Vor zwei Tagen meldeten PHP-Entwickler die Entdeckung von zwei böswilligen Commits im zentralen PHP-Repository, wo der Quellcode der Skriptsprache zur Erstellung dynamischer Webseiten liegt. Die Commits wurden im Namen des PHP-Erfinders Rasmus Lerdorf und des Entwicklers Nikita Popov getätigt.
Kein eigener Server mehr
Als Konsequenz aus dem Einbruch geben die Entwickler den Server git.php.net auf und nutzen künftig die bisher lediglich als Spiegel dienenden Repositories auf GitHub als Hauptinstanz. Der Schreibzugriff auf PHP-Repositories erfordert künftig eine Mitgliedschaft in der PHP-Organisation sowie die Aktivierung der Zwei-Faktor-Authentifizierung für GitHub.
Hintertür zweimal entfernt
Der erste Commit, der als »Fix Typo« überschrieben war und im Namen von Lerdorf erfolgte, etablierte eine Hintertür. Nachdem Popov den Commit rückgängig gemacht hatte, tauchte der gleiche Commit sieben Stunden später in seinem eigenen Namen erneut auf, um nach einer Stunde entdeckt und wieder entfernt zu werden.
Kryptographische Signierung gefordert
Das PHP-Team zieht nun die Konsequenz aus der Tatsache, dass das Team, dass sich um die Infrastruktur kümmert, meist nur aus zwei Leuten besteht, die der Aufgabe nicht die nötige Sorgfalt zukommen lassen können. Der Angriff hat auch erneut den Aufruf aus der Community zur Folge, die kryptographische Signierung von Code Commits, die den Quellcode von PHP betreffen, verbindlich zu machen.
Gefahr der Verbreitung gering
PHP wird von rund 80 Prozent aller Websites verwendet, deren serverseitige Programmiersprache bekannt ist, wie aus einer Statistik von W3techs hervorgeht. Während die Entwickler den kompromittierten Server nach weiteren böswilligen Commits untersuchen, ist die Gefahr, dass sich der Schadcode aus diesem Angriff weiter verbreitet, gering, da PHP hauptsächlich über die Distributionen installiert und aktualisiert wird.
Schreibe einen Kommentar