|
|
Sécurité |
Un
futur virus de type Code Red pour PHP ? |
Des failles découvertes récemment dans le langage de script pourraient donner lieu à la mise en oeuvre de chevaux de Troie. (Mercredi
6 mars 2002) |
|
A Lire aussi :
Code
Red, un virus plutôt sécurisant
"Code
Red" : alerte rouge sur la Toile ou intox mondiale ?
Questions
- réponses : virus et autres codes malicieux
"Nous venons de découvrir
une faiblesse de sécurité dans le mécanisme
de requête PHP (Personal HomePage) relatif au téléchargement
de fichiers", prévient Stefan Esser, porte-parole
de l'agence Web allemande e-matters.
Concernant
l'ensemble des versions du fameux langage de script (depuis
sa 3.0.10), elle pourrait permettre à une personne
mal intentionnée d'attaquer un ou plusieurs serveurs Web
en exécutant un code à la manière
d'un cheval de Troie ou d'un ver (voir
le questions - réponses). Selon e-matters, la fonction
de PHP en question (php_mime_split) contiendrait plusieurs
failles exploitables "relativement facilement"
pour parvenir à cette fin.
Des failles dans les versions 3
et 4 de PHP
Dans son communiqué,
Stefan Esser reconnaît que l'exploitation des failles
du système de téléchargement de PHP
se limite aux systèmes d'exploitation Linux et
Solaris. "Notez que vous n'êtes pas seulement
vulnérable si vous exécutez un script qui
inclut une commande de téléchargement. Le
lancement de n'importe quel type de scripts peut être
dangereux", indique t-il.
L'équipe du projet PHP aurait déjà
eu connaissance d'une première tentative d'exploitation
de la faille. Une annonce qui pour l'heure n'a pas encore
été confirmée. Prenant acte de ces
premiers signes d'attaques, le PHP
Group n'a pas attendu pour réagir. Quelques jours
aprés la découverte décrite par e-matters,
il proposait déjà une nouvelle version de
son langage de script serveur (estampillée 4.1.2)
-dont l'archive est disponible en téléchargement sur le
site
du projet- accompagnée d'une série de
correctifs destinés aux versions précédentes.
Son communiqué technique précise en outre
que les éditions 4.2.0-cvs dont les systèmes
d'upload avaient été entièrement
réécrits ne sont pas concernées par
ces mises à jour.
Microsoft n'est pas isolé
sur le terrain des failles
Selon la dernière
étude mensuelle de Netcraft
sur les technologies Web, près de 8,4 millions
de sites seraient hébergés sur des serveurs
mettant en oeuvre une version de PHP présentant
une ou plusieurs failles de sécurité. 1 million
d'entre-eux étant directement vulnérables
en cas d'attaque. Une situation qui n'a rien n'a envier
à celle de Microsoft
lorsque l'été dernier une faille découverte
au niveau du filtre ISAPI de son serveur Web IIS (Internet
Information Server) avait donné lieu à l'assaut
de Code Red. Petit historique du dossier : quand
le géant annonce l'existance de cette faille en
juin 2000, Netcraft
répertorie alors près de 6 millions de sites
au chapitre des victimes potentiels. Le 19 juillet, 360 000
serveurs sont déjà touchés par le
fameux ver (dixit Cooperative
Association for Internet Data Analysis). "Messieurs
dames, à vos correctifs !"
A Lire aussi :
Code
Red, un virus plutôt sécurisant
"Code
Red" : alerte rouge sur la Toile ou intox mondiale ?
Questions
- réponses : virus et autres codes malicieux
|
|
|