Обнаружено несколько неприятных (http://secunia.com/advisories/17371/) проблем с безопасностью в версиях PHP ниже 4.4.1 (http://www.php.net/downloads.php#v4) и 5.0.6 (который еще не вышел).
Проблемы (http://secunia.com/advisories/17371/):
- Возможность (http://www.securityfocus.com/bid/15250) (при register_globals=on) подмены значений в массиве "GLOBALS" через "multipart/form-data" запрос или функции extract(), import_request_variables();- Ошибка (http://www.securityfocus.com/bid/15249) в функции parse_str(), которая может привести к активации настройки register_globals;
- "Cross-Site Scripting (http://online.securityfocus.com/bid/7805)" - атакующий может сформировать ссылку на скрипт с phpinfo(), подставив свой HTML код;
- Возможность выхода за пределы директории, заданной в open_basedir и safe_mode, через модули "ext/curl" и "ext/gd" или вызов virtual() под apache 2 SAPI;
- Целочисленное переполнение в pcrelib;
- Исправлено (http://www.php.net/ChangeLog-4.php#4.4.1) более 30 ошибок не касающихся безопасности.
URL: http://www.php.net
Новость: http://www.opennet.me/opennews/art.shtml?num=6358
Интересно, когда-же 5.1 в релиз выйдет???
На Google советуют вообще до 4.3.09Безопасность фтопку.
Запарил сегментейшын фолт в продакшыне.
===> Checking if devel/php4-pear already installed
Installing PEAR environment: /usr/local/share/pear/
tar: Error opening archive: Failed to open '/usr/ports/devel/php4-pear/work/php-4.4.1/pear/packages/XML_RPC-1.3.1.tar': No such file or directory
мда, круто обновили... апач просто вешается (squirrelmail) теперь ищи бинарики, откатываться
>мда, круто обновили... апач просто вешается (squirrelmail) теперь ищи бинарики, откатываться
1. бекапься
2. собирай из сырцов
>1. бекапься
>2. собирай из сырцовочень "ценные" советы, спасибо, никогда бы не додумался. как раз перед обновлением php не бэкапнулся, а по поводу сырцов - привык ставить всё из портов/портежей
>очень "ценные" советы, спасибо, никогда бы не додумался. как раз перед обновлением
>php не бэкапнулся, а по поводу сырцов - привык ставить всё
>из портов/портежей
ну первое - шутка юмора. и так ясна кто умеет - тот бекапица.
про сырцы вопросов нет. сам гентушник
а вообще вот, что бывает с теми, кито юзит сырцы напрямую ;)
http://cebka.pp.ru/stuff/futbol.jpg
Объясните коренное отличие портов от source code.
И вообще, хватит писать, что попало. Здесь (также) пишут люди, работающие в серьезных фирмах, а не ставящие gentoo linux "для экспериментов".
> Здесь (также) пишут люди, работающие в серьезных фирмах, а не ставящие gentoo linux "для экспериментов".Это наезд, шутка, намек????? В серьезных фирмах????? говоришь,
видал я серьезные фирмы и известные специалисты которых ТАКИЕ "кони отмачивают" на cisco/hp-ux/windows что за голову хватаешься. Не будем упоминать гос.структуры, некоторое время назад бюджет украины делали в екселе - это факт.
И не надо "gentoo linux \"для экспериментов\"" - меня буквально взбесило это высказывание.
ну дык - нынче круто звучит "я гентушник". еще круче, наверное, флеймить, где под чем бюджет делают или последовательность действий перед обновлением. а так же советовать всё ставить из сырцов (наверное набрать команду в пару строк ./configure --with-куча-всего && make install считается круто) а затем себе противоречить и кидать ссылку на "футбол в ластах" (про что и так всем известно). видимо, на ЛОРе кризис, не перед кем блестать умом, вот и повылазили.
Не имеет значения "\"я гентушник\"". и у кого это круто - честно тоже не знаю. Каждый использует инструмент по потребностям и задачам.Оратор настолько безапеляционно начал рассказывать о "серьезных фирмах" и т.д. и задело сказанное выше замечание следующим:
Когда-то когда еще не было 2.6 ядра, а gentoo только-только начинался, работал в украинском представительстве одной из российских компаний, очень немаленькой компании. А так как представительство только начиналось то собственно надо было делать все с нуля, что было очень здорово. Коротко - "Корпоративным стандартом" был MS Windows, MS exchagne, Accpacc (CRM, бухгалтерия и т.д.) Суть в следующем, тогда совместно с москвой мы построили VPN "сеть" среди представительств СНГ, репликация АД, баз ексченджа и т.д. Для меня тогда это было все в новинку, и интерестно, но больше всего хотел увидеть тот самый "production enviroment", где гудят огромное количество больших серверов, увидеть тех.спецов которые это все администрируют. И самое главное понять чем отличается то что делаю я, от того что делают они и почему они называются "професионалы".
Увидел. Познакомился. В москве. Ничего такого не делают, ничем не отличаются. Имеют бОльший опыт. Могут выдать решение задачи за приемлемый промежуток времени.
Теперь меня начинает телепать от типов которые приходят рассказывают о "серьезных фирмах", больших проектах, (был офшорный проект on-line опросов ~500 посетителей в минуту на сервер, 2-3 млн. посетителей вообщем в день, 2-3 млн. е-мейл сообщений за рассылку - интерестно это тот самый продакшн или нет? я уже запутался), и говорящих "а так ты используешь тото-тото так ты лох и тебе не место здесь".
Кста. "а затем себе противоречить и кидать ссылку на "футбол в ластах" (про что и так всем известно). видимо, на ЛОРе кризис, не перед кем блестать умом, вот и повылазили." это делал не я, и лор стараюсь не читать - а то в обед испытываешь жуткое душевное расстройство. Считаю что Максим правильно сделал убив ветку о релизе ФрииБСД 6.0 и так надо поступать впредь.
Даешь каждому инструмент по нуждам и задачам. Даешь свободу от религиозного преследования.
со вем согласен...
кроме...>Считаю что Максим правильно сделал убив ветку о
>релизе ФрииБСД 6.0 и так надо поступать впредь.а это что??
http://www.opennet.me/openforum/vsluhforumID3/12598.html#1
Вы явно флеймитель.
>Объясните коренное отличие портов от source code.
ликбез: порт - это набор правил/скриптов/патчей для сборки и установки в систему той или иной программы по заданным параметрам с поддержкой менеджера пакетов для последующего обновления/удаления.>И вообще, хватит писать, что попало.
прям так и что попало...
классная картинка %)>Здесь (также) пишут люди, работающие в серьезных фирмах,
на здоровье. не думаю, что я особо мешаю своими постами кому-то другому "серьезному" высказаться. (А вообще-то, люди в серьезный фирмах РАБОТАЮТ, а не в форумах 3.14дят)>а не ставящие gentoo linux "для экспериментов".
для начала нужно и для эксперимента поставить. Придет опыт - весь продакшн будет на генте
from sash:
>И не надо "gentoo linux \"для экспериментов\"" - меня буквально взбесило это высказывание.
да ладно. Человек решил, что он сразу может чего-то знать и юзать где угодно, не наломав дров. Без экспериметнов - он не специалист
Потому что порты просто опаздывают.Проедься по дереву и посмотри, какие версии в портах.
Кумыло ты нарежешь из порта, да? Вперёд.
Еще что?
>Потому что порты просто опаздывают.
>Проедься по дереву и посмотри, какие версии в портах.
>Кумыло ты нарежешь из порта, да? Вперёд.
вжизни его никуда не нарежу. ни в каком виде.
кумыло - для идиотов. Добавить в нем какую-либо левую функциональность - зачастую только через патчинг. Бред, а не мыльник.>Еще что?
Exim
>Exim[-= gentoo =- root 10:22:33] ~
# cd /usr/portage/mail-mta/exim/
[-= gentoo =- root 10:22:55] /usr/portage/mail-mta/exim
# l *ebuild
-rw-r--r-- 1 root root 8033 Фев 21 2005 exim-4.43-r2.ebuild
-rw-r--r-- 1 root root 7923 Мар 4 2005 exim-4.50.ebuild
-rw-r--r-- 1 root root 7956 Авг 18 22:05 exim-4.50-r1.ebuild
-rw-r--r-- 1 root root 8497 Июл 15 12:37 exim-4.50-r2.ebuild
-rw-r--r-- 1 root root 7638 Июл 11 04:47 exim-4.50-r999.ebuild
-rw-r--r-- 1 root root 8419 Окт 2 06:38 exim-4.52.ebuild
-rw-r--r-- 1 root root 8658 Окт 28 20:35 exim-4.54.ebuildexim.org:
Latest version: 4.54
>а вообще вот, что бывает с теми, кито юзит сырцы напрямую ;)
>http://cebka.pp.ru/stuff/futbol.jpg
да, однако бежит то он впереди :)
>>а вообще вот, что бывает с теми, кито юзит сырцы напрямую ;)
>>http://cebka.pp.ru/stuff/futbol.jpg
>да, однако бежит то он впереди :)
нет, сзади - это рпмщики %)
портовики - слева намного дальше. Ф кадр не поместились ;)
определенно, в php-4.4.1 какая-то беда, squirrelmail "вешает" апача, когда пытаешся прочитать письмо с аттачментом, так же, ошибка в порту php4-pear,неправильное имя файла указано. после отката на php4-4.4.0 все работает. перед обновлением не поленитесь набрать pkg_create -b php4-4.4.0, вдруг пригодится.
>определенно, в php-4.4.1 какая-то беда, squirrelmail "вешает" апача, когда пытаешся прочитать письмо
вроде нормально, apache2.0.55, но письма не сложные.>с аттачментом, так же, ошибка в порту php4-pear,неправильное имя файла указано.
это поправили>после отката на php4-4.4.0 все работает. перед обновлением не поленитесь набрать
>pkg_create -b php4-4.4.0, вдруг пригодится.
удобно добавить с pkgtools.conf
Так-же стали наблюдаться куча глюков - когда скрипты вызывают инклудом или к ним идет обращение через mod_rewrite
они просто перестали работать нормально.
например: в скрипте идет открытие файла и путь не абсолютный, скрипт вызывается на прямую - то работает, если скрипт вызвать через инклуд в shtml документе - то работать не будет. нужно указать абсолютный путь до файла к которому обращается скрипт.
по этому отктились обратнона 4.4.0
Да, релиз оказался глюкавым. Сломан apache virtal, работа с mod_rewrite... После воплей юзеров срочно откатился до 4.4.0
>Да, релиз оказался глюкавым. Сломан apache virtal, работа с mod_rewrite... После воплей
>юзеров срочно откатился до 4.4.0Есть подозрения, что глюки проявляются только для apache 2.0, в связи с исправлением связанным с ним дыры. На хостинге с Apache 1.3.34 жалоб пока небыло.
не работатет с 4.4.14.3.09 - последний Пых, который не дает Bus error (10) на ровном месте.
nginx и lighttpd тоже, кстати, легли на fcgi php 4.4.1
завел их только откат на 4.3.11
php 4.4.1 не жилец, вот при memory_limit 4mb всплыло несколько подобных процессов:
3363 web 265444 244440 0.4 00:06:14 /usr/local/apache/bin/httpd
с 1.3.33 гдюки теже.
>Возможность (при register_globals=on) подмены
>значений в массиве "GLOBALS" через
>"multipart/form-data" запрос или функции extract(),
> import_request_variables();Это-ж просто супер!!!
Пол интернета сломать можно :)))
...побежал пробовать
Что-то пропатчили в php.
Updating collection ports-lang/cvs
Checkout ports/lang/php4/files/patch-sapi_apache2handler_sapi_apache2.c
>Что-то пропатчили в php.
>Updating collection ports-lang/cvs
> Checkout ports/lang/php4/files/patch-sapi_apache2handler_sapi_apache2.cВ FreeBSD уже два патча наложили
http://www.freshports.org/lang/php4/
03 Nov 2005 08:17:22
Fix for apache2+mod_rewrite.Obtained from: PHP CVS
01 Nov 2005 21:28:01
Fix pear installation.Spotted by: Sean McNeil <sean@mcneil.com>
Там даже порт php4-4.4.1_1 уже есть... но вот squirrelmail что-то всё-равно работать не захотел от этого =(
у меня с php4-4.4.1_1 и 4.4.1_1 экстэншенами белка заработала, всё остальное, вроде, тоже работает, в dalbum пришлось явно указать директорию /tmp вместо $g_sTemp=ini_get("session.save_path");
Наверное стоит рискнуть и попробовать ещё раз, php 4.4.1_1
Похоже, что порт пофиксили не до конца:http://servous.se/punbb/viewtopic.php?id=280
Перестали работать ЧПУ - выдаётся пустая страница и ругань в логах :(.