PHP在3月28日發布公告,指出有人以兩位核心開發人員的名義(Rasmus LerdorfNikita Popov),提交兩次惡意內容(malicious commits)、推送至PHP原始碼儲存庫(php-src),他們認為,應是git.php.net伺服器被滲透,而非個人的Git帳號被入侵。

雖然目前PHP還在調查,但他們決定停止git.php.net 伺服器的服務,並將先前作為程式碼鏡像儲存的GitHub,改為正式伺服器以替代原本的git.php.net 伺服器,且之後所有的變更,將直接推送至GitHub。

根據Bleeping Computer觀察的結果,關於惡意提交的內容,他們認為具有潛藏RCE程式碼攻擊的可能性。而在PHP公告附註的程式碼提交頁面中,可以看到對於這段爭議程式碼的相關討論,有位名為JABirchall的人表示,如果字串以Zerodium作為開頭,就會執行HTTP標頭為Useragent段落的PHP程式碼。

雖然這起事件並非個人的Git帳號被入侵,但他們還是在公告最後,提醒使用者提交到GitHub時,要進行雙因素驗證,提高帳號的安全性。

關於可能帶有惡意的PHP程式碼,366行的AGENTT有人詢問是否是刻意多加一個T(藍色),令人覺得可疑。而比較有爭議的地方,是在370行的程式碼(紅色)中,我們可以看到其中一段字串為"REMOVETHIS: sold to zerodium, mid 2017",似乎不符合常理,但這可能是引發RCE漏洞的地方。

熱門新聞

Advertisement