Mars 2007 sera le mois des failles PHP.

Par Xavier Poli, secuobs.com
Le 11/02/2007

---

Résumé : Dans l'ère de temps, c'est au tour du langage PHP de connaître le feu des projecteur médiatique et cela sous la houlette de Stephen Esser avec un mois de mars qui sera consacré à la divulgation d'une trentaine de ses failles.



A l'instar du mois des failles dans les navigateurs ( lien http externe url:[click] ) à l'initiative de HD Moore et de ceux, par L.M.H, sur les vulnérabilités dans le kernel ( lien http externe url:[click] ) ou dans le système d'exploitation d'Apple ( Mac OS X - lien http externe url:[click] ), Stephen Esser a profité d'une interview accordée à Federico Biancuzzi ( Security Focus - lien http externe url:[click] ) pour annoncer que le mois des failles PHP aurait lieu en mars prochain.

Stephen Esser, pour rappel, est le fondateur de la « PHP Security Response Team » qu'il vient d'ailleurs de quitter récemment suite à de vives critiques à son encontre ; critiques issues de divergences sur la politique de diffusion des failles à adopter. A noter que ce chercheur allemand indépendant est également co-développeur de différents projets visant à améliorer la sécurisation de PHP.

Parmi ces projets on trouve le fameux Hardening-Patch ( lien http externe url:[click] ) et son successeur Suhosin ( lien http externe url:[click] ) ; Suhosin dont vous pouvez retrouver la liste des fonctionnalités sur lien http externe url:[click]

Contrairement à son prédécesseur, Suhosin se présente en 2 parties distinctes soit pour la première une mise à jour, sous forme de rustine, pour le moteur Zend afin de lutter contre les failles de type dépassements de tampon ; la seconde est livrée comme une extension PHP et cela dans le but de faire front aux risques liés aux failles d'inclusions de fichiers ou aux vols de sessions par exemple.

Selon Stephen, l'objectif principal de ce mois des bugs PHP n'est pas tant la divulgation des failles mais plutôt de faire prendre conscience au public, et plus spécifiquement à l'ensemble de la communauté des développeurs PHP, que contrairement aux idées reçues les failles de ce langage ne sont pas uniquement dues à un mauvais usage de celui-ci au niveau de la programmation par les utilisateurs.

En effet, outre les injections SQL et les failles de Cross Site Scripting qui se sont généralisées à l'ensemble des langages de développement web, les failles liées à des problèmes comme l'inclusion distante de fichier et l'auto-déclaration de variables via l'activation du paramètre « register_global » dans le fichier « php.ini » sont quant à elles des caractéristiques du langage PHP.

Ce seront donc au total trente et une failles qui seront révélées pendant ce mois de mars ; parmi celles-ci, sont annoncés des dépassements de tampons, des failles locales mais également des techniques de contournement de la politique de sécurité via les composants censés protéger PHP eux-mêmes.

A noter et c'est important de le souligner que ces failles sont toutes issues de recherches sur les sources originales de PHP et ne contiennent donc en aucun cas des extensions issues du dépôt PECL (The PHP Extension Community Library - lien http externe url:[click] ) ou d'une application tierce.

Mini-Tagwall des articles publiés sur SecuObs :
sécurité, windows, exploit, réseau, vulnérabilité, système, attaque, microsoft, virus, audit, internet, données, fonction, présentation, outil, linux, bluetooth, vista, gestion, shell, trames, wishmaster, sysun, metasploit, engineering, paquets, téléphone, fonctions + de mots clés avec l'annuaire des articles publiés sur SecuObs

Archives Failles Secunia :
- SA32943 jailer updatejail Insecure Temporary Files - SA32794 Cain & Abel RDP Processing Buffer Overflow Vulnerability - SA32951 Slackware update for samba - SA32949 Debian update for imlib2 - SA32849 cpCommerce _functions.php Variable Overwrite Vulnerability + d'archives failles avec Secunia et SecuMail

Archives Mailing Full Disclosure :
- Re: Full-disclosure Project Chroma: A color code for the state ofcyber security - Re: Full-disclosure Security industry software license - Re: Full-disclosure Security industry software license - Re: Full-disclosure Project Chroma: A color code for the state ofcyber security - Full-disclosure PLSA 2008-77 ffmpeg: Multiple DoS Vulnerabilities + d'archives Full Disclosure avec SecuMail

Archives Mailing Bugtraq :
- SECURITY DSA 1676-1 New flamethrower packages fix denial of service - USN-682-1 libvorbis vulnerabilities - USN-681-1 ImageMagick vulnerability - BMSA 2008-09 Two buffer overflow vulnerabilities in Rumpus v6.0 - Re: Re: Wrong report: BID 32287, Pi3Web ISAPI DoS vulnerability + d'archives Bugtraq avec SecuMail

Mini-Tagwall de l'annuaire video :
virus, spyware, vmware, firmware, biometric, lockpicking, wimax, password, spammer, kernel, malware, windows, iphone, symantec, phish, knoppix, adware, security, botnet, linux, tutorial, cryptography, internet, attack, server, wireshark, virtual, metasploit, intel, protect, openbsd, hitbsecconf2006, jailbreak, rootkit, ubuntu, norton, exploit, hijackthis, ettercap, samsung, screen, fingerprint, vista, flash, desktop + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :
security, microsoft, windows, vulnérabilité, network, google, vulnerability, hacker, attack, inject, remote, mobile, server, exploit, apple, internet, iphone, black, yahoo, sécurité, malware, vista, intel, patch, crypt, drive, access, protect, virtual, laptop, linux, source, biometric, research, ebook, business, virus, office, phish, adobe, chine, facebook, opera, flash, wireless + de mots clés avec l'annuaire de la revue de presse