Em nota no último domingo, dia 28/03/2021, Nikita Popov anunciou mudanças no workflow de commits no repositório Git do PHP por conta de um ataque malicioso no código fonte da linguagem.
Foram feitos dois commits para repositório php-src
com os nomes de Rasmus Lerdorf (criador do PHP) e Nikita.
O commit engenhoso tem como descrição “Fix typo”, tentando fazer parecer que o criador da linguagem estava apenas corrigindo um texto.
Segundo Nikita, ainda não se tem conhecimento de como exatamente isso aconteceu, mas tudo aponta para uma falha no servidor git.php.net
.
Vale salientar que o projeto do PHP utiliza uma solução de Git própria e
Nikita comenta que esse é um dos problemas.
Foi decidido que manter uma infraestrutura própria de git é um risco de segurança desnecessário, e com isso o servidor git.php.net será descontinuado.
Os repositórios do PHP já estão no GitHub, porém, atualmente são apenas espelhos, e isso agora vai mudar.
Todas as alterações de código no PHP deverão ser enviadas diretamente para o GitHub e não mais para git.php.net
.
O time do PHP está revisando os repositórios para tentar identificar problemas semelhantes. O time pede que caso alguém identifique alguma falha entre em contato via e-mail: security@php.net.
Saiba mais:
Anúncio oficial: https://news-web.php.net/php.internals/113838
Commit: https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d
Matéria no The Hacker News: https://thehackernews.com/2021/03/phps-git-server-hacked-to-insert-secret.html