Auf den Git-Server des PHP-Projekts wurden gestern zwei verdächtige Commits (1, 2) hochgeladen. Das lässt vermuten, dass ein Teil der Infrastruktur rund um den Git-Dienst des Projekts angegriffen wurde.
Das Team ermittelt noch den genauen Hergang, hat allerdings als Konsequenz festgelegt, GitHub anstatt der eigenen Infrastruktur zu nutzen. Das umfasst auch den Einsatz der dort angesiedelten Organisation anstatt des eigenen Autorisierungssystems karma.
In diesem Zusammenhang ist es spannend und erschreckend, wie es live aussieht, wenn bösartiger Code eingeschleust wird. Der erste Commit schleust eine Remote Code Execution-Lücke ein, die über einen zusätzlichen Header HTTP_USER_AGENTT
(sic) angesprochen werden kann. Auch beim zweiten Commit wird besagter Header in Verbindung mit der eval
-Funktion angesprochen. Besonderes Augenmerk ist hierbei auf die Commit-Header zu legen, die die Änderungen tarnen sollen. So ist dies auch noch einmal ein Appell, Code Reviews einzusetzen – und auch bei Standard-Commit-Messages genau hinzuschauen.
Diese Lücken wurden zeitnah entfernt. Es betrifft "nur" den Entwicklungszweig, sollte allerdings keinen Weg in einen Release gefunden haben.