Завершилась акция "Month of PHP Security (http://php-security.org/cfp/index.html)", нацеленная на поиск связанных с языком PHP уязвимостей и написание статей по безопасному программированию на PHP. Акция проведена по инициативе компании SektionEins GmbH и лично Стефана Эссера (Stefan Esser) с привлечением ряда спонсоров, профинансировавших часть призового фонда, предназначенного для привлечения сторонних специалистов. Стефан известен как "бывший разработчик" PHP, настаивавший на повышении безопасности PHP-интерпретатора (hardening), несколько лет назад покинувший проект PHP и создавший проект Hardened-PHP (http://www.hardened-php.net/) (Suhosin patch).

В ходе акции было обнаружено (http://php-security.org/index.html#bugs) 60 связанных с безопасностью ошибок, больше половины из которых затрагивают непосредственно интерпретатор PHP, а остальные ошибки присутствуют в популярных PHP-приложениях. Для сравнения в прошлой акции "Месяц ошибок в PHP", проведенной Стефаном в 2007 году, в PHP...

URL: http://www.developer.com/features/article.php/3885946/PHP-Re...
Новость: http://www.opennet.me/opennews/art.shtml?num=26857

• В результате проведения Месяца безопасности PHP найдено 60 о...,segoon, 13:13 , 05-Июн-10
  • В результате проведения Месяца безопасности PHP найдено 60 о...,Антон, 14:29 , 05-Июн-10
    • В результате проведения Месяца безопасности PHP найдено 60 о...,аноним, 14:44 , 05-Июн-10
      • В результате проведения Месяца безопасности PHP найдено 60 о...,аноним, 15:04 , 05-Июн-10
        • В результате проведения Месяца безопасности PHP найдено 60 о...,Аноним, 15:07 , 05-Июн-10
          • В результате проведения Месяца безопасности PHP найдено 60 о...,Alex, 18:51 , 05-Июн-10
            • В результате проведения Месяца безопасности PHP найдено 60 о...,Аноним, 19:37 , 05-Июн-10
              • В результате проведения Месяца безопасности PHP найдено 60 о...,perlovodov, 16:07 , 06-Июн-10
                • В результате проведения Месяца безопасности PHP найдено 60 о...,i, 17:05 , 06-Июн-10
• В результате проведения Месяца безопасности PHP найдено 60 о...,Sw00p aka Jerom, 15:28 , 05-Июн-10
  • В результате проведения Месяца безопасности PHP найдено 60 о...,segoon, 17:12 , 05-Июн-10
    • В результате проведения Месяца безопасности PHP найдено 60 о...,Sw00p aka Jerom, 21:29 , 05-Июн-10
      • В результате проведения Месяца безопасности PHP найдено 60 о...,uldus, 23:28 , 05-Июн-10
• В результате проведения Месяца безопасности PHP найдено 60 о...,Mike Lee, 20:43 , 05-Июн-10
• В результате проведения Месяца безопасности PHP найдено 60 о...,Zenithar, 23:50 , 05-Июн-10
  • В результате проведения Месяца безопасности PHP найдено 60 о...,kshetragia, 08:07 , 07-Июн-10
  • В результате проведения Месяца безопасности PHP найдено 60 о...,Аноним, 23:54 , 08-Июн-10
    • В результате проведения Месяца безопасности PHP найдено 60 о...,nuclight, 02:42 , 10-Июн-10
• В результате проведения Месяца безопасности PHP найдено 60 о...,310dej, 14:23 , 07-Июн-10

Ну да, 30+ уязвимостей в _интерпретаторе_ - это, конечно, всего лишь напоминание о том, что надо писать аккуратно.

Написано же, что для того что бы эксплуатировать эти уязвимости нужно уже имети возможность выполнения php кода или в скрипте отсутствуют проверки пользовательского ввода

Это ознаает, что администратор не может надеяться на настройки интерпретатора и анализ кода (на предмет использования злых функций) в вопросах безопасности выполнения. значит кривой код(наличие возможности выполнения php-кода) == проникновение на сервер

Это означает, что окружение следует изолировать, а не надеяться непонятно на что.

да, вокруг пхп всегда нужно городить забор в 3-и метра и обматывать колючей проволокой.

Пешите на жабе. Не забудьте купить 4x памяти и 2x проца. Приблизительно.

>Пешите на жабе. Не забудьте купить 4x памяти и 2x проца. Приблизительно.

а кроме жабы и пхп альтернатив видать нет?

про старый добрый perl уже все забыли ?

python ruby не ?

а разве новость не баян ??? она месяц назад была
с 1 по 10 мая

Вообще-то это _месяц_ поиска уязвимостей.

мда результаты которого были оглашены 10 мая

>мда результаты которого были оглашены 10 мая

Перечитайте новость от 10 мая, там были первые итоги и рассказывалось о найденных 20 уязвимостях. Результаты кстати не оглашены и поныне, призеры еще не определены.

> В ближайшее время ожидается выпуск релиза PHP 5.3.3

т.е. в ветке 5.2 исправлений не будет?

Так много уязвимостей в так активно используемом продукте! Хорошо, что он - свободный... Потому что еще парочка таких месяцев - и все найдут.

И наделают еще столько же

>Так много уязвимостей в так активно используемом продукте! Хорошо, что он -
>свободный... Потому что еще парочка таких месяцев - и все найдут.
>

Как наивно. Linux тоже свободный и используется уже много лет на серверах а ошибки продолжают пачками находить.

Заучите на зубок не бывает в этом мире бездефектного ПО.

>>Так много уязвимостей в так активно используемом продукте! Хорошо, что он -
>>свободный... Потому что еще парочка таких месяцев - и все найдут.
>>
>
>Как наивно. Linux тоже свободный и используется уже много лет на серверах
>а ошибки продолжают пачками находить.
>
>Заучите на зубок не бывает в этом мире бездефектного ПО.

Зато можно сравнивать количество дырок, особенно на единицу времени/строк кода. Apache тоже популярный и активно используемый уже много лет, а дырок, почему-то, гораздо меньше.

Свободный не значит хороший. Хотя одно другому не мешает. И вообще организация ПХП приводит к большому числу ошибок, им реально некоторые принципы менять надо. Да и вообще обзавестись чем-то вроде "Дзен Питон" (это касается в первую очередь сторонних плагинов). По мне так лучше, чем python или ruby(для веб).