Este blog se actualizará semanalmente de la siguiente manera:
- Martes de cada semana se actualizará la zona dedicada a las Nuevas Tecnologías.
- Sábados de cada semana se actualizará la zona dedicada a la Seguridad.
Espero que sean pacientes y les guste mi blog. Un saludo.

lunes, 12 de marzo de 2007

[Seguridad]: Numerosas vulnerabilidades encontradas en PHP ¿Por qué?

Buenas a todos de nuevo, esto le interesará a muchos de los programadores en PHP, como supongo que ya sabreis durante este último mes han aparecido numerosas vulnerabilidades para el lenguaje de programación PHP. Entre las cuales voy a destacar la última conocida con fecha 03/03/2007 aparece una vulnerabilidad relacionada con el desbordamiento de contador de referencias. Si quieres ver toda la lista solo debes visitar esta página web http://www.php-security.org/.

Todas estas vulnerabilidades son producto de Stefan Esser, fundador del proyecto Hardened-PHP e impulsor del PHP Security Response Team, que ha abandonado recientemente. Durante años ha contribuido al desarrollo de PHP y considera que el núcleo de programadores de este lenguaje no está concienciado con respecto a la seguridad. Por ello ha decidido crear el mes de los fallos en PHP. Algunos fallos han estado ahí durante años y si no es de esta forma, nunca saldrán a la luz ni se preocuparán por solucionarlos. Esser dice conocer muchos más de 31 errores, por lo que es probable que publique más de un problema de seguridad al día. De momento nos ha dado un buen comienzo en lo que va de mes y PHP de momento ha corregido alguno de estes problemas, es una pena que las cosas se deban hacer de esta forma para obtener resultados, desde mi modesto punto de vista.

El artículo cita datos de PHP.net (20 millones de dominios, 1.3 millones de direcciones IP o lo que es lo mismo, el 34% de páginas web según nexen.net) el uso de PHP es muy extendido cosa que nadie pone en duda…

Desde la prespectiva de muchos administradores de sistemas el mes de Marzo será un mes bastante movido casi acercandose al apocalipsis. Desde aquí les deseo suerte y paciencia a todos ellos.

Sin más me despido de nuevo de todos vosotros, saber que para más información podeis visitar las siguientes webs:
- Web de Stefan Esser (http://www.hardened-php.net/stefan_esser.24.html)
- Actualizaciones de algunos de los problemas de PHP (http://www.php.net/releases/5_2_1.php)
- Crítica sobre el tema que Stefan Esser hace a PHP (http://blog.php-security.org/archives/71-Month-of-PHP-Bugs-and-PHP-5.2.1.html)
- Noticia relacionada de Una al dia (http://www.hispasec.com/unaaldia/3028)
- Entrevista del grupo Securityfocus a Stefan Esser (http://www.securityfocus.com/columnists/432)

No hay comentarios: