URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 101807
[ Назад ]
Исходное сообщение
"Обновление PHP 5.6.7, 5.5.23 и 5.4.39 с устранением уязвимос..."
Отправлено opennews , 21-Мрт-15 04:32 
Доступны (http://php.net/archive/2015.php) корректирующие выпуски языка программирования PHP 5.6.7, 5.5.23 и 5.4.39, в которых устранены три уязвимости и исправлено около 30 ошибок (http://php.net/ChangeLog-5.php). Уязвимость CVE-2015-0231 (https://bugs.php.net/bug.php?id=68976) продолжает (http://www.opennet.me/opennews/art.shtml?num=41306) череду (http://www.opennet.me/opennews/art.shtml?num=41696) проблем (http://www.opennet.me/opennews/art.shtml?num=41517) в реализации функции unserialize() и может привести выполнению кода при обработке в данной функции специально оформленного блока данных.


Уязвимость CVE-2015-2305 (https://bugs.php.net/bug.php?id=69248) присутствует в расширении Ereg и может привести к переполнению буфера при обработке  выражений слишком большого размера. Уязвимость CVE-2015-2331 (https://bugs.php.net/bug.php?id=69253) присутствует в дополнении ZIP и может привести к записи за границу буфера при обработке ZIP-архива, содержащего слишком большое число файлов.

URL: http://php.net/index.php#id2015-03-20-2
Новость: http://www.opennet.me/opennews/art.shtml?num=41878

Содержание
Сообщения в этом обсуждении
"Обновление PHP 5.6.7, 5.5.23 и 5.4.39 с устранением уязвимос..."
Отправлено Аноним , 21-Мрт-15 04:32 
Сколько бы PHP ни обновляли, но то что написано про PHP в статье "Фрактал плохого дизайна" - никакими обновлениями не лечится.

И пока еще ни один PHP-шник не смог аргументированно что-то возразить по поводу того, что там изложено (а сколько времени уже прошло).

"Обновление PHP 5.6.7, 5.5.23 и 5.4.39 с устранением уязвимос..."
Отправлено анонимус , 21-Мрт-15 09:06 
Ну если говорить о фрактале, то он уже процентов на 60 не актуален. php сейчас причесывают довольно активно.
"Обновление PHP 5.6.7, 5.5.23 и 5.4.39 с устранением уязвимос..."
Отправлено Аноним , 21-Мрт-15 10:04 
Достаточно посмотреть на альтернативы в виде Python или Ruby и на пхп уже не хочется даже смотреть.
"Обновление PHP 5.6.7, 5.5.23 и 5.4.39 с устранением уязвимос..."
Отправлено Аноним , 21-Мрт-15 10:53 
И почему-то в том же ruby+rails уязвимости крайне редкое явление, и те проявляются как правило в очень редки случаях и на практике бесполезны. ПЫХ же почему-то кишит ими. Наверное из-за идеального дизайна кода
"Обновление PHP 5.6.7, 5.5.23 и 5.4.39 с устранением уязвимос..."
Отправлено Мяут , 22-Мрт-15 02:28 
PHP - фрактал исправлений плохого дизайна?
"Обновление PHP 5.6.7, 5.5.23 и 5.4.39 с устранением уязвимос..."
Отправлено ALex_hha , 21-Мрт-15 11:37 
Рельсы просто реже используют, поэтому и находят реже. Ситуация аналогична windows vs linux. Если бы 85% десктопных систем в мире было под управлением Linux - уверен, ситуация была бы полностью противоположная.
"Обновление PHP 5.6.7, 5.5.23 и 5.4.39 с устранением уязвимос..."
Отправлено myhand , 21-Мрт-15 22:52 
> Рельсы просто реже используют, поэтому и находят реже.

В носу наковыряли, или есть статистика?  Github вон на Ruby, Google тоже как-то ваш PHP не использует от слова вообще.

Вы не путаете популярность среди школоты, мастерящей вебсайты за еду и использованием языка.  Выхлоп от школоты в плане поиска уязвимостей, как правило, невелик.

> Если бы 85% десктопных систем в мире было под управлением Linux - уверен, ситуация была бы полностью противоположная.

Примерно такая ситуация в области вебсерверов.  Или вот андроид.  И чо?

Скажите им уже, чтобы прислали новую методичку.

"Обновление PHP 5.6.7, 5.5.23 и 5.4.39 с устранением уязвимос..."
Отправлено Капитан , 21-Мрт-15 14:14 
Ruby,Python,Go,Rust и то лучше!
"Обновление PHP 5.6.7, 5.5.23 и 5.4.39 с устранением уязвимос..."
Отправлено Аноним , 21-Мрт-15 21:05 
> Ruby,Python,Go,Rust и то лучше!

Rust для веба не пригоден (на данный момент)