Das PHP-Projekt zieht zu GitHub um. (Foto: 360b / Shutterstock.com)
Bekannter Flaw in Versionsverwaltungssystemen
Dass es überhaupt möglich ist, sich als jemand anderes auszugeben und in dessen Namen Code zu committen, ist ein bekannter Flaw in Versionsverwaltungssystemen wie Git. Dazu reicht es offenbar aus, dass der Commit lokal als von der zu verkörpernden Person stammend abgezeichnet und anschließend auf den Server geladen wird.
Die Angreifer hatten die Commits abgezeichnet, als stammten sie von zwei bekannten Maintainern der Sprache, Rasmus Lerdorf und Nikita Popov. Beide Commits waren mit „Fix typo“ betitelt – als handele es sich dabei jeweils um die Korrektur eines Tippfehlers.
Beide Commits binnen Stunden rückgängig gemacht
Bei genauerem Hinsehen stellte sich jedoch heraus, dass die hinzugefügte Zeile 370, in der eine Funktion namens zend_eval_string aufgerufen wird, in Wirklichkeit eine Hintertür zur Remote Code Execution einführte. Laut PHP-Entwickler Jake Birchall führt diese Zeile ausgehend vom useragent Http-Header einer Website dann Code aus, wenn der String mit 'zerodium', beginnt. Gegenüber Bleeping Computer sagte Nikita Popov, dass der bösartige Code wenige Stunden nach dem Commit im Rahmen einer routinemaßigen Post-Commit-Code-Review aufgefallen und sofort rückgängig gemacht worden sei.
Laut Security-Announcement wurde der git.php-Server kompromittiert, nicht der Git-Account einer Einzelperson. In der Folge des Vorfalls habe man beschlossen, das offizielle PHP-Repository auf die Versionsverwaltungsplattform GitHub umzuziehen. Es sei erkannt worden, dass das Unterhalten einer eigenen Git-Infrastruktur ein unnötiges Sicherheitsrisiko mit sich bringe. Die bereits auf GitHub befindlichen Repositories sollen in diesem Zuge canonical werden, Änderungen am Projekt künftig direkt auf GitHub gepushed werden.
Wer sich künftig an der Weiterentwicklung der Programmiersprache beteiligen will, muss sich entsprechend zum Projekt auf GitHub hinzufügen lassen.
Bislang keine weiteren Auswirkungen des Angriffs bekannt
Gegenüber Bleeping Computer sagte Popov, das PHP-Security-Team untersuche die Repositories über die beiden Commits hinausgehend auf verdächtige Aktivitäten. Möglich, dass das Projekt in der Zwischenzeit geklont oder geforkt worden sei, die bösartigen Commits seien aber weder in Tags noch in Release-Artefakte übernommen worden. Beide Commits seien auf den Development-Branch von Version 8.1 gepusht worden. PHP 8.1 wird voraussichtlich Ende des Jahres veröffentlicht.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Es heißt „komprOmittiert“ nicht „komprimitiert“ (das andere Wort ist „komprimiert“).
Und „Artefakte“ nicht „Artifakte“.
Und „im Zuge“ und nicht „im Zug“.
Gegen Ende ist Wortstellung bei „Möglich [sei]“ falsch.
Echt, ey, T3n, den perversen cryptomining hype pushen und kein Geld für´n spell checker oder ordentliches Lektorat, oder was? Das ist der Weg nach unten, hoffentlich räumt der neue Chef mal auf.