Názory k článku
Git repositář PHP napaden a obsahoval zadní vrátka, PHP přechází na GitHub

Ono by bylo dobre zjistit, jak se ten server kompromitoval. Zda tam byla dira v gitu samotnem, nebo nekdo ziskal lokalni prava..

No vzhledem k tomu, že samotný Git vůbec žádnou autorizaci neřeší (to je plně na na SSH či webserveru, popřípadě různých nadstavbách), bude správně za b).

Spíš bych to viděl na lajdáctví ve správě serveru. HTTP hlavička z http://git.php.net/ vrací nginx/1.10.3 – to je 4 roky staré. Dá se předpokládat, že i ostatní komponenty (např. openssl) budou podobně svědomitě aktualizovány. Těch CVEček od té doby bylo požehnaně, i v nginxu samotném.

29. 3. 2021, 21:49 editováno autorem komentáře

Z nginx/1.10.3 se nedá usoudit vůbec nic. Nejpravděpodobnější je, že je to pečlivě udržovaný Debian stretch, kde všechny důležité bezpečnostní opravy jsou aplikovány.

falešně podepsané commity?

Z čeho soudíte, že jsou podepsané?

zo spravicky

No jo, papír snese všechno, web ještě víc... Kdyby ty commity byly opravdu podepsané (správným klíčem), github by tam ukazoval zeleně "Verified" jako třeba tady. Tady tím asi autor zprávičky myslel, že dotyční byli uvedeni jako autoři (a možná i že tam bylo odpovídající Signed-off-by).

Zrejme se nejedna o kryptograficky podpis, ale obycejne "Signed-off: " v paticce.

* https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d
* https://github.com/php/php-src/commit/2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a

Mně by zajímalo, jestli na ten incident přišli během rutinní kontroly (tj. zabral proces hlídání jakosti), nebo jestli se na to přišlo náhodou, že si prostě někdo všiml během jiné činnosti. Ví se o tom něco?

Nikita na to přišel, když dělal běžnou kontrolu toho, co jde do vývojové větve. Tj. je to nějaký pravidelný (ač neformální) proces kontroly.

vydali aktualizaci s informacemi, jak mohlo dojít k incidentu, využili zapomenuté HTTP api a přihlášení heslem (či md5 digest) u gitolitu a hesla získali nejspíš přes server, který spravoval uživatele a pár let ho neaktualizovali.

Based on access logs, we can determine that the commits were indeed pushed
using HTTPS and password-based authentication.

The master.php.net system, which is used for authentication and various
management tasks, was running very old code on a very old operating system
/ PHP version, so some kind of vulnerability would not be terribly
surprising