El software libre forma una parte muy importante de Internet. Muchas de las aplicaciones más utilizadas, así como muchos de los protocolos de seguridad más habituales, han sido programas hace mucho tiempo, y, aunque se han ido actualizando periódicamente para poder seguir manteniéndose en el mercado, son aplicaciones muy viejas y susceptibles a fallos y vulnerabilidades impensables hace unos años. El software libre, por lo general, no tiene medios suficientes para permitirse caras auditorías de seguridad, sin embargo, las grandes fundaciones de software libre, como Mozilla, quieren ayudar a mejorar la seguridad de las aplicaciones libres con menos recursos y evitar así la aparición de nuevas vulnerabilidades críticas como lo fue Heartbleed.
Hace poco tiempo, Mozilla lanzó su programa SOS Fund como parte del Open Source Support Program. El SOS Fund se centra principalmente en llevar a cabo auditorías de seguridad de seguridad de ciertas aplicaciones de código abierto, así como ayudar a su solución. Una de las primeras aplicaciones en aprovecharse de este programa de ayuda al software libre ha sido phpMyAdmin.
phpMyAdmin es una de las aplicaciones más utilizadas para administrar y llevar a cabo el mantenimiento de las bases de datos. Desde mediados del mes pasado, la herramienta se ha estado sometiendo a esta auditoría de seguridad llevada a cabo por la empresa NCC Group, con la colaboración activa de los responsables de esta aplicación, hasta que, finalmente, la auditoría ha finalizado otorgando una buena nota a esta aplicación ya que, durante todo el proceso, no se ha encontrado ninguna vulnerabilidad crítica y el código fuente es robusto.
El código de phpMyAdmin es robusto y seguro, pero no perfecto
La empresa auditora ha asegurado que la aplicación utiliza un código robusto, seguro y que no tiene ninguna vulnerabilidad seria, sin embargo, no es una aplicación perfecta.
Durante la auditoría se han detectado tres vulnerabilidades de peligrosidad media y cinco de peligrosidad baja, además de un problema informativo. Las vulnerabilidades más importantes se han registrado con el nombre PMASA-2016-14, PMASA-2016-15 y PMASA-2016-16, y todas ellas serán solucionadas en la versión phpMyAdmin 4.6.2. Además, también se van a liberar parches para solucionarlas en las versiones actuales.
Los responsables de phpMyAdmin están agradecidos por ser unos de los primeros en beneficiarse el programa Mozilla SOS Fund y, de paso, agradecen a Mozilla la oportunidad de seguir mejorando la seguridad de la plataforma gracias a su auditoría. Podemos ver el informe completo de la auditoría de seguridad de phpMyAdmin en el siguiente enlace.
¿Crees que es una buena idea que las fundaciones de software libre financien a otros proyectos más pequeños para mejorar su seguridad?
Os recomendamos visitar el tutorial Lynis para realizar una completa auditoría de seguridad para Linux.