En effet, cette initiative appelée MOMBY[1] doit commencer le 1er avril prochain, ce qui laisse entrevoir la possibilité d'une blague. Qu'elle soit bonne ou pas, ou encore que cela puisse fournir une excellente porte de sortie à l'auteur en cas d'échec dans sa recherche de 30 failles sur MySpace, c'est une autre question. Toujours est-il que ça me semble être un excellent exemple de l'écart qui peut exister entre deux Month of Something Bugs. D'un côté une initiative relativement sérieuse[2] et une autre complètement opportuniste. Revenons au MoPM.

Lancé le premier mars, le MoPB compte à l'heure où je rédige ces lignes quelques vingt-quatre entrées, dont trois sont qualifiées de "bonus" parce que ne touchant pas directement PHP, mais des extensions tierce-partie[3], soit une faille et demi par jour. Le côté intéressant du MoPB est à mon sens qu'il ne s'attache pas à remonter des vulnérabilités dans des applications PHP[4], ce qui serait revenu à tirer sur l'ambulance, mais à des failles liées à l'interpréteur PHP lui-même. Les résultats sont assez éloquents : nombreux problèmes de gestion de mémoire allant du simple crash à l'exécution de code, mauvaises gestion d'URL, problèmes avec les filtres de données[5] et de l'escalade de privilège[6]. En voici un rapide résumé :

  • dix exécutions de code arbitraire ;
  • trois dénis de service ;
  • trois contournement de filtrage de données ;
  • trois fuites de données ;
  • deux directory traversals
  • deux escalades de privilèges locales ;
  • un XSS.

Bref, vingt-quatre excellentes raisons de plus de tester Suhosin sur son serveur web. Kesako ? Suhosin est une extension binaire de PHP, comme l'est l'optimisateur Zend, qui vise à sécuriser l'installation contre certaines failles d'applications PHP d'une part et d'autres présentes dans le moteur PHP. C'est une amélioration notable, tout au moins dans la forme, du patch Hardened PHP en ce qu'il est compatible avec les installations standards de PHP. Côtés fonctionnalités, c'est au moins équivalent, voire mieux que le patch, lequel semble voué à ne plus être maintenu. Le résultat est en tout cas plus convaincant que les résulats que j'ai pu obtenir avec ModSecurity que j'ai fini par désactiver devant les faux-positifs grossiers qu'il générait. Il faut dire que quand vous avez des règles qui se basent sur le nom des paramètres des scripts pour détecter des XSS, ça le fout un peu mal...

On remarquera tout de même que parmi toutes les failles annoncées par le MOPB, la moitié se sont vues patchées dans les mises à jour de février[7], mais pas l'autre, ce qui laisse onze failles dans la nature, dont cinq exécutions de code distantes... C'est pourquoi j'ai un peu de mal à croire que ce MoPB ne soit aucunement motivé par un soupson de rancœur. Ça sent le règlement de compte à plein nez, quelque chose entre "vous ne voulez pas m'écouter, laissons les utilisateurs juger par eux-même" et "j'vous l'avais bien dit". Pour autant, je votre [POUR] des deux mains.

À côté de cela, le MoMB, s'il est sérieux, fait bien pâle figure. Les failles sur MySpace sont légion et ça n'étonne personne. Ce site est en effet un aggrégat de pages perso, blogs, webmail, forums, groupes, galleries de photos et/ou de vidéos, etc. En bref, un espèce de super site plein de fonctionnalités certes sympathiques, mais aussi largement connues pour véhiculer leur lot de vulnérabilités. Mettez tout ça dans le même panier, sous la responsabilité d'une équipe restreinte, et vous obtenez un magnifique tas de trous. MOMBY est d'autant moins crédible qu'il s'agit d'un appel et non d'une annonce. Là où les MoBB, MoAB et autres MoKB publient principalement des failles que leurs auteurs ont découvertes, MOMBY ne fait que racoler.

Et pendant ce temps, à Vera Cruz, d'autres Mo?B se créent, forcément, alors qu'Isaac Azimov continue à faire des émules...

Notes

[1] Month Of MySpace Bugs, Yuss

[2] Encore que cette appellation dépende de la sensibilité personnelle du lecteur.

[3] Zend et ModSecurity en l'occurence.

[4] Il faudra que je pense à vous livrer mes réflexions à deux balles et autres retours d'expérience à ce sujet...

[5] Quand on vous dit qu'il ne faut pas tout miser sur les magic_quotes et autres filtres intégrés...

[6] Ou presque, selon les droits accordés à PHP.

[7] Le lecteur observateur remarquera que la 4.4.6 est sortie, mais comme il place systématique register_globals à off, il n'en a pas besoin ;)