PHP.net: PHP 5.6.8, 5.5.24 & 5.4.40 Released (Security Fixes)

The PHP development group has released several different versions of PHP for the 5.5.x, 5.6.x and 5.4.x series with a long list of security issues fixed in each one (fourteen in total):

The PHP development team announces the immediate availability of PHP [5.4.40, 5.6.8, 5.5.24]. 14 security-related bugs were fixed in this release, including CVE-2014-9709, CVE-2015-2301, CVE-2015-2783, CVE-2015-1352. All PHP 5.4 users are encouraged to upgrade to this version.

Other items were fixed besides the security issues, so check out the Changelog to see those few other fixes. It’s highly recommended that you update your installations to these latest versions. You can grab the latest either from the downloads page (source) or Windows users can go to winodws.php.net.

Link: http://php.net/archive/2015.php#id2015-04-16-3
PHPDeveloper.org

DeveloperDrive.com: 5 PHP Security Measures

Auf der Website DeveloperDrive.com heute gibt es einen neuen Beitrag mit fünf einfachen Schritten können Sie ergreifen, um dazu beitragen, die Sicherheit Ihrer PHP-basierten Anwendungen.

Seit vielen Jahren ist PHP eine stabile, kostengünstige Plattform, auf der Web-basierten Anwendungen zu betreiben. Wie die meisten Web-basierten Plattformen ist PHP anfällig für externe Angriffe. Entwickler, Datenbank-Architekten und System-Administratoren sollten Vorsichtsmaßnahmen vor der Bereitstellung von PHP-Anwendungen zu einem Live-Server zu nehmen. Die meisten dieser Techniken lassen sich mit wenigen Zeilen Code oder eine geringfügige Anpassung an den Einstellungen der Anwendung erreicht werden.

Die fünf Tipps, sie reichen von einer allgemeinen Liste „best practice“ Arten von Dingen, um ein bisschen genauer:

  • verwalten Setup Scripts
  • Include-Dateien (mit „. php“ nicht „. inc“)
  • MD5 vs SHA
  • Automatische globalen Variablen (nicht länger ein Thema in den letzten Versionen 5.4.x)
  • initialisieren Variablen und Werte

PHPDeveloper.org

PHP.net: PHP 5.3.10 veröffentlicht (Security Fix – Empfohlene Upgrade)

Das PHP-Entwicklerteam hat offiziell die Freigabe der neuesten Version von PHP in der angekündigten 5,3 . x-Serie – PHP 5.3.10 :

Die PHP-Entwickler-Team möchte die sofortige Verfügbarkeit von PHP 5.3.10 bekannt zu geben. Diese Version bietet eine kritische Sicherheitslücke geschlossen. […] Feste beliebigen Sicherheitsanfälligkeit bezüglich Remotecodeausführung von Stefan Esser, CVE-2012-0830 berichtet.

Es wird dringend empfohlen, dass Anwender auf diese neueste Version zu aktualisieren, um Opfer zu fallen im Zusammenhang mit der neuen „max_input_vars“-Einstellung hinzugefügt, um aus dem Überlauf Frage kürzlich erzogen schützen in der PHP Gemeinschaft.

PHPDeveloper.org

Anson Cheung Blog: Top 10 PHP Best Security Practices für Systemadministratoren

In diesem letzten post in seinem Blog Anson Cheung bietet eine Reihe von nützlichen Tipps für Systemadministratoren zu folgen, wenn die Installation (oder nur Sicherung) die PHP-Installationen auf ihren Systemen.

PHP ist weit verbreitet für verschiedene Web-Entwicklung verwendet. Allerdings wäre falsch Server-Side-Scripting erstellen alle Arten von Problemen. Und hier sind php Security Best Practices, die Sie sollten sich bewusst sein, wenn die Konfiguration PHP sicher. Heutzutage werden die meisten der Web-Server unter Linux-Umgebung betrieben (wie: Ubuntu, Debian … etc). Daher wird in dem folgenden Artikel werde ich zur Liste der Top 10 Möglichkeiten nutzen, um PHP Security Best Practices unter Linux-Umgebung zu verbessern.

Seine Tipps sind:

  • Reduzierung der eingebauten PHP-Module
  • Protokollierung aller PHP-Fehler
  • Deaktivieren Remotecodeausführung
  • Deaktivieren gefährliche PHP-Funktionen
  • Schreibschutz auf Apache, PHP & MySQL-Konfigurationsdateien

PHPDeveloper.org

DevShed: File Security and Resources mit PHP

Im vierten Teil ihrer Serie Blick auf die Arbeit mit dem Dateisystem in PHP hat DevShed ein neues Tutorial mit Schwerpunkt auf Sicherheit und die Erlaubnis Handling für Dateien / resources.

In diesen Tagen ist die Sicherheit ausschlaggebend für eine Server-Installation, ob groß oder klein. Die meisten modernen Betriebssysteme haben das Konzept der Trennung von Dateirechten über einen Benutzer / Gruppe Ownership Paradigma, die, wenn sie richtig konfiguriert ist, bietet eine wunderbar bequeme und leistungsfähiges Mittel zur Sicherung von Daten angenommen. In diesem Abschnitt lernen Sie, wie Sie PHP die eingebaute Funktionalität nutzen zu überprüfen und zu verwalten diese Berechtigungen.

Sie stellen Funktionen wie:

Beispiel-Code ist ebenfalls enthalten, um zu zeigen, wie man Öffnen und Schließen einer file .

PHPDeveloper.org

Symfony Blog: Symfony2 Security Audit

Fabien Potencier (der Symfony-Framework-Projekt) hat die Ergebnisse einer Sicherheitsüberprüfung geschrieben das war auf dem Rahmen von SektionEins .

Die Symfony2 Kernteam nimmt Sicherheitsfragen sehr ernst, wir haben ein engagiertes Verfahren , um solche Probleme zu melden, und den Rahmen selbst versucht, um dem Entwickler alle notwendigen Funktionen, um seinen Code einfach zu sichern. Dank unserer erfolgreichen Community Spende Laufwerk, durchgeführt SektionEins ein Sicherheits-Audit auf den Symfony2 Code zu Beginn dieses Jahres. Die Prüfung ist nun vorbei und die gute Nachricht ist, dass die Symfony2 Code ziemlich solide ist, nur kleinere Probleme gefunden wurden. Sie alle wurden jetzt angegangen

Ihre Erkenntnisse enthalten Dinge wie die Anfrage Komponente vertrauensvolle bestimmte Header, schlechte regex Validierung datetimes, Passwort-Kodierung Fragen, Cookie-Handling und Exception-Handling Probleme. Links zu den Updates für jeden sind in inklusive der Post .

PHPDeveloper.org

DashExamples.com: Fügen Sie eine Content Security Policy (CSP), um Ihre Web-Site mit PHP

Bezug zu diese anderen post über den Inhalt von Sicherheitsrichtlinien in PHP-Sites hat DashExamples.com a über das, was Sie brauchen, um Ihre Anwendung hinzufügen, um eine Politik der eigenen Implementierung.

Content Security Policy (CSP) ist ein Mechanismus, in den Browser, welche Inhalte abgefragt und ausgeführt werden, die vom Browser beschränkt. CSP bedeutet dies, indem in eine spezifische Antwort-Header, der den Browser anweist, welche Ressourcen (Bilder, JavaScript, CSS, Frames, etc) kann angefordert und akzeptiert zu führen. Es gibt mehrere Möglichkeiten, um CSP für Ihre Web-Site-Setup können Sie Ihre , wie ich zeigte, in einem früheren Beispiel oder eine dynamische Skriptsprache wie PHP.

Was es wirklich darauf an, setzt einen Header, entweder X-Content-Security-Policy oder X-Content-Security-Policy-Report-Only, um den Browser zu sagen, was Sicherheitspolitik zu nutzen und wie es zu ehren. Sie können mehr über Content-Security-Richtlinien von dieser Seite auf der Mozilla-Wiki. CSPs können Sie festlegen, wie die Inhalte Ihrer Website interagiert und helfen, Probleme wie XSS und Daten Injektion zu verhindern.

PHPDeveloper.org