[English]Es gab wohl einen erfolgreichen Lieferkettenangriff (Supply-Chain-Attack) auf den offiziellen Git-Server des PHP-Projekts. Den Angreifern gelang es, ein unautorisiertes Updates hochzuladen, um eine geheime Hintertür in den Quellcode einzufügen.
Anzeige
Ich bin gerade auf Twitter über diesen Sachverhalt informiert worden – den die Kollegen von The Hacker News in diesem Artikel offen gelegt haben. Nikita Popov vom Projekt hat das Ganze in einem Post öffentlich gemacht:
Der Angriff ist, laut nachfolgender Verlautbarung, wohl am gestrigen Sonntag, den 28. März 2021, passiert, aber aufgefallen. Es wurden zwei bösartige Commits in das php-src Repo [1] unter den Namen von Rasmus Lerdorf und Nikita Popov veröffentlicht.
Hi everyone, Yesterday (2021-03-28) two malicious commits were pushed to the php-src repo [1] from the names of Rasmus Lerdorf and myself. We don't yet know how exactly this happened, but everything points towards a compromise of the git.php.net server (rather than a compromise of an individual git account). While investigation is still underway, we have decided that maintaining our own git infrastructure is an unnecessary security risk, and that we will discontinue the git.php.net server. Instead, the repositories on GitHub, which were previously only mirrors, will become canonical. This means that changes should be pushed directly to GitHub rather than to git.php.net. While previously write access to repositories was handled through our home-grown karma system, you will now need to be part of the php organization on GitHub. If you are not part of the organization yet, or don't have access to a repository you should have access to, contact me at nikic@php.net with your php.net and GitHub account names, as well as the permissions you're currently missing. Membership in the organization requires 2FA to be enabled. This change also means that it is now possible to merge pull requests directly from the GitHub web interface. We're reviewing the repositories for any corruption beyond the two referenced commits. Please contact security@php.net if you notice anything. Regards, Nikita [1]: https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d and https://github.com/php/php-src/commit/2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a
Nikita Popov schreibt, dass die Betreiber noch nicht wissen, wie das passiert genau ist. Aber es deutet alles auf eine Kompromittierung des
git.php.net-Servers hin (und nicht auf eine Kompromittierung eines einzelnen Git-Kontos). Aktuell laufen wohl noch die forensischen Ermittlungen, um die Schwachstelle zu finden, und festzustellen, was alles kompromittiert wurde.
Die Entwickler haben jetzt beschlossen, dass die Pflege der eigene Git-Infrastruktur ein unnötiges Sicherheitsrisiko darstellt. Daher wird der git.php.net-Server eingestellt. Stattdessen sollen die Repositories auf GitHub, der bisher nur als Mirrors funktionierte, kanonisch werden. Das bedeutet, dass Änderungen direkt an GitHub und nicht an git.php.net weitergegeben werden sollten. Entwickler, die zu PHP beitragen, müssen dies für Commits berücksichtigen. Nutzer von PHP, die sich gestern Quellcode gezogen haben, sollten prüfen, ob die oben aufgeführten Dateien mit heruntergeladen wurden. The Hacker News hält in diesem Artikel noch einige Details zu den kompromittierten Quellcode-Dateien bereit.
2015
