавно, что прям в коммите указано zerodium. Это на что нужно расчитывать, чтобы смержить.

Насколько я понимаю коммит был сделат от имени Расмуса Лердорфа, но не из под его учетной записи. Посколько команда РНР не работает полностью в ГитХабе, а, я так понимаю, зеркалирует на гитхаб из своего репозитория, то на гитхабе мы видим его аккаунт как контрибьютора, но это скорее всего глюк синхронизации с основным репозиторием.
Комит является атакой, поскольку он уже «прошел» и «замержился» и уже потом всплыл на ГитХабе, где его и «поймал» чешский программист.
Если в период с момента появления комита, кто-то загрузил себе исходники и скомпилил их, то он возможно получил бэкдор в свой PHP. Просто в мире не так много разработчиков, которые компилируют рнр из исходников. Часто они берут уже готовые бинарники, а бинарники в свою очередь поставщики компилят тоже не каждый день, а только по-праздникам при выходе новых релизов и/или важных патчей. Поэтому да, ущерб был нанесен минимальный, но если бы уязвимость вовремя не обнаружили, последствия могли быть весьма плачевными.
Данную атаку нужно также рассматривать как атаку на цепочку поставок. И своевременное обнаружение в данном случае показало прореху в безопасности используемого ПО репозитория, на что и обращает внимание Никита, говоря о том что команда перейдет на использование более безопасного GitHub.

Главное, что нельзя пушить куда угодно.

уже ответили выше


если окрыть коммит, то там будет ссылка на объяснение в котором написано, что это был не pullrequest, а прямой push на их сервер с гитом от имени одного из меинтейнеров

А никто и не мержил этот комит, он был сделан напрямую в master.
Если почитать текст по второй ссылке, то станет ясно что был скомпрометирован сервер git.php.net, на котором и были произведены два коммита, один от имени Rasmus Lerdorf, второй от имени Nikita Popov, эти изменения были зеркалированы GitHub-ом.
По итогу git.php.net закрывают, будут работать чисто на GitHub.

P.S. Работать без pull request — зло.
Вопрос не в уровне паники, а в том, сколько таких коммитов осталось незамеченными.
оффтоп
Из репозитория:
@rlerdorf what does this do?

Так же Никита уточняет, что его учетная запись не была скомпрометирована, а атаке подвергся непосредственно сервер репозитория.

На кассе клиент смотрит в чек:
— А что такое «прокатило: 1000 руб»?
— Не прокатило… Вычеркиваем.
Там ещё юзерагент интересный для бекдора: zerodium.
И строка, которая идёт третьим параметром в zend_eval_string: «REMOVETHIS: sold to zerodium, mid 2017».
Судя по вики Zerodium является биржей zero-day уязвимостей для скорейшего их закрытия, но почему тут 2017 год, не очень понятно.
но почему тут 2017 год
Возможно, надеялись, что коммит пройдёт незамеченным и во время обнаружения в будущем подумают, что бекдор с 2017го года. Таким образом, инцидент поднял бы больше паники, а злоумышленников искали бы в другом «месте».

Тоже сомнительно, так как можно легко посмотреть историю коммитов для конкретных строк.

Озвучивалась гипотеза, что уязвимость на git.php.net была продана zerodium еще в 2017.


Может быть <conspiracy-mode>компания zerodium поставляет 0day эксплойты каким-то мутным клиентам (напр. NSA), и это является попыткой заявить о ситуации какими-то whistleblower'ами — это объяснило бы, почему
так явно с умыслом в код вставили строчку zerodium </conspiracy-mode>


Соответственно, за 3 года могли быть запушены и другие коммиты

Практически наверняка так оно и есть. И повторная попытка запушить коммит после его удаления подтверждает это. Более того, судя по тексту коммита, эта уязвимость уже использовалась.
Какой-то раскаявшийся грей/блэк-хэт отчаянно машет красным флажком.

Есть конторы, которые платят за то, что ты в чей-то публичный и популярный софт/реп максимально незаметно внесёшь бэкдор.
Зеродиум таким не занимаются?

На opennet.ru пишут
После того как разработчики заметили вредоносное изменение и отменили его, в репозитории появился второй коммит, который отменял действие разработчиков PHP в возвращал вредоносное изменение.

Наверно можно добавить в новость
Хм, если бэкдор заметили, какой смысл возвращать его обратно?

Вот как будто инициаторы скорее хотели принудить отказаться от дырявого git.php.net, чем добавлять реальную уязвимость

Ну да, а то как-то странно получается. А может просто троллинга ради
Забавно что Никита буквально пару недель назад в гостях у PHP дайджеста комментировал вопрос инфраструктуры PHP и сказал что никто не хочет ничего менять (переезд репозиториев на гитхаб) и так уже много лет и в ближайшее время ничего не изменится, но вот прошла пару недель и кто то решил этот вопрос за 2 комита! браво!

Причём мне слышалось недовольство, типа давно бы переехали и нормально было бы, но некоторые против

Only those users with full accounts are able to leave comments. Log in, please.