https://news-web.php.net/php.internals/113838
昨天 PHP 的 repo 出現了兩個能夠遠端執行任意程式碼的 commit
兩個 commit 分別用的是 Rasmus Lerdorf (PHP 創造者)
跟 Nikita Popov(主力貢獻者/fastroute 作者)的名義
相關 commit 已被 revert
PHP 開發者們判斷自己照顧 repo 相關基礎建設的安全風險太大
於是放棄 git.php.net,把原本只是鏡像站的 Github repo 改為主站
攻擊細節還沒公佈,調查還在進行中
官方也呼籲有看到其他異象的人往 [email protected] 回報
相關 commit
- https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d
- https://github.com/php/php-src/commit/2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a
可以去看看但別留言湊熱鬧...XD