{"id":251541,"date":"2021-03-29T13:03:26","date_gmt":"2021-03-29T11:03:26","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=251541"},"modified":"2021-03-29T13:48:56","modified_gmt":"2021-03-29T11:48:56","slug":"git-server-von-php-gehackt-rce-backdoors-in-code-eingeschleust","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/29\/git-server-von-php-gehackt-rce-backdoors-in-code-eingeschleust\/","title":{"rendered":"Git-Server von PHP gehackt – RCE-Backdoors in Code eingeschleust"},"content":{"rendered":"

[English<\/a>]Es gab wohl einen erfolgreichen Lieferkettenangriff (Supply-Chain-Attack) auf den offiziellen Git-Server des PHP-Projekts. Den Angreifern gelang es, ein unautorisiertes Updates hochzuladen, um eine geheime Hintert\u00fcr in den Quellcode einzuf\u00fcgen.<\/p>\n

<\/p>\n

\"\"Ich bin gerade auf Twitter<\/a> \u00fcber diesen Sachverhalt informiert worden – den die Kollegen von The Hacker News in diesem Artikel<\/a> offen gelegt haben. Nikita Popov vom Projekt hat das Ganze in einem Post \u00f6ffentlich gemacht:<\/p>\n

\"PHP<\/a><\/p>\n

Der Angriff ist, laut nachfolgender Verlautbarung, wohl am gestrigen Sonntag, den 28. M\u00e4rz 2021, passiert, aber aufgefallen. Es wurden zwei b\u00f6sartige Commits in das php-src Repo [1] unter den Namen von Rasmus Lerdorf und Nikita Popov ver\u00f6ffentlicht.<\/p>\n

\n
Hi everyone,\r\n\r\nYesterday (2021-03-28) two malicious commits were pushed to the php-src\r\nrepo [1] from the names of Rasmus Lerdorf and myself. We don't yet know how\r\nexactly this happened, but everything points towards a compromise of the\r\ngit.php.net server (rather than a compromise of an individual git account).\r\n\r\nWhile investigation is still underway, we have decided that maintaining our\r\nown git infrastructure is an unnecessary security risk, and that we will\r\ndiscontinue the git.php.net server. Instead, the repositories on GitHub,\r\nwhich were previously only mirrors, will become canonical. This means that\r\nchanges should be pushed directly to GitHub rather than to git.php.net.\r\n\r\nWhile previously write access to repositories was handled through our\r\nhome-grown karma system, you will now need to be part of the php\r\norganization on GitHub. If you are not part of the organization yet, or\r\ndon't have access to a repository you should have access to, contact me at\r\nnikic@php.net with your php.net and GitHub account names, as well as the\r\npermissions you're currently missing. Membership in the organization\r\nrequires 2FA to be enabled.\r\n\r\nThis change also means that it is now possible to merge pull requests\r\ndirectly from the GitHub web interface.\r\n\r\nWe're reviewing the repositories for any corruption beyond the two\r\nreferenced commits. Please contact security@php.net if you notice anything.\r\n\r\nRegards,\r\nNikita\r\n\r\n[1]:\r\nhttps:\/\/github.com\/php\/php-src\/commit\/c730aa26bd52829a49f2ad284b181b7e82a68d7d<\/a>\r\nand\r\nhttps:\/\/github.com\/php\/php-src\/commit\/2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a<\/a><\/pre>\n<\/blockquote>\n
Nikita Popov schreibt, dass die Betreiber noch nicht wissen, wie das passiert genau ist. Aber es deutet alles auf eine Kompromittierung des
\ngit.php.net-Servers hin (und nicht auf eine Kompromittierung eines einzelnen Git-Kontos). Aktuell laufen wohl noch die forensischen Ermittlungen, um die Schwachstelle zu finden, und festzustellen, was alles kompromittiert wurde.<\/p>\n
Die Entwickler haben jetzt beschlossen, dass die Pflege der eigene Git-Infrastruktur ein unn\u00f6tiges Sicherheitsrisiko darstellt. Daher wird der git.php.net-Server eingestellt. Stattdessen sollen die Repositories auf GitHub, der bisher nur als Mirrors funktionierte, kanonisch werden. Das bedeutet, dass \u00c4nderungen direkt an GitHub und nicht an git.php.net weitergegeben werden sollten. Entwickler, die zu PHP beitragen, m\u00fcssen dies f\u00fcr Commits ber\u00fccksichtigen. Nutzer von PHP, die sich gestern Quellcode gezogen haben, sollten pr\u00fcfen, ob die oben aufgef\u00fchrten Dateien mit heruntergeladen wurden. The Hacker News h\u00e4lt in diesem Artikel<\/a> noch einige Details zu den kompromittierten Quellcode-Dateien bereit.<\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Es gab wohl einen erfolgreichen Lieferkettenangriff (Supply-Chain-Attack) auf den offiziellen Git-Server des PHP-Projekts. Den Angreifern gelang es, ein unautorisiertes Updates hochzuladen, um eine geheime Hintert\u00fcr in den Quellcode einzuf\u00fcgen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[2564,4328],"class_list":["post-251541","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-hack","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251541","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=251541"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251541\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=251541"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=251541"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=251541"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}