Der Monat der PHP Bugs
Nachdem der Gründer des PHP-Sicherheitsteams dieses verlassen hat, will er im März den "Monat der PHP Bugs" ausrufen und täglich eine Sicherheitslücke in PHP demonstrieren.
Auf den Monat der Apple Bugs im Januar folgt nach kurzer Atempause im März der "Monat der PHP Bugs". Diesmal sind es nicht Sicherheitsforscher aus dem Umfeld des Metasploit-Projekts, die Schwachstellen offen legen wollen. Vielmehr ist es Stefan Esser, Gründer und mittlerweile Ex-Mitglied des PHP-Security-Teams, der täglich eine Sicherheitslücke in PHP aufzeigen will.
Esser ist auch Gründer des Projekts Hardened-PHP, das unter dem neuen Namen Suhosin ("Schutzengel") eine Schutzlösung für PHP anbietet, die es härten, also besser vor der Ausnutzung von Sicherheitslücken schützen soll. Suhosin besteht einerseits aus Patches für PHP-Kernkomponenten und andererseits einer Erweiterung, die weitere Schutzmaßnahmen implementiert.
Einige der Sicherheitslücken in PHP, die auf Essers Liste für März stehen, sind inzwischen mit der kürzlich veröffentlichten Version 5.2.1 ausgeräumt worden - meinen jedenfalls die PHP-Entwickler. Esser ist davon nicht so überzeugt und will dies im März auch demonstrieren. Anders als die in Suhosin implementierte Lösung sei der Schutz vor Speicherüberläufen in PHP 5.2.1 nicht geeignet, die Ausnutzung von Schwachstellen zu verhindern.
In einem Interview für Security Focus spricht Stefan Esser über Sicherheitsprobleme in PHP, seinen Ärger mit den PHP-Entwicklern sowie über die Gründe für seinen Ausstieg aus dem Sicherheitsteam - und kündigt den Monat der PHP Bugs an.
