VivaPHP!

El mes de los errores de PHP

El primer día de este mes comenzó el Mes de los Errores de PHP, una iniciativa que durante todo este Marzo del 2007 revelará nuevas y viejas vulnerabilidades de seguridad en el Zend Engine, el núcleo de PHP y sus extensiones a un ritmo diario. El objetivo es, por supuesto, mejorar la seguridad de PHP, aunque el evento no se concentrará en los problemas en el propio lenguaje a los que generalmente se acusa de ser el motivo de aplicaciones PHP inseguras...

Revelada la seguridad de LAMP

Coverity, una empresa productora de herramientas de análisis de código, en un estudio patrocinado por la universidad de Stanford, reveló que el llamado "LAMP" (Linux + Apache + MySQL + PHP, Perl o Python) tiene menos errores por 1000 líneas de código fuente que otros 32 proyectos Open Source analizados.

Nuestro amado LAMP mostró "una significativa mejor calidad de software", con un promedio de 0.29 errores por 1000 líneas de código. Sin embargo, PHP es el único componente de ese conjunto que tiene una densidad de bugs superior al resto (!).

Virus Lupper explota vulnerabilidad XML-RPC

La empresa de seguridad informática McAfee informó la aparición del virus "Lupper", que se distribuye ejecutándose y duplicándose en servidores Web con scripts PHP/CGI vulnerables. El virus explota la reciente vulnerabilidad de XML-RPC descubierta en muchos sistemas de gestión de contenidos (Drupal, Wordpress y PostNuke, entre otros), así como un par de vulnerabilidades existentes en AWStats Rawlog Plugin y Webhints.

Aparece el gusano Anti-Santy

Increíble como pueda sonar, hoy se confirmó la existencia de otro gusano que usa a Google para buscar sitios con una instalación de phpBB vulnerable, pero esta vez no para explotarlo maliciosamente como el gusano Santy, sino todo lo contrario: para instalarles un parche que solucione ese potencial problema (!). Todavía nadie está seguro sobre la eficacia del gusano Anti-Santy, pero hay dos cosas claras:

• los sitios afectados ahora muestran el mensaje "viewtopic.php secured by Anti-Santy-Worm V4. Your site is a bit safer, but upgrade to >= 2.0.11."; y
• algunos indicios apuntan a que el origen del gusano es... ¡Argentina!

40.000 foros phpBB afectados por el virus Santy

Según datos revelados durante el día de ayer ya son unos 40.000 sitios los afectados por este virus desde que se inició su distribución a principios de esta semana. El PHP/Santy.A.worm, escrito en lenguaje Perl, usa Google para buscar servidores web con phpBB cuya versión sea anterior a la 2.0.11 y que no contenga el parche de vulnerabilidad para el archivo viewtopic.php descubierto el 15 de noviembre pasado.

Actualizar a PHP 4.3.10 y también Zend Optimizer

Con respecto a la versión 4.3.10 de corrección de vulnerabilidades liberada recientemente, algunos usuarios están reportando que ésta versión de PHP tiene serios problemas de funcionamiento con Zend Optimizer v2.5.3 (y quizás también versiones anteriores). Quienes también se hayan topado con este problema tienen 2 alternativas: desactivar Zend Optimizer o actualizarlo a una versión más reciente (actualmente en su v2.5.7).

Vulnerabilidad XSS en WordPress

Se encontraron vulnerabilidades de seguridad en la popular aplicación de blogging escrita en PHP WordPress (GPL), usada últimamente para migrar blogs del aún más popular MovableType por sus actuales condiciones de licenciamiento. Algunos scripts de WordPress no realizan su validación correctamente, lo que los deja vulnerables a ataques de XSS (cross-site scripting) que potencialmente podrían permitir a terceros introducir contenidos ilegítimos en sitios que lo usen.

Cómo depurar un programa en PHP

En PHP-Hispano publican un sencillo pero completo artículo de introducción a la depuración de aplicaciones en PHP. No habla sobre herramientas comerciales para estos menesteres (como Zend Debugger), sino que se centra en pequeños trucos que nos harán más fácil la caza de "bugs". Lectura muy recomendada para cualquier programador PHP que se tome su trabajo en serio.