Mitarbeiter

Secure Linux Administration Conference

Die Suhosin-Extension zur PHP-Härtung

PHP leidet nicht nur unter den Sicherheitslücken, die durch nachlässige Programmierer in Foren, CM-Systeme und Weblogs eingebaut werden, sondern hatte in der Vergangenheit auch immer wieder mit Fehlern direkt in der Zend Engine oder einer der unzähligen zum Lieferumfang gehörenden Extensions zu kämpfen. Stefan Esser, Gründer des Hardened-PHP-Projects, Mitglied des PHP-Teams und in Sicherheitskreisen durch seine Advisories u.a. zu Samba und der Spielkonsole X-Box zu einiger Bekanntheit gelangt, kam im Jahr 2004 zu dem Schluss, dass generische Schutzmechanismen gegen Probleme im PHP-Code angebracht seien. Verwundbare PHP-Anwendungen standen zunächst nicht im Fokus des Hardened-PHP-Projektes, das aus diesen Überlegungen entstand, sondern der Schutz des Kerns von PHP, der Zend Engine. Aus diesem Grund wurde der Hardened-PHP-Patch entwickelt, welcher eine gegen Bufferoverflows gehärtete Version von PHP war. Mitte 2006 wurde der Patch dann durch "Suhosin" abgelöst. Suhosin ist das südkoreanische Wort für "Schutzengel" - die so benannte Software stellt ein 2-teiliges PHP-Sicherheitssystem dar. Es besteht zum einen aus dem Suhosin-Patch, der sich nur um den Schutz des PHP-Kerns kümmert, und zum anderen aus einer PHP-Extension, die eine Vielzahl von Features unterstützt, um ohne negative Auswirkungen auf PHP-Anwendungen Ihre PHP-Installation zu schützen. Seit Suhosin nun als Extension verfügbar ist, liefern viele Linux-Distributionen die Extension als fertiges Paket mit aus. Wie Suhosin, vor was und gegen welche Gefahren schützt, wird in diesem Vortrag erklärt.