Stefan Esser (ancien fondateur de la PHP Security Response Team et créateur du projet Hardened-PHP) a commencé son « mois des bugs PHP » jeudi 1 mars.
Cela avait été annoncé en novembre 2006 et confirmé en février. Une interview chez SecurityFocus le mois dernier a permis a Stefan d’expliquer un peu plus en détail son objectif et ses motivations.
Le principe est de dévoiler chaque jour divers bugs PHP qui n’ont pas été résolus jusque très récemment, voire qui ne le seront peut-être jamais. Chaque explication est accompagnée d’un exemple d’exploitation et de propositions afin de corriger PHP.
Ces trois permiers jours ont donné lieu à 7 annonces :
- PHP 4 Userland ZVAL Reference Counter Overflow Vulnerability
- PHP Executor Deep Recursion Stack Overflow
- PHP Variable Destructor Deep Recursion Stack Overflow
- PHP 4 unserialize() ZVAL Reference Counter Overflow
- PHP unserialize() 64 bit Array Creation Denial of Service Vulnerability
- Zend Platform Insecure File Permission Local Root Vulnerability
- Zend Platform ini_modifier Local Root Vulnerability
Comme l’a dit Ilia Alshanetsky dans son blog, le mois de mars sera très long pour les développeurs de notre langage favori… Cela donnera probablement (espérons-le) lieu à de nombreuses corrections de sécurité !
Ehhh oui, Stefan avait bien averti qu’il n’ira plus avec le dos de la cuiller…