Anzeige
Anzeige
News
Artikel merken

Nach Angriff auf eigenen Git-Server: PHP-Projekt zieht zu GitHub um

Hacker haben am Sonntag zwei bösartige Commits in die Codebase des offiziellen Git-Servers des PHP-Projekts eingebracht. Aus Sicherheitsgründen wurde das Projekt jetzt zu GitHub migriert.

2 Min. Lesezeit
Anzeige
Anzeige

Das PHP-Projekt zieht zu GitHub um. (Foto: 360b / Shutterstock.com)

PHP ist nach wie vor eine der wichtigsten Programmiersprachen des Webs. So steckt das Programmiersprachen-Urgestein auch heute noch im Backend von über 79 Prozent aller Websites. Bis dato wurde die Fortentwicklung der Programmiersprache auf einem eigenen Git-Server verwaltet. Das soll sich jetzt ändern: Bislang unbekannte Angreifer haben über zwei Commits Schadcode in die Codebase des Projekts eingebracht. Beide Commits gaben sich als von bekannten Maintainern der Programmiersprache stammend aus. In der Konsequenz soll das PHP-Projekt jetzt aus Sicherheitsgründen zu GitHub migriert werden.

Bekannter Flaw in Versionsverwaltungssystemen

Dass es überhaupt möglich ist, sich als jemand anderes auszugeben und in dessen Namen Code zu committen, ist ein bekannter Flaw in Versionsverwaltungssystemen wie Git. Dazu reicht es offenbar aus, dass der Commit lokal als von der zu verkörpernden Person stammend abgezeichnet und anschließend auf den Server geladen wird.

Anzeige
Anzeige

Die Angreifer hatten die Commits abgezeichnet, als stammten sie von zwei bekannten Maintainern der Sprache, Rasmus Lerdorf und Nikita Popov. Beide Commits waren mit „Fix typo“ betitelt – als handele es sich dabei jeweils um die Korrektur eines Tippfehlers.

Beide Commits binnen Stunden rückgängig gemacht

Bei genauerem Hinsehen stellte sich jedoch heraus, dass die hinzugefügte Zeile 370, in der eine Funktion namens zend_eval_string aufgerufen wird, in Wirklichkeit eine Hintertür zur Remote Code Execution einführte. Laut PHP-Entwickler Jake Birchall führt diese Zeile ausgehend vom useragent Http-Header einer Website dann Code aus, wenn der String mit 'zerodium', beginnt. Gegenüber Bleeping Computer sagte Nikita Popov, dass der bösartige Code wenige Stunden nach dem Commit im Rahmen einer routinemaßigen Post-Commit-Code-Review aufgefallen und sofort rückgängig gemacht worden sei.

Anzeige
Anzeige

Laut Security-Announcement wurde der git.php-Server kompromittiert, nicht der Git-Account einer Einzelperson. In der Folge des Vorfalls habe man beschlossen, das offizielle PHP-Repository auf die Versionsverwaltungsplattform GitHub umzuziehen. Es sei erkannt worden, dass das Unterhalten einer eigenen Git-Infrastruktur ein unnötiges Sicherheitsrisiko mit sich bringe. Die bereits auf GitHub befindlichen Repositories sollen in diesem Zuge canonical werden, Änderungen am Projekt künftig direkt auf GitHub gepushed werden.

Anzeige
Anzeige

Wer sich künftig an der Weiterentwicklung der Programmiersprache beteiligen will, muss sich entsprechend zum Projekt auf GitHub hinzufügen lassen.

Bislang keine weiteren Auswirkungen des Angriffs bekannt

Gegenüber Bleeping Computer sagte Popov, das PHP-Security-Team untersuche die Repositories über die beiden Commits hinausgehend auf verdächtige Aktivitäten. Möglich, dass das Projekt in der Zwischenzeit geklont oder geforkt worden sei, die bösartigen Commits seien aber weder in Tags noch in Release-Artefakte übernommen worden. Beide Commits seien auf den Development-Branch von Version 8.1 gepusht worden. PHP 8.1 wird voraussichtlich Ende des Jahres veröffentlicht.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Ein Kommentar
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Erik Petersen

Es heißt „komprOmittiert“ nicht „komprimitiert“ (das andere Wort ist „komprimiert“).
Und „Artefakte“ nicht „Artifakte“.
Und „im Zuge“ und nicht „im Zug“.
Gegen Ende ist Wortstellung bei „Möglich [sei]“ falsch.
Echt, ey, T3n, den perversen cryptomining hype pushen und kein Geld für´n spell checker oder ordentliches Lektorat, oder was? Das ist der Weg nach unten, hoffentlich räumt der neue Chef mal auf.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige