Någon eller några antagonister har lyckats att pusha ett förslag på ändring i källkoden till det populära PHP-projektet som används av ungefär 79% av alla världens webbplatser. Detta förslag på förändring innebär att om en user-agent http-header börjar med zerodium så körs eval på koden, dvs du kan köra vilken php-kod du vill.

Ändringarna genomfördes i namnen Rasmus Lerdorf och Nikita Popov som är två välkända PHP-utvecklare, dessa reagerade direkt och skickade ut ett mail till php-internals maillinglistan med bl.a. följande:

We’re reviewing the repositories for any corruption beyond the two referenced commits.

Transparensen som Github erbjuder är bra och gör att många fler på ett enklare sätt kan se ändringar i koden och därmed upptäcka eventuella bakdörrar. PHP-projektet meddelar även att de inte har tid eller möjlighet att underhålla git.php.net i framtiden och kommer nu enbart att köra med Github i framtiden. Om ändringarna i källkoden tagit sig ut i några skarpa system är oklart i dagsläget.

Ändringarna på github enligt följande:

Länk till ändringar med bakdörr:

• https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d
• https://github.com/php/php-src/commit/2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a

Gällande referensen till Zerodium så har nu deras VD uttalat sig på Twitter:

Cheers to the troll who put "Zerodium" in today's PHP git compromised commits. Obviously, we have nothing to do with this.

Likely, the researcher(s) who found this bug/exploit tried to sell it to many entities but none wanted to buy this crap, so they burned it for fun 😃

— Chaouki Bekrar (@cBekrar) March 29, 2021