Leo en Hispasec que en este mes, se han encontrado 30 fallos de PHP, de las cuales 18 vulnerabilidades que se han encontrado, están sin parche.

[Copio&Pego]

El mes de los fallos en PHP ha publicado ya 35 vulnerabilidades en 28 días. 30 de ellos han sido encontrados en PHP, tres en la plataforma Zend y una en el módulo mod_security de Apache (los que el propio autor llama «bonus»). Afortunadamente, la mayoría son problemas que no pueden ser aprovechados de forma remota.

Stefan Esser es el creador de este proyecto, fundador de Hardened-PHP e impulsor del PHP Security Response Team. Durante años ha contribuido al desarrollo de PHP y considera que el núcleo de programadores de este lenguaje no está concienciado con respecto a la seguridad. Por ello decidió crear el mes de los fallos en PHP y ubicarlo en marzo de este año.

Con 35 vulnerabilidades publicadas, se pueden extraer las primeras conclusiones. El hecho de que la mayoría de los fallos no puedan ser aprovechados de forma remota puede aliviar en gran media a los usuarios que ofrezcan páginas basadas en PHP al exterior, pero supone un gran problema para los proveedores de hosting. Muchos de los fallos descritos requieren que un hipotético atacante tenga acceso al servidor web, y pueda ejecutar ahí código PHP. Por tanto, las compañías que ofrecen espacio web compartido y permitan la ejecución de PHP arbitrario se llevan la peor parte. Sus usuarios podrían de forma sencilla acceder a una shell en el sistema (a través de programas PHP prefabricados) si son capaces de aprovechar las funciones inseguras descubiertas o aplican las pruebas de concepto publicadas.

También durante el mes se han publicado problemas aprovechables de forma remota, al menos dos de ellos pueden servir para modificar las variables de sesión. Además se ha identificado un fallo que permite habilitar la funcionalidad register_globals, considerada muy insegura.

Al menos la publicación de estos problemas no ha causado hasta ahora una epidemia entre las millones de páginas PHP expuestas al exterior en el mundo. La revelación de un grave fallo aprovechable de forma remota y que tuvieran en común las centenas de plataformas creadas en PHP, hubiese supuesto un fuerte impacto en todo Internet.

En cualquier caso, el problema real es que para 18 agujeros encontrados no existe parche aún, y algunos, según sus propios descubridores, serán realmente complicados de solucionar.

Vía | Heise-security.co.uk

por Victor

Me llamo Víctor López y nací en Zaragoza el 16 de Diciembre de 1984. Esta web la monté exactamente el 23 de Mayo del 2005 con la idea de publicar mis experiencias personales, cosas curiosas que veía a mi alrededor (tanto en Internet como en mi vida) y el poder tener mi propio espacio web en la red. Si quieres puedes ver las estadísticas del año 2010. Ingeniero Superior en informática (terminé la carrera en 2006), desde pequeño ya estaba totalmente convencido a lo que me iba a dedicar en mi vida, la informática. Quizás porque mi padre tenía un Spectrum y me pegaba horas trasteándolo o quizás porque desde pequeño siempre me han gustado “los chismes”. El caso es que empezó a gustarme este mundo de la informática. Profesionalmente soy Analista-Programador Senior en PHP y me dedico al análisis, desarrollo y programación de páginas web y al desarrollo de aplicaciones (principalmente web en PHP, empecé a programar en el año 2002 en PHP), creación, alojamiento, optimización (diseño, SEO, publicidad), puesta en marcha de webs y potenciándolas. Actualmente soy Lead Integration Engineer en EnGrande.com – BudGetPlaces.com, además de formar parte de Homein.com (anteriormente he trabajado en Atrapalo.com, Camyna.com y Sync.es). Socio fundador de Coompy.es Alquilar habitación – Compartir piso. Partidario del software libre y usuario asiduo de Ubuntu y CentOS. Fui usuario de Mac pero ahora ya he vuelto al buen camino con Linux (Ubuntu distro). Sobre mi filosofía de vida, te invito a que leas este artículo: “Tu eres el resultado de ti mismo“. Si lo lees, entenderás mi punto de vista de la vida. Intento estar lo más lejos posible de la monotonía y considero mi trabajo como un hobby, me gusta aprender cosas nuevas cada día y afrontar nuevas metas y proyectos. En mi tiempo libre me gusta practicar cualquier deporte (el fútbol especialmente), me gusta competir (sea el ámbito que sea), los coches, las buenas películas/series y viajar. Personalmente considero que lo primero en esta vida es la salud y las personas, dejando atrás otras cosas, como puede ser el dinero, la fama y todas esas chorradas, que cuanto más las tienen las personas, más las quieren y menos les importan los demás. Y creo que el respeto y educación es fundamental. Pues eso es todo, un breve resumen de mi persona. Si te quieres anunciar en mi blog, contactar conmigo ya sea para la contratación de mis servicios, ofertas, agradecimientos, quejas, insultos, amenazas y/o similares, puedes mandarme un correo cuando quieras. Mi correo personal de contacto es: http://helektron.com/contacto-personal/ Puedes seguir este blog por Google Plus, Facebook, Twitter, RSS y por mail.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *