PHP ha solucionado un error relacionado con el tratamiento de las sesiones que llevaba varios años sin corregir. Concretamente, el módulo de gestión de sesiones no validaba correctamente los ID de sesión generados aceptando aquellos que incluso no estaban inicializados. Es decir, valores asignados pero no generados por la aplicación.
Este error permitía ataques de fijación de sesión («Session fixation«). Este tipo de ataque consiste en la imposición de un token de sesión, conocido por el atacante, a una víctima a la que se le induce a iniciar una sesión en la aplicación web vulnerable.
Pongamos un ejemplo: una aplicación web que exhibe el valor del token en la URL y este sea usado para identificar la sesión:
Según el funcionamiento (inseguro en cualquier forma) de la aplicación, el atacante establecerá una sesión válida y copiará su token. Elaborará un enlace como el mostrado anteriormente y mediante ingeniería social enviará el enlace a la víctima. Si la víctima inicia sesión con ese enlace, la aplicación asignará el mismo token a su sesión permitiendo al atacante acceder a la sesión del usuario ya que conoce de antemano el valor del token de sesión. Otro esquema de funcionamiento, incluso más débil, consiste en que el atacante ni siquiera tiene que molestarse en generar una sesión sino que le basta con asignar un valor aleatorio.
Hasta ahora los programadores de aplicaciones web en PHP usaban sus propios mecanismos para erradicar este tipo de ataques usando patrones conocidos de programación defensiva. Pero aquellas aplicaciones carentes de estos mecanismos seguían (y siguen) siendo vulnerables a este tipo de ataques.
Otro problema adicional es la duplicación de tokens de sesión. PHP no controla que existan dos tokens de sesión iguales generados previamente por la aplicación. Aunque estadísticamente la probabilidad es pequeña podría ser un elemento a tener en cuenta en sitios con una gran cantidad de usuarios concurrentes.
A partir de la próxima versión 5.5.2 de PHP se incluirá el parche (https://gist.github.com/yohgaki/1379668) para establecer el control estricto de sesiones.
El parche incluye la adopción de funciones para validar el token de sesión, control estricto de sesiones por defecto en la configuración (php.ini) y mensajes de advertencia cuando se usa la función ‘session_id‘.
Curiosamente la funcionalidad añadida por el parche hace que PHP sea vulnerable a un tipo específico de denegación de servicio si el atacante consigue establecer una cookie de solo lectura en el navegador de la víctima.
El parche original pertenece a Stephan Esser, conocido investigador de seguridad con numerosos reportes de vulnerabilidades sobre PHP entre otros muchos trabajos. La vulnerabilidad tiene asignado el CVE-2011-4718.
Más información:
Request for Comments: Strict Sessions
projects / php-src.git / commit
David García
Twitter: @dgn1729
Viva el GNU GPL !!
¿Qué tiene que ver el tocino con la velocidad? No es posible establecer una relación causal entre la disponibilidad del código fuente y la agilidad a la hora de detectar y resolver un problema de seguridad. Primero hay que averiguar qué está mal y por qué, y después saber cómo arreglarlo de la forma menos traumática posible, y eso no es una habilidad al alcance de todo el mundo.