Das Snuffleupagus-Projekt entwickelt ein PHP-Modul zur Blockierung von Sicherheitsanfälligkeiten.

Im Rahmen des Projekts Snuffleupagus seit Sommer 2016). Bis Ende 2019 ist die Veröffentlichung einer weiteren experimentellen Version der GTK 3.9x-Reihe geplant, gefolgt von einem finalen Testrelease von GTK 3.99 im Frühling 2020, das alle angestrebten Funktionen enthalten wird. Die Veröffentlichung von GTK 4 wird für Anfang Herbst 2020 erwartet, zeitgleich mit GNOME 3.38. Ein Modul zur Anbindung an den PHP7-Interpreter, das dazu dient, die Sicherheit der Umgebung zu erhöhen und typische Fehler zu blockieren, die zu Schwachstellen in ausgeführten PHP-Anwendungen führen können. Das Modul ermöglicht zudem die Erstellung virtueller Patches zur Behebung spezifischer Probleme, ohne dass die Quelltexte der anfälligen Anwendung geändert werden müssen. Dies ist besonders praktisch für Systeme im Shared Hosting, in denen es schwierig ist, alle benutzergenerierten Anwendungen auf dem neuesten Stand zu halten. Das Modul ist in C geschrieben und wird als Shared Library eingebunden („extension=snuffleupagus.so“ in php.ini) und wird unter der GPLv3-Lizenz bereitgestellt. unter der LGPL 3.0-Lizenz bereitgestellt.

Snuffleupagus bietet ein Regelsystem, das sowohl Standardvorlagen zur Erhöhung des Schutzes nutzt als auch die Erstellung eigener Regeln zur Kontrolle von Eingabewerten und Funktionsparametern ermöglicht. Zum Beispiel erlaubt die Regel „sp.disable_function.function(„system“).param(„command“).value_r(„[$|;&`\n]“).drop();“ die Begrenzung der Verwendung von Sonderzeichen in den Argumenten der Funktion system(), ohne dass die Anwendung verändert wird. Ähnlich können virtuellen Patches Regeln zur Blockierung bekannter Schwachstellen erstellt werden.

Laut den Tests, die von den Entwicklern durchgeführt wurden, reduziert Snuffleupagus die Leistung nahezu nicht. Um die eigene Sicherheit zu gewährleisten (potenzielle Schwachstellen in der Schutzschicht können zusätzliche Angriffsvektoren bieten), wird in diesem Projekt eine gründliche Prüfung jedes Commits in verschiedenen Distributionen vorgenommen, es kommen statische Analysetools zum Einsatz, und der Code wird strukturiert und dokumentiert, um eine einfache Überprüfung zu ermöglichen.

Es werden integrierte Methoden bereitgestellt, um solche Klassen von Schwachstellen zu blockieren, wie z. B. Probleme, die mit der Datenserialisierung und unsicheren Verwendung der PHP-Funktion mail(), dem Auslaufen von Cookie-Inhalten bei XSS-Angriffen, Problemen durch Dateiuploads mit ausführbarem Code (z. B. im Format phar), minderwertiger Zufallszahlengenerierung sowie Substitution inkorrekter XML-Konstrukte zu umgehen.

Zu den Modi zur Verbesserung der Sicherheit von PHP gehören:

  • Automatische Aktivierung der Flags „secure“ und „samesite“ (Schutz vor CSRF) für Cookies, Verschlüsselung von Cookies;
  • Ein integrierter Regelbestand zur Erkennung von Spuren von Angriffen und der Kompromittierung von Anwendungen;
  • Globale erzwungene Aktivierung des Modus „strict» (zum Beispiel wird der Versuch, eine Zeile als ganzzahligen Wert zu übergeben, blockiert) und Schutz vor Typmanipulationen;
  • Standardmäßige Blockierung Wrapper für Protokolle (zum Beispiel das Verbot von „phar://“) mit deren ausdrücklicher Genehmigung auf der Whitelist;
  • Verbot der Ausführung von Dateien, die beschreibbar sind;
  • Schwarze und weiße Listen für eval;
  • Erzwingung der TLS-Zertifikatprüfung beim Einsatz von
    curl;
  • Hinzufügung von HMAC zu serialisierten Objekten, um sicherzustellen, dass bei der Deserialisierung die vom ursprünglichen Programm gespeicherten Daten erhalten bleiben;
  • Anfrageprotokollierungsmodus;
  • Blockierung des Ladens externer Dateien in libxml über Verlinkungen in XML-Dokumenten;
  • Möglichkeit zur Anbindung externer Validatoren (upload_validation) zur Überprüfung und Scannen von hochgeladenen Dateien;

Das Projekt wurde entwickelt und wird zur Sicherheit der Benutzer in der Infrastruktur eines der großen französischen Hosting-Anbieter eingesetzt. Es wurde festgestellt, was bedeutet, dass die bloße Aktivierung von Snuffleupagus viele gefährliche Schwachstellen, die in diesem Jahr in Drupal, WordPress und phpBB entdeckt wurden, hätte verhindern können. Schwachstellen in Magento und Horde könnten durch die Aktivierung des Modus
„sp.readonly_exec.enable()“ blockiert werden.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster