Snuffleupagus 0.5.1 kaleratzea, PHP aplikazioetako ahultasunak blokeatzeko modulua

Urtebeteko garapenaren ostean argitaratuko proiektuaren kaleratzea Snuffleupagus 0.5.1, предоставляющего модуль к интерпретатору PHP7 для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать adabaki birtualak для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Накладные расходы от работы модуля оцениваются как минимальные. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и arabera banatuta LGPL 3.0 lizentziapean.

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, erlazionatuta datuen serializazioarekin, segurua PHP mail() funtzioaren erabilera, XSS erasoetan cookieen edukia isurtzea, kode exekutagarriarekin fitxategiak kargatzearen ondoriozko arazoak (adibidez, formatuan phar), kalitate txarreko ausazko zenbakiak sortzea eta ordezkapena XML eraikuntza okerrak.

Предоставляемые в Snuffleupagus режимы повышения защиты PHP:

• Gaitu automatikoki "segurua" eta "gune bereko" (CSRF babesa) banderak cookieetarako, enkriptatzea Cookie;
• Erasoen eta aplikazioen arriskuen aztarnak identifikatzeko arau multzo integratua;
• Aktibazio global behartua "zorrotz" (adibidez, kate bat zehazteko saiakera bat blokeatzen du balio oso bat argumentu gisa espero denean) eta babesa mota manipulazioa;
• Blokeo lehenetsia protokolo-bilgarriak (adibidez, "phar://" debekatuz euren zerrenda zuri esplizituarekin);
• Idatzi daitezkeen fitxategiak exekutatzeko debekua;
• Zerrenda zuri-beltzak ebaluaziorako;
• Erabiltzerakoan TLS ziurtagiriaren egiaztapena gaitzeko beharrezkoa da
  Kiribil;
• Serializatutako objektuei HMAC gehitzea deserializazioak jatorrizko aplikazioak gordetako datuak berreskuratzen dituela ziurtatzeko;
• Eskatu erregistratzeko modua;
• Kanpoko fitxategiak libxml-n kargatzea blokeatzea XML dokumentuetako esteken bidez;
• Kanpoko kudeatzaileak konektatzeko gaitasuna (upload_validation) igotako fitxategiak egiaztatzeko eta eskaneatzeko;

Artean aldaketak в новом выпуске: Улучшена поддержка PHP 7.4 и реализована совместимость с находящейся в разработке веткой PHP 8. Добавлена возможность журналирования событий через syslog (для включения предложена директива sp.log_media, которая может принимать значения php или syslog). Обновлён предлагаемый по умолчанию набор правил, в который добавлены новые правила для выявленных в последнее время уязвимостей и техник атак на web-приложения. Улучшена поддержка macOS и расширено применение платформы непрерывной интеграции на базе GitLab.

Iturria: opennet.ru