The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В результате проведения Месяца безопасности PHP найдено 60 ошибок

05.06.2010 11:53

Завершилась акция "Month of PHP Security", нацеленная на поиск связанных с языком PHP уязвимостей и написание статей по безопасному программированию на PHP. Акция проведена по инициативе компании SektionEins GmbH и лично Стефана Эссера (Stefan Esser) с привлечением ряда спонсоров, профинансировавших часть призового фонда, предназначенного для привлечения сторонних специалистов. Стефан известен как "бывший разработчик" PHP, настаивавший на повышении безопасности PHP-интерпретатора (hardening), несколько лет назад покинувший проект PHP и создавший проект Hardened-PHP (Suhosin patch).

В ходе акции было обнаружено 60 связанных с безопасностью ошибок, больше половины из которых затрагивают непосредственно интерпретатор PHP, а остальные ошибки присутствуют в популярных PHP-приложениях. Для сравнения в прошлой акции "Месяц ошибок в PHP", проведенной Стефаном в 2007 году, в PHP было найдено более 40 проблем безопасности.

По заявлению Энди Гутманса (Andi Gutmans), директора компании Zend, курирующей развитие языка PHP, несмотря на столь внушительное число найденных ошибок, среди них нет критических проблем, все найденные уязвимости для своего проявления требуют наличия возможности выполнения PHP-скрипта на локальной системе, то есть по сути разработчик должен атаковать свой сервер или злоумышленник должен уже иметь возможность запуска PHP-кода, поэтому не стоит говорить о наличии в PHP нерешенных "zero-day" уязвимостей. В ближайшее время ожидается выпуск релиза PHP 5.3.3, в котором будет исправлено большинство из найденных в рамках акции ошибок.

Энди Гутманс, выразил признательность инициаторам акции Month of PHP Security, но подчеркнул, что не стоит говорить о низкой безопасности языка PHP как такового, найденные проблемы лишь подчеркивают необходимость повышения разработчиками самоконтроля и использования надлежащей практики кодирования - безопасность любого языка программирования в первую очередь связана с квалификацией использующих данный язык конечных разработчиков (язык безопасен настолько, насколько безопасен написанный на нем код). По мнению Гутманса язык не может защитить систему от ошибок программистов, наоборот, система должна обеспечивать должный уровень изоляции для минимизации вреда от некорректно написанных приложений.

Кроме того, энтузиастами со всего мира в рамках Месяца безопасности PHP написано 13 интересных статей, разбирающих суть известных типов уязвимостей, рассказывающих о связанных с безопасностью функциях и демонстрирующих технику безопасного программирования на языке PHP:



  1. Главная ссылка к новости (http://www.developer.com/featu...)
  2. OpenNews: В результате проведения Месяца безопасности PHP уже опубликовано 20 уязвимостей
  3. OpenNews: В мае будет проведен месяц безопасности PHP
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/26857-php
Ключевые слова: php, security, web
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, segoon (ok), 13:13, 05/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Ну да, 30+ уязвимостей в _интерпретаторе_ - это, конечно, всего лишь напоминание о том, что надо писать аккуратно.
     
     
  • 2.3, Антон (??), 14:29, 05/06/2010 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Написано же, что для того что бы эксплуатировать эти уязвимости нужно уже имети возможность выполнения php кода или в скрипте отсутствуют проверки пользовательского ввода
     
     
  • 3.4, аноним (?), 14:44, 05/06/2010 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Это ознаает, что администратор не может надеяться на настройки интерпретатора и анализ кода (на предмет использования злых функций) в вопросах безопасности выполнения. значит кривой код(наличие возможности выполнения php-кода) == проникновение на сервер
     
     
  • 4.5, аноним (?), 15:04, 05/06/2010 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Это означает, что окружение следует изолировать, а не надеяться непонятно на что.
     
     
  • 5.6, Аноним (-), 15:07, 05/06/2010 [^] [^^] [^^^] [ответить]  
    		• +5 +/
    да, вокруг пхп всегда нужно городить забор в 3-и метра и обматывать колючей проволокой.
     
     
  • 6.12, Alex (??), 18:51, 05/06/2010 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Пешите на жабе. Не забудьте купить 4x памяти и 2x проца. Приблизительно.
     
     
  • 7.13, Аноним (-), 19:37, 05/06/2010 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >Пешите на жабе. Не забудьте купить 4x памяти и 2x проца. Приблизительно.

    а кроме жабы и пхп альтернатив видать нет?

     
     
  • 8.23, perlovodov (?), 16:07, 06/06/2010 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    про старый добрый perl уже все забыли ... текст свёрнут, показать
     
     
  • 9.24, i (??), 17:05, 06/06/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    python ruby не ... текст свёрнут, показать
     

  • 1.8, Sw00p aka Jerom (?), 15:28, 05/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    а разве новость не баян ??? она месяц назад была
    с 1 по 10 мая
     
     
  • 2.10, segoon (ok), 17:12, 05/06/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    Вообще-то это _месяц_ поиска уязвимостей.
     
     
  • 3.18, Sw00p aka Jerom (?), 21:29, 05/06/2010 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    мда результаты которого были оглашены 10 мая
     
     
  • 4.19, uldus (ok), 23:28, 05/06/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    >мда результаты которого были оглашены 10 мая

    Перечитайте новость от 10 мая, там были первые итоги и рассказывалось о найденных 20 уязвимостях. Результаты кстати не оглашены и поныне, призеры еще не определены.

     

  • 1.17, Mike Lee (?), 20:43, 05/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > В ближайшее время ожидается выпуск релиза PHP 5.3.3

    т.е. в ветке 5.2 исправлений не будет?

     
  • 1.20, Zenithar (?), 23:50, 05/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Так много уязвимостей в так активно используемом продукте! Хорошо, что он - свободный... Потому что еще парочка таких месяцев - и все найдут.
     
     
  • 2.27, kshetragia (ok), 08:07, 07/06/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    И наделают еще столько же
     
  • 2.31, Аноним (-), 23:54, 08/06/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    >Так много уязвимостей в так активно используемом продукте! Хорошо, что он -
    >свободный... Потому что еще парочка таких месяцев - и все найдут.
    >

    Как наивно. Linux тоже свободный и используется уже много лет на серверах а ошибки продолжают пачками находить.

    Заучите на зубок не бывает в этом мире бездефектного ПО.

     
     
  • 3.32, nuclight (ok), 02:42, 10/06/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    >>Так много уязвимостей в так активно используемом продукте! Хорошо, что он -
    >>свободный... Потому что еще парочка таких месяцев - и все найдут.
    >>
    >
    >Как наивно. Linux тоже свободный и используется уже много лет на серверах
    >а ошибки продолжают пачками находить.
    >
    >Заучите на зубок не бывает в этом мире бездефектного ПО.

    Зато можно сравнивать количество дырок, особенно на единицу времени/строк кода. Apache тоже популярный и активно используемый уже много лет, а дырок, почему-то, гораздо меньше.

     

  • 1.28, 310dej (?), 14:23, 07/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Свободный не значит хороший. Хотя одно другому не мешает. И вообще организация ПХП приводит к большому числу ошибок, им реально некоторые принципы менять надо. Да и вообще обзавестись чем-то вроде "Дзен Питон" (это касается в первую очередь сторонних плагинов). По мне так лучше, чем python или ruby(для веб).
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру