PHP臭蟲月(Security)

關於 Etefan Esser 不滿 PHP Bug 修復速度太慢, 於是於 2007/3/1 開始, 連續一個月, 打算一天貼出一個以上的 Bug, 到今天已經貼出 18 個了. 詳可見: the Month of PHP Bugs

他也不是只丟出來就算了, 同時還是有修復的計劃, 詳可見: Hardened-PHP Project Homepage

Debian 上有將此包成 php extension, 安裝方法如下:

  • PHP4: apt-get install php4-suhosin
  • PHP5: apt-get install php5-suhosin

關於 suhosin 的描述是advanced protection module, 要不要裝就看自己決定囉, 裝完後, 若有 apache 的記得 restart apache.

不過這樣子把 Bug 貼出來的方法是蠻可怕的, 來看看這件事情的因果吧~ 

事情發生原因:

  • Stefan Esser是在去年底離開PHP安全回應團隊,並且指控該組織修復PHP臭蟲的動作太慢。Stefan Esser表示,這項計畫是為了改善PHP的安全,他們鎖定的並非可能導致PHP應用程式不安全的PHP語言問題,而是PHP核心的安全漏洞。

於是:

  • 今年3月該計畫將每天揭露至少一種在Zend Engine、PHP核心或PHP延伸語言中的新的或舊的安全漏洞,並會指出現在PHP安全回應團隊在現階段的漏洞管理程序中必要的改變。
  • PHP臭蟲月計畫預計每天提出至少一個PHP臭蟲。去年底離開PHP安全回應團隊的Stefan Esser表示,這是為了改善PHP的安全。

上述內容轉載自: 安全專家啟動PHP臭蟲月


關於 Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.
本篇發表於 News_Security。將永久鏈結加入書籤。

發表迴響