Solucionada la fijación de sesiones en PHP 5.5.2

agosto 18, 2013 § Deja un comentario

PHP ha solucionado un error relacionado con el tratamiento de las sesiones que llevaba varios años sin corregir. Concretamente, el módulo de gestión de sesiones no validaba correctamente los ID de sesión generados aceptando aquellos que incluso no estaban inicializados. Es decir, valores asignados pero no generados por la aplicación.

Este error permitía ataques de fijación de sesión (“Session fixation”).
Este tipo de ataque consiste en la imposición de un token de sesión, conocido por el atacante, a una víctima a la que se le induce a iniciar una sesión en la aplicación web vulnerable.

Pongamos un ejemplo: una aplicación web que exhibe el valor del token en la URL y este sea usado para identificar la sesión: http://www.appwebvulnerable.com/login.php?session=98gfrehnr298h5

Según el funcionamiento (inseguro en cualquier forma) de la aplicación, el atacante establecerá una sesión válida y copiará su token. Elaborará un enlace como el mostrado anteriormente y mediante ingeniería social enviará el enlace a la víctima. Si la víctima inicia sesión con ese enlace, la aplicación asignará el mismo token a su sesión permitiendo al atacante acceder a la sesión del usuario ya que conoce de antemano el valor del token de sesión.

Otro esquema de funcionamiento, incluso más débil, consiste en que el atacante ni siquiera tiene que molestarse en generar una sesión sino que le basta con asignar un valor aleatorio.

Hasta ahora los programadores de aplicaciones web en PHP usaban sus propios mecanismos para erradicar este tipo de ataques usando patrones conocidos de programación defensiva. Pero aquellas aplicaciones carentes de estos mecanismos seguían (y siguen) siendo vulnerables a este tipo de ataques.

Otro problema adicional es la duplicación de tokens de sesión. PHP no controla que existan dos tokens de sesión iguales generados previamente por la aplicación. Aunque estadísticamente la probabilidad es pequeña podría ser un elemento a tener en cuenta en sitios con una gran cantidad de usuarios concurrentes.

A partir de la próxima versión 5.5.2 de PHP se incluirá el parche (https://gist.github.com/yohgaki/1379668) para establecer el control estricto de sesiones.

El parche incluye la adopción de funciones para validar el token de sesión, control estricto de sesiones por defecto en la configuración (php.ini) y mensajes de advertencia cuando se usa la función ‘session_id’.

Curiosamente la funcionalidad añadida por el parche hace que PHP sea vulnerable a un tipo específico de denegación de servicio si el atacante consigue establecer una cookie de solo lectura en el navegador de la víctima.

El parche original pertenece a Stephan Esser, conocido investigador de seguridad con numerosos reportes de vulnerabilidades sobre PHP entre otros muchos trabajos. La vulnerabilidad tiene asignado el CVE-2011-4718.

Fuente: Hispasec

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Solucionada la fijación de sesiones en PHP 5.5.2 en Seguridad Informática.

Meta

A %d blogueros les gusta esto: