image

Onderzoeker: 75% PHP-installaties is onveilig

zondag 4 januari 2015, 08:51 door Redactie, 18 reacties

Ongeveer 75% van de PHP-installaties is onveilig, waardoor de populaire scripttaal tot één van de onveiligste platformen behoort. Dat stelt Anthony Ferrara, "developer advocate" bij Google. Ferrara had onlangs een artikel geschreven over wat het inhoudt om een verantwoordelijke ontwikkelaar te zijn.

PHP is één van de populairste programmeertalen en de Google-medewerker wilde dan ook weten hoeveel procent van de installaties veilig is. Hiervoor gebruikte hij de statistieken van W3Techs en correleerde dat met de versies die door bekende Linux-distributies worden beheerd. Gebruikers kunnen PHP namelijk zelf installeren of de versie gebruiken die door de gebruikte Linux-distributie wordt aangeboden.

Dan blijkt uiteindelijk 78,3% van de PHP-installaties tenminste één of meerdere beveiligingslekken te bevatten, terwijl 21,7% als veilig wordt aangeduid. Ferrara stelt dat het percentage veilige installaties nog hoog is ingeschat, omdat installaties van PHP 5.4.4 op Debian, die nog wel worden ondersteund, niet kunnen worden onderscheiden van 5.4.4-installaties die niet van Debian afkomstig zijn en niet meer worden ondersteund. Het percentage van 21,7% wordt door Ferrara dan ook als "optimistisch" omschreven.

"Het is volstrekt onaanvaardbaar. Dit houdt in dat meer dan 78% van de PHP-installaties tenminste één beveiligingslek heeft. Treurig", concludeert Ferrara. Hij roept iedereen op om zijn of haar PHP-installatie te controleren. "Dwing mensen om te updaten. Accepteer niet 'if it works, don't fix it.'... je hebt de macht om het te veranderen, dus verander het. Security is een probleem voor iedereen. Wat belangrijk is, is hoe je ermee omgaat."

Het onderzoek van de Google-medewerker kreeg de nodige aandacht en hij besloot het ook voor andere platformen uit te voeren, alsmede voor PHP waarbij dit keer Fedora en PHP 5.4.34 voor Debian 7 werden meegeteld. Dan blijkt dat 82,3% van de installaties van de programmeertaal Perl veilig is. In het geval van de programmeertaal Python gaat het om 77,6%. Uiteindelijk levert de hertelling van PHP, waarbij Debian 7 extra wordt meegeteld, een iets hoger percentage van veilige PHP-installaties op, namelijk 25,6%. Dat zou nog steeds inhouden dat zeker 74,4% van de installaties onveilig is.

Image

Reacties (18)
04-01-2015, 09:27 door Anoniem
Ik vind het apart dat deze onderzoeker blijkbaar overal versies kon ophalen? En bij Ubuntu is het natuurlijk net zo dat je de versie ziet van de release van die distributie, die dus niet gelijk hoeft te zijn aan de versie van de release van die PHP versie. Dat is denk ik bij CentOS en RHEL net zo?
04-01-2015, 10:33 door Anoniem
"Maar dat ligt niet aan PHP hoor. Echt niet. Honderd procent puur de programmeurs die het hem doen. De taal zelf is absoluut niets mis mee. Die is helemaal prima."
04-01-2015, 11:44 door Anoniem
Vreemde vergelijkingen. Wordpress/Drupal draait onder PHP en de bovenstaande tabel wekt de suggestie dat Wordpress/Drupal "meer secure" is dan PHP (want zo lezen managers met 0 verstand het). Wat het over Wordpress/Drupal zegt, is dat minimaal 61%/45% van de Wordpress/Drupal versies recent zijn en onder een "secure" versie van PHP draaien...

Ik zie het al voor me, al die PHP ontwikkelaars die weer buikkrampen krijgen in gesprekken met 0 verstand managers, die opeens Wordpress willen hebben en geen PHP, want dat is niet secure...
04-01-2015, 12:33 door [Account Verwijderd] - Bijgewerkt: 04-01-2015, 12:49
[Verwijderd]
04-01-2015, 13:07 door superglitched - Bijgewerkt: 04-01-2015, 13:16
Door Krakatau:
Door Anoniem: Ik vind het apart dat deze onderzoeker blijkbaar overal versies kon ophalen? En bij Ubuntu is het natuurlijk net zo dat je de versie ziet van de release van die distributie, die dus niet gelijk hoeft te zijn aan de versie van de release van die PHP versie. Dat is denk ik bij CentOS en RHEL net zo?

http://php.net/manual/en/function.phpinfo.php

Voorbeeld v.d. uitgebreide informatie die je dan krijgt: http://www.quadrahosting.com.au/web-hosting/features/phpinfo.html
PHPinfo? Er vanuit gaande dat de onderzoeker toegang had tot alle servers zeker om phpinfo erop te zetten? Zeer onwaarschijnlijk dus.

Volgens mij komt het omdat jarenlang alle Apache server software versies bekend maakte van zowel zichzelf als PHP in de HTTP antwoord headers. Waardes zoals "X-Powered-By" zijn standaard zichtbaar, tenzij de gebruiker er iets aan doet. Waarom het nodig is om dat aan de buitenwereld te vertellen is mij nog steeds een raadsel.

Hacking voor beginners is niet meer dan versie nummers met exploits matchen en die exploits opstarten. CMSen zoals Drupal en WordPress zijn tegenwoordig wel slim genoeg om versie nummers te verbergen.
04-01-2015, 14:56 door Anoniem
wat een ongeloofelijke onzin om PHP met WP/Drupal te vergelijken, slaat echt helemaal nergens op.
En als al die 'lekken' dan zo erg zijn waarom worden er dan zo ongeloofelijk veel WP sites gehacked en relateerd dat verder helemaaaaaal niet naar PHP (immers WP draait op PHP)...

gewoon een andere aandacht zoeker die appels en peren loopt te vergelijken en onzin loopt te roepen
04-01-2015, 16:13 door Anoniem
Wat een reacties, ik mis het gedegen nagaan. Even doorzoeken in de links en je vindt dit.
http://w3techs.com/technologies/details/pl-php/5/all ziet er betrouwbaar uit. De google-man (de onderzoeker) heeft die gegevens als één van zijn uitgangspunten genomen.

PHP heeft toch al wat problemenm zie: https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet
Zijn we nu in onze wiek geschoten omdat het geloof aangevallen wordt?
04-01-2015, 16:30 door Anoniem
Wat hebben onveilige php installaties voor mogelijke security consequenties voor huis tuin keuken website bezoekers?

Zoiets?
Malicious PHP Scripts on the Rise
http://www.webroot.com/blog/2011/02/22/malicious-php-scripts-on-the-rise/

Is de artikel voorspelling uit 2011 redelijk uitgekomen of zit het nog voornamelijk in de 'potentie-pipeline' ?
04-01-2015, 17:26 door superglitched - Bijgewerkt: 04-01-2015, 17:27
Door Anoniem: wat een ongeloofelijke onzin om PHP met WP/Drupal te vergelijken, slaat echt helemaal nergens op.
En als al die 'lekken' dan zo erg zijn waarom worden er dan zo ongeloofelijk veel WP sites gehacked en relateerd dat verder helemaaaaaal niet naar PHP (immers WP draait op PHP)...

gewoon een andere aandacht zoeker die appels en peren loopt te vergelijken en onzin loopt te roepen
Mee eens. Maar wat wel gezegd mag worden: WordPress is an sich redelijk veilig, ware het niet voor de talloze onveilige plugins en extensies. Daarnaast zijn veel WordPress hacks niet zozeer te wijten aan softwarebugs in de letterlijke zin van het woord, maar het feit dat WordPress "out of the box" geen goede brute force preventie heeft.
04-01-2015, 17:55 door Anoniem
Mee eens "superglitched". Vrijwel alle software is veilig te krijgen. Maar helaas "out of the box" niet, dan werkt het.
Er was iemand die zich zorgen maakte over managers, daar heeft hij gelijk in. managers:
- zijn namelijk gek op "out of the box" dan werkt het,
- de rest van het werk is peanuts = je krijgt aapjes / papegaaitjes
- en voor later (de hacks) mag de opvolger (geen KPI) zien te op te lossen .
en nu nog serieus kwalitatief goede software aub.

(anoniem 16:13)
04-01-2015, 22:24 door Anoniem
PHP web sites zijn verreweg het meest misbruikt (lees: gehackt). Dat is al jaren zo.

Het zijn doorgaans kleine sites waar geen of onvoldoende beveiligingspatches op worden geinstalleerd. Zulke sites worden op grote schaal misbruikt door spammers voor hosten van malware of redirects naar viagra, porno, langere penissen en dergelijke aanbiedingen.

Dus PHP is onveilig? Ja, inclusief plug-ins en andere software zoals het OS en de web server zelf.

Je moet niet denken dat je met settings/configuratie/programmeren dit probleem kan verhelpen. Het is domweg een kwestie van onderhoud plegen.
04-01-2015, 22:53 door [Account Verwijderd] - Bijgewerkt: 05-01-2015, 10:53
[Verwijderd]
05-01-2015, 11:53 door RuudU
Een van de problemen is wat ik noem de ziekte "updateritis". Een CSM voor iemand in elkaar zetten is één ding, maar je moet mensen ook leren ermee om te gaan. In de particuliere sfeer is het ondoenlijk gebruikers elke paar jaar te te moeten leren omgaan met een nieuwe versie. Oké, innovatie moet er zijn, maar probeer eens éven een ouder site van Joomla 1.5 om te zetten in Joomla 3, met name ook de gebruiker leren daarmee om te gaan.
Prutsers: een update moet met een muisklik uitgevoerd kunnen worden.
En elk softwarehouse moet een een strafkamer hebben waar elke ontwikkelaar die iets leuks heeft gemaakt zonder dat (saai...) zonder enig uitstel tot in elk detail te documenteren, billenkoek krijgt met een Spaans rietje.
IK vertrouw overigens Drupal noch Joomla meer helemaal...
05-01-2015, 13:27 door Anoniem
Hacking voor beginners is niet meer dan versie nummers met exploits matchen en die exploits opstarten. CMSen zoals Drupal en WordPress zijn tegenwoordig wel slim genoeg om versie nummers te verbergen.

Nee hoor, de versie van in ieder geval WordPress is gewoon in de broncode te vinden en is standaard niet verborgen:

<meta name="generator" content="WordPress 4.1" />
05-01-2015, 13:35 door [Account Verwijderd] - Bijgewerkt: 05-01-2015, 13:36
[Verwijderd]
06-01-2015, 07:40 door Anoniem
@krakatau, Niet mee eens dat je het er niet mee eens bent.

PHP en de Linux versies zijn best een heel stuk beter tot goed te krijgen.
Linux is het fundament waar alles op draait. Dat is mu niet bepaald een brak systeem te noemen met alle Unix historie.
Er is zeer veel over "hardening van systemen", daar kan je pas aan beginnen als het "out of the box" achter de rug is.
Een veel leukere ontwikkeling is de confinement met de nieuwe init https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Managing_Confined_Services/. Leuk omdat veel ouder Linux adepten het allemaal maar niets vinden.

(anoniem 16:13)
06-01-2015, 12:45 door [Account Verwijderd]
[Verwijderd]
06-01-2015, 14:26 door Anoniem
Ok krarketau zijn we op het OS level eens. Ik denk dat we PHP met alle ingebouwde mogelijkheden ook wel als in de basis niet vanzelfsprekend veilig mogen noemen.

Wat mij dan altijd weer verbaasd dat alles met zo'n site vaak voor het gemak maar met zeer hoge rechten (high privileged) shared accounts op het OS uitgevoerd worden. Hetzelfde voor een gebruikt DBM. Een lekje opbenbaart zich en alles ligt open. Kwestie van veilig ontwerpen = op tijd en zo veel mogelijk met de meeste beperkte rechten aan de slag gaan.
.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.