NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
23 visiteur(s) et 0 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 108 381 833
- Nb. de membres 8 693
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» Mars 2007 sera le mois des failles PHP
Nouveau sujet
Mars 2007 sera le mois des failles PHP#21974Répondre
10Contributeur(s)
3 Modérateur(s)
Samx
Mars 2007 sera le mois des failles PHP.
Par Xavier Poli, secuobs.com
Le 11/02/2007
A l'instar du mois des failles dans les navigateurs ( http:[click] ) à l'initiative de HD Moore et de ceux, par L.M.H, sur les vulnérabilités dans le kernel ( http:[click] ) ou dans le système d'exploitation d'Apple ( Mac OS X - http:[click] ), Stephen Esser a profité d'une interview accordée à Federico Biancuzzi ( Security Focus - http:[click] ) pour annoncer que le mois des failles PHP aurait lieu en mars prochain.
Stephen Esser, pour rappel, est le fondateur de la « PHP Security Response Team » qu'il vient d'ailleurs de quitter récemment suite à de vives critiques à son encontre ; critiques issues de divergences sur la politique de diffusion des failles à adopter. A noter que ce chercheur allemand indépendant est également co-développeur de différents projets visant à améliorer la sécurisation de PHP.
Parmi ces projets on trouve le fameux Hardening-Patch ( http:[click] ) et son successeur Suhosin ( http:[click] ) ; Suhosin dont vous pouvez retrouver la liste des fonctionnalités sur http:[click]
Contrairement à son prédécesseur, Suhosin se présente en 2 parties distinctes soit pour la première une mise à jour, sous forme de rustine, pour le moteur Zend afin de lutter contre les failles de type dépassements de tampon ; la seconde est livrée comme une extension PHP et cela dans le but de faire front aux risques liés aux failles d'inclusions de fichiers ou aux vols de sessions par exemple.
Selon Stephen, l'objectif principal de ce mois des bugs PHP n'est pas tant la divulgation des failles mais plutôt de faire prendre conscience au public, et plus spécifiquement à l'ensemble de la communauté des développeurs PHP, que contrairement aux idées reçues les failles de ce langage ne sont pas uniquement dues à un mauvais usage de celui-ci au niveau de la programmation par les utilisateurs.
En effet, outre les injections SQL et les failles de Cross Site Scripting qui se sont généralisées à l'ensemble des langages de développement web, les failles liées à des problèmes comme l'inclusion distante de fichier et l'auto-déclaration de variables via l'activation du paramètre « register_global » dans le fichier « php.ini » sont quant à elles des caractéristiques du langage PHP.
Ce seront donc au total trente et une failles qui seront révélées pendant ce mois de mars ; parmi celles-ci, sont annoncés des dépassements de tampons, des failles locales mais également des techniques de contournement de la politique de sécurité via les composants censés protéger PHP eux-mêmes.
A noter et c'est important de le souligner que ces failles sont toutes issues de recherches sur les sources originales de PHP et ne contiennent donc en aucun cas des extensions issues du dépôt PECL (The PHP Extension Community Library - http:[click] ) ou d'une application tierce.
Par Xavier Poli, secuobs.com
Le 11/02/2007
A l'instar du mois des failles dans les navigateurs ( http:[click] ) à l'initiative de HD Moore et de ceux, par L.M.H, sur les vulnérabilités dans le kernel ( http:[click] ) ou dans le système d'exploitation d'Apple ( Mac OS X - http:[click] ), Stephen Esser a profité d'une interview accordée à Federico Biancuzzi ( Security Focus - http:[click] ) pour annoncer que le mois des failles PHP aurait lieu en mars prochain.
Stephen Esser, pour rappel, est le fondateur de la « PHP Security Response Team » qu'il vient d'ailleurs de quitter récemment suite à de vives critiques à son encontre ; critiques issues de divergences sur la politique de diffusion des failles à adopter. A noter que ce chercheur allemand indépendant est également co-développeur de différents projets visant à améliorer la sécurisation de PHP.
Parmi ces projets on trouve le fameux Hardening-Patch ( http:[click] ) et son successeur Suhosin ( http:[click] ) ; Suhosin dont vous pouvez retrouver la liste des fonctionnalités sur http:[click]
Contrairement à son prédécesseur, Suhosin se présente en 2 parties distinctes soit pour la première une mise à jour, sous forme de rustine, pour le moteur Zend afin de lutter contre les failles de type dépassements de tampon ; la seconde est livrée comme une extension PHP et cela dans le but de faire front aux risques liés aux failles d'inclusions de fichiers ou aux vols de sessions par exemple.
Selon Stephen, l'objectif principal de ce mois des bugs PHP n'est pas tant la divulgation des failles mais plutôt de faire prendre conscience au public, et plus spécifiquement à l'ensemble de la communauté des développeurs PHP, que contrairement aux idées reçues les failles de ce langage ne sont pas uniquement dues à un mauvais usage de celui-ci au niveau de la programmation par les utilisateurs.
En effet, outre les injections SQL et les failles de Cross Site Scripting qui se sont généralisées à l'ensemble des langages de développement web, les failles liées à des problèmes comme l'inclusion distante de fichier et l'auto-déclaration de variables via l'activation du paramètre « register_global » dans le fichier « php.ini » sont quant à elles des caractéristiques du langage PHP.
Ce seront donc au total trente et une failles qui seront révélées pendant ce mois de mars ; parmi celles-ci, sont annoncés des dépassements de tampons, des failles locales mais également des techniques de contournement de la politique de sécurité via les composants censés protéger PHP eux-mêmes.
A noter et c'est important de le souligner que ces failles sont toutes issues de recherches sur les sources originales de PHP et ne contiennent donc en aucun cas des extensions issues du dépôt PECL (The PHP Extension Community Library - http:[click] ) ou d'une application tierce.
Anonyme
je suis en plein dedans.....
qqun peut me venir en aide ?
j'utilise NPDS 5.0P1, RUNNER
www.eglisedemaison.qc.ca
qqun peut me venir en aide ?
j'utilise NPDS 5.0P1, RUNNER
www.eglisedemaison.qc.ca
mardi
Citation : Anonyme
je suis en plein dedans.....
qqun peut me venir en aide ?
j'utilise NPDS 5.0P1, RUNNER
www.eglisedemaison.qc.ca
je suis en plein dedans.....
qqun peut me venir en aide ?
j'utilise NPDS 5.0P1, RUNNER
www.eglisedemaison.qc.ca
vous pouvez me joindre par MI . . .
killing
Eglisedemaison c'est un site de vente d'églises miniatures ? 8-)
On peut rentrer à combien dedans ? :#
mardi
bon . . .y'en a qui on un sens certain de l'humour . . .
C'est que le site n'est simplement plus visible. Est-ce qu'en passant à une autre version NPDS réglerait le problème ?
Je ne comprends que très peu de chose en PHP alors j'ai besoin de vos conseils.
Merci
C'est que le site n'est simplement plus visible. Est-ce qu'en passant à une autre version NPDS réglerait le problème ?
Je ne comprends que très peu de chose en PHP alors j'ai besoin de vos conseils.
Merci
leloup31
Premiere chose, as-tu une sauvegarde de ton site lorsqu'il fonctionnais? Parceque faire un mise a jour d'un site planté ça risque de pas le faire.
mardi
merci leloup.
J'ai effectivement une sauvegarde en main du site, mais je ne crois pas en avoir une de la base SQL ça peut me enuire ?
J'ai effectivement une sauvegarde en main du site, mais je ne crois pas en avoir une de la base SQL ça peut me enuire ?
Anonyme
il y a un message:
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr42/home/soteria/public_html/mainfile.php on line 139
Warning: Cannot add header information - headers already sent by (output started at /usr42/home/soteria/public_html/mainfile.php:139) in /usr42/home/soteria/public_html/index.php on line 40
mardi
Oui je sais, il n'y a que ça maintenant. Au bébut m apage s'affichait avec ceci en entête :
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr42/home/soteria/public_html/mainfile.php on line 139
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr42/home/soteria/public_html/mainfile.php on line 673
alors maintenant plus rien.
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr42/home/soteria/public_html/mainfile.php on line 139
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr42/home/soteria/public_html/mainfile.php on line 673
alors maintenant plus rien.
Samx
Citation : mardi
merci leloup.
J'ai effectivement une sauvegarde en main du site, mais je ne crois pas en avoir une de la base SQL ça peut me enuire ?
merci leloup.
J'ai effectivement une sauvegarde en main du site, mais je ne crois pas en avoir une de la base SQL ça peut me enuire ?
... S'il est vrai que tu n'en as pas sous la main, il peut y en avoir une plus encienne en ligne sous ton répertoire racine ... À toi de voir avec ton hébergeur.
mardi
Merci Samx
J'ai tout de même fait la migration vers Narval puis vers Sable. J'ai toujours le même problème. J'ai contourné le problème d'affichage en remplaçant dans htaccess la page de démarage du site, mais j'ai toujours ce même message.
Je continue mes recherches...
J'ai tout de même fait la migration vers Narval puis vers Sable. J'ai toujours le même problème. J'ai contourné le problème d'affichage en remplaçant dans htaccess la page de démarage du site, mais j'ai toujours ce même message.
Je continue mes recherches...
killing
Ben le problème c'est que si tu utilises une sauvegarde de ton site sans la base qui va avec tu risques de le garder longtemps le message d'erreur.