Gravatar de Armonth

Una vulnerabilidad cada día de Marzo en PHP

Publicado el Domingo 11 de Febrero del 2007 @ 8:56 por Armonth.

Actualización (Fecha original, 09/02/2007): Ha salido PHP 5.2.1 que corrige algunos de los bugs que comentaba Stefan y éste ofrece otra dura crítica, argumentando entre otras cosas que desde el equipo de seguridad están intentando minimizar la gravedad de los fallos, explicación pobre de los bugs corregidos, etcétera.

O también podríamos llamarlo de forma totalmente amarillenta El Apocalipsis de Internet: A Stefan Esser desarrollador del núcleo de PHP desde 2001 se le ha agotado la paciencia.

Stefan durante un tiempo fue bastante critico con el modelo de desarrollo de PHP, opinaba que al código de PHP se le han añadido novedades y aumentado su tamaño de forma demasiado rápida, provocando por el camino varios problemas de seguridad.

Lo grave viene en lo que comenta Una-Al-Día de Hispasec de ayer. Según Esser, el equipo encargado de la seguridad ante muchos problemas reportados ha mirado hacía otro lado:

Afirma que este grupo fue capaz de confesar en público que no conocía problemas de seguridad en PHP cuando él mismo había reportado más de 20 errores sólo dos semanas antes.

Por ello, durante el mes de Marzo piensa hacer públicos varios fallos:

El mes de los fallos en PHP tiene como objetivo que los usuarios y especialmente los propios desarrolladores del código PHP tomen conciencia de que existen muchos fallos en el lenguaje. […] Esser se centrará en errores específicos de PHP, no en los problemas comúnmente asociados con las aplicaciones construidas con este lenguaje […]

Esser dice conocer muchos más de 31 errores, por lo que es probable que publique más de un problema de seguridad al día.

El artículo cita datos de PHP.net (20 millones de dominios, 1.3 millones de direcciones IP o lo que es lo mismo, el 34% de páginas web según nexen.net) el uso de PHP es muy extendido cosa que nadie pone en duda…

Visto desde esta perspectiva, marzo será un mes muy movido y seguramente para muchos administradores de sistemas el apocalipsis.

Yo de momento ya hacía backups a menudo, pero creo que los haré todavía más a menudo…

, , ,

Un comentario (feed)

  1. Gravatar de Reboot Reboot nos comenta:

    Qué bien hice en no pasar a la versión 5… ._.

    Viernes, 9 de Febrero/2007 @ 11:21

No seas tímido, da tu opinión

Sé respetuoso con los demás, la diferencia de opiniones enriquece la discusión, los comentarios bajo ciertas circunstancias pueden ser moderados y requerir aprobación.