URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 36668
[ Назад ]

Исходное сообщение
"OpenNews: Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"

Отправлено opennews , 09-Фев-07 10:05 
Объявлено о выходе релиза PHP 5.2.1 (http://www.php.net/releases/5_2_1.php), в котором исправлено 19 ошибок связанных с безопасностью и около 180 других недоработок. О дате выхода PHP 4.4.5, в котором присутствуют теже проблемы безопасности, пока ничего не известно.


Изменения связанные с безопасностью:


-  Обход safe_mode и open_basedir в через расширение session;
-  Добавлена защита от индексирования phpinfo() страниц поисковыми системами;
-  Ряд проблем в обработке входного потока в расширении filter;
-  Уязвимость в коде функции unserialize() на 64 bit системах;
-  Переполнение буфера и порча содержимого стека в расширении session;
-  Способ вызова функции внутреннего API sapi_header_op();
-  Серия проблем связанных с распределением памяти;
-  Переполнение стека в расширениях zip, imap и sqlite;
-  Несколько переполнений буферов в потоковых фильтрах;
-  Отсутствие проверки пользовательского ввода в функциях освобождения ресурсов в расширении shmop;
-  Переполнение буфера в функции str_replace();
-  Возможность изменения значений системных глобальных переменных в некоторых блоках кода;
-  Утечка информации в расширении wddx;
-  Ошибка форматирования строки в функциях *print() на 64-битных системах;
-  Переполнение буфера внутри функций mail() и ibase_{delete,add,modify}_user();
-  Ошибка форматирования строки в функции odbc_result_all();
-  Memory limit теперь включен по умолчанию  и равен 128Мб.
-  Добавлены средства защиты от переполнения кучи;
-  В расширении filter добавлена поддержка $_SERVER в CGI и apache2 SAPI.

В заключение, несколько новых статей связанных с PHP:

-  "How to internationalize your PHP apps (http://www-128.ibm.com/developerworks/library/os-php-intl/in...)" - материал про создание многоязычных PHP скриптов;-  "Cook up Web sites fast with CakePHP, Part 5: Adding cache (http://www-128.ibm.com/developerworks/opensource/library/os-.../)" - использование кэширования для повышение производительности скриптов на базе MVC фреймворка CakePHP;-  "Use Ajax with PHP and DB2 9 - Xajax (http://www-128.ibm.com/developerworks/db2/library/techarticl.../)";-  "Pull parsing XML in PHP (http://www-128.ibm.com/developerworks/xml/library/x-pullpars...)" - обработка XML данных в PHP средствами библиотеки XMLReader;-  "Выполнение PHP-приложений в Apache Geronimo (http://www.ibm.com/developerworks/ru/edu/os-dw-os-ag-tomcatp...)" - перевод руководства по использованию PHP Java Bridge для запуска PHP скриптов на J2EE сервере, обеспечивая совместное использование сессий сценариями PHP и JSP.


URL: http://www.php.net/releases/5_2_1.php
Новость: http://www.opennet.me/opennews/art.shtml?num=9796


Содержание

Сообщения в этом обсуждении
"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено leon55 , 09-Фев-07 10:05 
Радует, что новость написана с акцентом на исправление ошибок безопасности.
Но у себя на своих серверах пока боюсь ставить что-либо серьознее <?php echo "H W" ?>. А вообще перл рулит :)

"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено Квагга , 11-Фев-07 15:00 
Теперь ясно, отчего со скандалом "ушёл" из PHP "офицер по безопасности".
Помню жаркие споры в его защиту.

"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено tug , 09-Фев-07 10:31 
Наверное наступило время, когда нужно прекращать обновление четверки, как кто считает?

"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено _Nick_ , 09-Фев-07 11:53 
PHP-4.4.4   17 Aug 2006

там куча проблем, и секурити в том числе. Их даже в отдельных дистрах уже давно запатчили.
....но до сих пор нет 4.4.5 от производителя....

Твое "предложение" уже давно правильно для PHP Team. На 4-ку уже давно забили. Даже вон 6-ой раскуривают. Так что, с 4-ки пора сползать....


"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено _Nick_ , 09-Фев-07 12:06 
упс
очепяточка

s#правильно#правило"


"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено _Nick_ , 09-Фев-07 12:07 
млин...
руки не мыл с утра что-ли....

s/s#правильно#правило"/s#правильно#правило#/


"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено leopardo , 09-Фев-07 12:07 
К сожалению, на сегодняшний день очень много написано именно под 4 версию PHP. Многие провайдеры если и ставят 5 версию, то обновляют её через релиз - два :( . ИМХО: Так как обновления связанные с безопасностью для 4 версии выпускаются оч. редко (а проблем в нем немало), разработчики PHP должны заявить о прекращении поддержки PHP 4 и рекомендовать переход на 5 версию, а не провоцировать его.

"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено replicant , 09-Фев-07 10:41 
Реальное наблюдение номер раз после перехода с 5.2.0 на 5.2.1:

стало кушать много больше пама (Fatal error: Allowed memory size of 16777216 bytes exhausted (tried to allocate 252007 bytes) in .../class_db_mysql.php on line 475)

при этом все скрипты реально работали на 5.2.0 с установками в memory_limit 8M


"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено Аноним , 09-Фев-07 10:44 
Это официальный вопрос от команды php-devel?  :-)))

"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено SubGun , 09-Фев-07 10:44 
Интересно, как скоро в порты добавят? Пока не видно.

"Интересно, как скоро в порты добавят? Пока не видно. "
Отправлено Квагга , 11-Фев-07 22:31 
Видно, видно.

"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено Demimurych , 09-Фев-07 10:53 
Угу и еще 158 проблем безопасности осталось.

"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено _Nick_ , 09-Фев-07 12:13 
на самом деле, намного больше.... :|

"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено Квагга , 11-Фев-07 15:06 
>на самом деле, намного больше.... :|

Ничего страшного. После ухода этого полудурка все придёт в норму за месяц.


"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено _Nick_ , 09-Фев-07 11:54 
Макс, поправь ошибочку:

"...и open_basedir в через расширение..."


"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено Sergey A. Bulba , 11-Фев-07 16:18 
Я бы уже давно перешёл на 5, но пока не даёт покоя вопрос о совместимости. Может кто подкинет ссылочек на обсуждения и/или статьи. Насколько безполезненно я переползу с 4.4.4 на 5.2.1. Вопрос для меня очень актуален, а времени погуглить пока нет. Вот так урывками по новостям и по слухам собираю инфу :)

"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено Stas , 12-Фев-07 12:16 
Проблемы при переходе с 4 на 5 скорее будут чем нет. Мы вот недавно переводили один сайтик - проблема вылезла в таком месте где ее совсем не ждали. Правда в данном конкретном случае я склонен винить не изменения в PHP а кривые руки девелопера, который непонятно зачем юзал session.save_path, но суть в том что при переходе с 4 на 5 по-любому надо полностью тестить сайты.

"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено _Nick_ , 12-Фев-07 12:18 
>но суть в том что при переходе
>с 4 на 5 по-любому надо полностью тестить сайты.

дельный совет


"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено Антон , 13-Фев-07 10:59 
Так пишите сайты правильно и не будет проблем с сменой версии, нормально написаный код не привязан к версии.

"Релиз PHP 5.2.1, исправлено 16 проблем безопасности !"
Отправлено cobain , 14-Фев-07 17:46 
> Проблемы при переходе с 4 на 5 скорее будут чем нет.

Пробовали переползать, часто перестают работать скрипты из-за неправильного применения обьектов типа класс и подобных некритичных для 4-й версии ошибок девелоперов. Также перестают работать старые скрипты скомпиленные под ZendOptimizer, им не правится версия PHP API.