Archív pro rubriku “Bezpečnost”

Další z PHP brouků se dostal i do Secunie. Přestože je hodnocena stupněm méně kritická, tak je zajímavá tím, že jako doporučení obsahuje „Omezit přístup k PHP pouze pro důvěryhodné uživatele“. Tenhle styl doporučení je zatím známý spíše z produktů Microsoftu, kterým se začíná PHP pomalu podobat. V překladu do normální řeči – nespoléhejte se na safe_mode, open_basedir nebo disable_functions direktivy, zaprvé je některé funkce úplně ignorují a za druhé se dají obejít pomocí bezpečnostních děr, podobných této.

Comments Bez komentářů »

Stefan Esser, zakladatel projektu Hardened PHP a security response teamu v samotném PHP rozjel ohlášenou akci Month of PHP bugs, kdy bude každý den v březnu zveřejňovat jednu bezpečnostní chybu v PHP. Akce je reakcí na špatný stav bezpečnosti PHP a ignorování bezpečnostních otázek jeho vývojáři. Ještě předtím s ním vyšel zajímavý rozhovor, který určitě stojí za pozornost. Zmiňuje v něm například důvody, proč security response team opustil a seznamuje s projektem Hardened PHP (nyní Suhosin), který si klade za cíl výrazné vylepšení bezpečnosti PHP.

Comments Bez komentářů »

Secunia je opravdu úžasná služba. Mimo jiné umožňuje sledovat jak rychle záplatují výrobci různých distribucí kritické chyby. Včera večer (našeho času) vydali vývojáři OpenSSL verzi opravující několik chyb se stupněm Highly critical a dnes se se to okamžitě projevilo. V tuhle chvíli dorazily informace o updatech pro Red Hat, rPath, SUSE, Slackware, Ubuntu a FreeBSD. Gentoo svojí GLSA ještě nevydalo, verze 0.9.8d a 0.9.7l jsou ale již stable pro všechny hlavní architektury. Update je důrazně doporučen.

Comments Bez komentářů »

Jedna z dlouhé řady. Za poslední čtvrtrok předvedl vývojový tym PHP dva neuvěřitelné kotrmelce, když po vydání nové verze museli během velice krátké doby vydat další verzi, která opravovala kritické bezpečnostní chyby (ano, šlo o verze 5.1.4 a 5.1.6). Teď tu máme další chybu v ini_restore, která dovoluje resetovat nastavení safe_mode a open_basedir na hodnoty uvedené v php.ini. Tzn. pokud pro určitý adresář vypnete v httpd.conf safe_mode a místo toho mu nastavíte open_basedir, tak stačí jednoduše resetovat open_basedir a….. Happy browsing.
Tyhle dvě „bezpečnostní“ direktivy jsou ve skutečnosti tak nebezpečné, až to bolí – chyby ve funkcích, které ignorují jejich nastavení jsou na denním pořádku. Zabezpečovat PHP je pro správce sdílených serverů bezkonkurenčně největší opruz.

Originální bug a jedna česká zmínka o chybě.

Comments Bez komentářů »