文|御坂弟弟
近日,PHP 团队创造其 git.php.net 做事器被入侵,官方仓库中涌现了两个恶意提交,并且这些提交假造了 PHP 开拓者和掩护者 Rasmus Lerdorf 和 Nikita Popov 的署名。
事情发生在估量今年年底发布的 PHP 8.1 开拓分支中。这两个提交试图在 PHP 中留下一个远程代码实行的后门:如果字符串以 “zerodium” 开头,就会从 useragent HTTP 头内实行 PHP 代码。目前,PHP 仍旧是做事器端紧张的编程措辞,为互联网上超过 79% 的网站供应支持,如果该后门没有被创造,后果将非常严重。
所幸这两个恶意提交很快被创造然后还原,Nikita Popov 随即发布声明表示这次事件该当不是个人账户泄露,而是 git.php.net 做事器被入侵。由于在 Git 这样的源码版本掌握系统中,可以在一个提交利用来自本地其他人的署名,然后把假造的提交上传到远程的 Git 做事器上,这样一来,就会让人以为这个提交确实是由该署名所有人签署的。
此外,PHP 团队表示掩护自己的 Git 根本举动步伐是一个不必要的安全风险,其将在接下来的几天内停滞利用 git.php.net 做事器,而原来 GitHub 上的镜像仓库将成为主仓库,往后所有修正会直接推送到 GitHub 上,而不再是 git.php.net 做事器上。因此,今后想为 PHP 做贡献的人须要先通过双重身份认证加入 GitHub 上的 PHP 组织。目前,PHP 团队正在审查仓库中是否有其他恶意代码。
