Завершилась акция "Month of PHP Security"

Акция "Month of PHP Security", о которой Внешняя ссылка открывается в новом окнемы писали на нашем портале 14 мая подошла к своему логическому завершению. Если в середине мая было обнаружено 20 уязвимостей, то уже на сегодняшний день их количество возросло и остановилось на отметке 60. Больше половины уязвимостей затрагивают интерпретатор PHP. Как заявил Энди Гутманс (Andi Gutmans), директор компании Zend, курирующей развитие языка PHP, несмотря на столь внушительное число найденных ошибок, среди них нет критических проблем. Все найденные уязвимости для своего проявления требуют наличия возможности выполнения PHP-скрипта на локальной системе, то есть по сути разработчик должен атаковать свой сервер или злоумышленник должен уже иметь возможность запуска PHP-кода, поэтому не стоит говорить о наличии в PHP нерешенных "zero-day" уязвимостей. В ближайшее время, как отмечает Гутманс, ожидается выпуск релиза PHP 5.3.3, в котором будет исправлено большинство из найденных в рамках акции ошибок. Энтузиасты со всего мира присылали свои статьи (про которых Внешняя ссылка открывается в новом окнемы писали в прошлый раз), наиболее интересными из которых оказались следующие:
  • "Virtual Meta-Scripting Bytecode for PHP and JavaScript";
  • "How to manage a PHP application’s users and passwords";
  • "RIPS – A static source code analyser for vulnerabilities in PHP scripts";
  • "Configuration Encryption Patch for Suhosin";
  • "Our Dynamic PHP – Obvious and not so obvious PHP code injection and evaluation";
  • "Variable Initialization in PHP";
  • "Decoding a User Space Encoded PHP Script";
  • "The Minerva PHP Fuzzer";
  • "Generating Unpredictable Session IDs and Hashes";
  • "sqlite_single_query(), sqlite_array_query() Uninitialized Memory Usage";
  • "Context-aware HTML escaping";
  • "A New Open Source Tool: OWASP ESAPI for PHP";
  • "PHP Web Security".

©  Root.UA