URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 104597
[ Назад ]
Исходное сообщение
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено opennews , 05-Сен-15 09:22 
Доступны (http://php.net/archive/2015.php#id2015-09-04-2) корректирующие выпуски языка программирования PHP 5.6.13, 5.5.29 и 5.4.45, в которых внесено 11 связанных с безопасностью исправлений и устранена порция ошибок (http://php.net/ChangeLog-5.php). Сообщается, что выпуск 5.4.45 завершает цикл поддержки (http://php.net/supported-versions.php) ветки 5.4.x - в дальнейшем выпускать обновления для данной ветки не планируется, но не исключается выпуск дополнительного релиза в случае выявления критической уязвимости.


Из устранённых уязвимостей можно отметить обращение к уже освобождённым блокам памяти в коде десериализации сеансов (https://bugs.php.net/bug.php?id=70219) и функции unserialize() (https://bugs.php.net/bug.php?id=70172), выход (https://bugs.php.net/bug.php?id=70264) за допустимые границы файловых путей в CLI-сервере ("GET /..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c/windows/win.ini"), переполнение буфера (http://bugs.php.net/70385) при разборе  TIFF IFD-тега в дополнении EXIF, генерация (https://bugs.php.net/bug.php?id=70312) неверных значений при использовании хэшей HAVAL, разыменование нулевого указателя при разборе XSLT, разархивирование в стороннюю директорию при использовании ZipArchive::extractTo, несколько уязвимостей в дополнениях PCRE и SPL.

URL: http://php.net/index.php#id2015-09-04-2
Новость: http://www.opennet.me/opennews/art.shtml?num=42913

Содержание
Сообщения в этом обсуждении
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено _KUL , 05-Сен-15 09:22 
Интересно было бы видеть статистику, сколько ошибок закрыли и сколько новых добавили в новом релизе. Статистику проводить для прошлых веток, для полноты картины. К примеру 5.2 закрыто 30 прошлых дыр, но к 5.3 выявлено новых 40 дыр, т.е. 5.2 привнёс больше багов чем закрыл. Чтобы видеть в какую сторону динамика.
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 05-Сен-15 09:45 
Для этого надо иметь информацию о том, в какой версии баг появился. Некоторые баги еще с PHP4 живут, просто они довольно специфичные и никто не наталкивался годами.
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено ggg , 05-Сен-15 22:35 
может, это?
https://www.cvedetails.com/vendor/74/PHP.html
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 05-Сен-15 11:44 
Rust пусть используют
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 05-Сен-15 12:46 
Вон мозилла с фаерфоксом что чудит, есть повод за раст волноваться.
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 06-Сен-15 22:40 
> Rust пусть используют

Издеваешься? Они ухитрились облажаться даже используя JS, в песочницах!

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Ан , 06-Сен-15 23:44 
Там сейчас лажают JS разрабы, а не системщики.
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 07-Сен-15 09:15 
> Там сейчас лажают JS разрабы, а не системщики.

Так большинство большинство нынче вообще происходит через баги скриптов в вебне писаной левой пяткой. И там бывает и пых, и питон, и руби и что там еще.

При этом скрипткиди истошно вопят что вумный ЯП и вумный рантайм их от всего спасет. Но почему-то не спасает.

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 05-Сен-15 13:46 
2015 год
@
Использовать PHP /o\
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 06-Сен-15 22:41 
> Использовать PHP /o\

Как ни странно, большинство сколь-нибудь адекватной вебни - именно пых.

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено xPhoenix , 07-Сен-15 09:03 
"Django", Вы хотели сказать "Django".
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 07-Сен-15 09:17 
> "Django", Вы хотели сказать "Django".

Нет, мы не хотели это сказать. Где на вашем бидонокрапе вообще хоть какие-то нормальные продукты, на которые можно будет смотреть без слез?

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 05-Сен-15 15:27 
к каждой статье про php всегда имеются комментарии такого сорта:
1. "сколько ошибок новых добавили исправлениями старых";
2. "php - прошлый век";
3. "пользователи php - неумные люди";
4. "php - это и есть ошибка";
потому вангую появление комментов вида 3 и 4.
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 05-Сен-15 15:29 
Пишу сайты на Go
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено 11 , 05-Сен-15 16:27 
> Пишу сайты на Go

http://cs621924.vk.me/v621924589/23198/GPyxksj2Lcw.jpg

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 06-Сен-15 22:51 
> Пишу сайты на Go

Пиар зафэйлен - ты контактов не оставил. Незачет по маркетингу.

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено DeadLoco , 07-Сен-15 14:10 
Слабак.
Я инет-магаз на шелле написал. На чистом sh - лень было из консоли выходить.
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Andrey Mitrofanov , 07-Сен-15 19:48 
> Слабак.
> Я инет-магаз на шелле написал. На чистом sh - лень было из
> консоли выходить.

А надо было PHP на шеле, на позикс-шеле - бонус-пойнты, писать. </back-ontopic>

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 05-Сен-15 19:29 
Согласен по всем пунктам, но я бы еще добавил что девелоперы PHP - криворукие недопрограммы.
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 05-Сен-15 21:11 
> Согласен по всем пунктам, но я бы еще добавил что девелоперы PHP
> - криворукие недопрограммы.

PHP создан быть практичным, а практичность и безопасность стоят в разных углах. Не холивара ради, а только факты в других языках тоже есть проблемы, но PHP слишком дыряв. Если бы разработчики хорошо структурировали код, может к ним бы примкнули еще программисты. Скоро будет новый движок, там обещали исправить часть проблем.

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено 10й Брейтовский переулок , 05-Сен-15 21:45 
Аноним, зачем ляпаешь, что бы  оправдать свое php-ручие и лень?
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 05-Сен-15 21:53 
>PHP создан быть практичным

PHP создан был шаблонизатором, а не ЯП. А потом поперло. Я тебя слепила из того что было, а потом что было то и полюбила (Правда жизни).

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 06-Сен-15 22:48 
> PHP создан был шаблонизатором, а не ЯП. А потом поперло. Я тебя
> слепила из того что было, а потом что было то и полюбила (Правда жизни).

Фороникс на этом даже бенчмарки сделал. Казалось бы, более странно сделать систему бенчмарков для *никс-образных невозможно. А народу вон понравилось и фороникс неслабо поднялся. Де факто став чем-то типа стартапа. С энтерпрайзными заказами на бенчмарки разных конфиг. Так что автор фултайм занимается своим творением, у себя же дома. На известном месте вертев офисно-конторский булшит, тyпиц-шефов и что там еще.

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 07-Сен-15 10:04 
> PHP создан был шаблонизатором

Звучит так, будто автором PHP был шаблонизатор.

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Andrey Mitrofanov , 07-Сен-15 12:16 
>> PHP создан был шаблонизатором
> Звучит так, будто автором PHP был шаблонизатор.

Не, это гордое звание он получил чуть позже, по результатам созданного.

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 06-Сен-15 08:38 
> PHP создан быть практичным, а практичность и безопасность стоят в разных углах.

настолько слабые фантазии что аж скучно

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 06-Сен-15 11:24 
>Скоро будет новый движок, там обещали исправить часть проблем.

Ну юникод строки они тоже обещали и новую версию в придачу. "Ну не шмогла я, не шмогла!" (C)

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено впрзн , 05-Сен-15 23:12 
> девелоперы PHP - криворукие недопрограммы.

Позвольте спросить, девелоперы на каком языке не криворукие недопрограммы?

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 05-Сен-15 23:29 
на днк?
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 06-Сен-15 18:18 
ДНК состоят из случайных ошибок, человек и есть случайная ошибка генов

Fuzzing DNA testing

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 06-Сен-15 11:27 
Ну тут как, везде конечно есть косяки, всякие legacy косяски, которые тащат много лет из версии к версии ради обратной совместимости (типа System.out в Java), но PHP это просто поделка щкольника на коленке, которую продолжают делать такие же, просто повзрослевшие школьники.

Ну и ссылочку в догонку: http://eev.ee/blog/2012/04/09/php-a-fractal-of-bad-design/

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Мяут , 06-Сен-15 16:06 
> Ну и ссылочку в догонку: http://eev.ee/blog/2012/04/09/php-a-fractal-of-bad-design/

Баянистая ссылочка. Вот здесь: https://www.reddit.com/r/lolphp/ проблемы PHP коллекционируют.

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено asavah , 06-Сен-15 16:19 
Пасиба за ссылку, занимательное чтиво,
цитата из комментов по ссылке:

PHP can also be seen as the Justin Bieber of programming tools. Both prove conclusively that you don't have to be good to be popular.

Дико ржал.

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 07-Сен-15 10:10 
> legacy косяски, которые тащат много лет из версии к версии ради обратной совместимости (типа System.out в Java)

Где можно почитать о причинах, по которым жабовый System.out является легаси-косяком, существующим только ради обратной совместимости?

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 12-Сен-15 00:11 
Тут как бе всё ясно. Нарушается же главное правило OOP - не делать public fields, насколько я помню, торопились и сделали так, а когда поняли что уже так просто не переделать не сломав кучу кода - оставили как есть (осло в jvm вроде даже есть специальные куски кода для правильной работы System.out для concurrency).
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 06-Сен-15 12:44 
Ага, и сотен других языков хуже только питонисты
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 06-Сен-15 20:07 
О, анониму не травится питон. Надо бы присмотреться к языку.
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 06-Сен-15 22:43 
> О, анониму не травится питон. Надо бы присмотреться к языку.

И, главное, посмотреть кто целевая аудитория. Кого надо пиз...лями заставлять форматировать код? Вот именно такие питоном и пользуются. Как раз для тебя ЯП, тезка.

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 05-Сен-15 20:43 
да когда ж они все исправят наконец
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 05-Сен-15 20:59 
Они даже не пытались переписать на Rust, о чем там речь?
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 06-Сен-15 22:46 
> Они даже не пытались переписать на Rust, о чем там речь?

Это можете сделать вы. Или какой-нибудь другой тyпой хомяк верящий в серебряные пули. А мы посмотрим что у вас из этого получится.

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 06-Сен-15 22:45 
> да когда ж они все исправят наконец

Используй MS-DOS и QBASIC. Там все исправили. В смысле, больше исправлений там не будет.

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 07-Сен-15 00:20 
сам используй... или уже?
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Аноним , 07-Сен-15 09:21 
> сам используй... или уже?

Знаете анекдот про "пап, когда же будет хорошо?". Там где рассказ заканчивается выравниванием гроба и финальным "во, теперь - хорошо!". Вот к софту это тоже применимо. Особенно если он сложнее hello world.

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено ALex_hha , 07-Сен-15 13:26 
> но PHP это просто поделка школьника на коленке, которую продолжают делать такие же, просто повзрослевшие школьники.

просветите об этом facebook, vk, odnoklassniki видать там одни школьники работают

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено Andrey Mitrofanov , 07-Сен-15 19:55 
> просветите об этом face

fb, например, в курсе: http:/cgi-bin/opennet/ks.cgi?mask=hhvm В отличие от Вас.

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Отправлено ALex_hha , 08-Сен-15 23:19 
>> просветите об этом face
> fb, например, в курсе: http:/cgi-bin/opennet/ks.cgi?mask=hhvm В отличие от Вас.

Ибо у high load своя специфика