actualité
 L'actualité informatique et multimédia
 Sécurité : le mois des bugs PHP déjà bien entamé
 Quelqu'un connaît l'origine de l'expression "Rentrer dans le lard" ?
Sécurité

Le 15 décembre, dans une actualité, nous parlions de Stephan Esser, un membre de la PHP Security Response Team. Esser avait décidé de quitter cette équipe, car ses vues sur la sécurité du langage étaient différentes et il jugeait notamment que les réactions aux bugs et failles étaient bien trop lentes.

À ce moment-là, Esser programmait déjà un « Month of PHP Bugs », c’est-à-dire un mois complet pendant lequel il publierait les détails d’une faille du PHP par jour, accompagnée de ses détails et de sa méthode d’exploitation. En fait, ce fameux mois des bugs PHP est actuellement en cours et onze failles ont été publiées à ce jour.

L’ensemble de l’action émane du Hardened-PHP Project dont la mission est d’améliorer la sécurité générale du langage. Les failles présentées se focalisent d’ailleurs sur le cœur du PHP, ses extensions et sur le Zend Engine. Il est par ailleurs précisé que seuls les véritables problèmes affectant le langage lui-même sont présents, en opposition à l’usage potentiellement dangereux qui peut être fait du langage.

Morguefile trou faille sécurité Dans une série de questions et réponses publiées sur la page d’accueil du site, les auteurs précisent bien qu’il ne s’agit pas d’une attaque, d’une revanche ou d’une conspiration contre le PHP. Ils précisent ainsi que le seul but est d’améliorer la sécurité du langage, en exposant brutalement les détails de plusieurs failles pour provoquer une réaction plus rapide des personnes concernées.

Toutes sortes de failles sont visées, du déni de service à l’exécution de code à distance. C’est toutefois la publication systématique d’un code d’exploitation qui sert ici de détail troublant. Car non seulement la faille est révélée publiquement et documentée, mais une démonstration d’utilisation complète figure à côté de chacune.

Les auteurs précisent que le code d’exploitation est très important pour deux raisons :
  • Beaucoup de personnes ne croient souvent pas qu’une faille est réellement exploitable
  • L’absence de démonstration pour certaines failles représente la raison essentielle du retard ou du manque de correction pour lesdites failles
Les intéressés pourront donc se rendre sur la page consacrée au projet et vérifier les détails des onze premières failles publiées.

Rédigée par le lundi 05 mars 2007 à 12h20 (16249 lectures)
Source de l'INformation : PHP Security
Partager cette actualité par e-mail Imprimer cette actualité Proposer une actualité PC INpact sur votre site Sauvegarder cette actualité dans votre dossier Télécharger en pdf cette actualité Signaler une erreur dans la news

Il y a 48 commentaires dont 48 nouveaux - Poster un commentaire

Sur le même sujet d'actualité :

03 mars 2007   Top 10 des virus et hoax de février 2007
02 mars 2007   OneCare bien mal placé dans un test d'antivirus
02 mars 2007   Le Crédit Agricole, cible d'une attaque par phishing
01 mars 2007   Norton 360 est disponible en version finale (MAJ)
28 février 2007   Google renforce ses alertes pour les sites suspects
26 février 2007   Une solution de tracking contre le vol de produits USB
09 février 2007   Première attaque de Vista via un produit tiers
15 décembre 2006   Sécurité du PHP : débat et scission chez les développeurs

Recherches relatives : php bugs - sécurité - stephan esser - hardened php