URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 4803
[ Назад ]

Исходное сообщение
"OpenNews: Внеплановый релиз PHP 4.3.10 и 5.0.3, проблемы безопасности."

Отправлено opennews , 16-Дек-04 13:08 
Экстренный выход новых релизов PHP 4.3.10 и 5.0.3 обусловлен, обнаружением серьезных уязвимостей (http://www.hardened-php.net/advisories/012004.txt), позволяющих злоумышленнику удаленно запустить свой код на web-сервере (проблема в функциях pack и unpack) и возможности обхода ограничений safe_mode_exec_dir в safe_mode.

URL: http://www.php.net
Новость: http://www.opennet.me/opennews/art.shtml?num=4794


Содержание

Сообщения в этом обсуждении
"Внеплановый релиз PHP 4.3.10 и 5.0.3, проблемы безопасности."
Отправлено Maxim Chirkov , 16-Дек-04 13:08 
Как я люблю php :-[]
С точки зрения безопасности нужно срочно ставить PHP 4.3.10, но при установке выяснилось, что они что-то сломали в массивах (bug-репорт уже кто-то добавил, у меня перестал работать код "foreach ($var_name as $var) {" в Smarty) и по сути PHP 4.3.10 не работает.

Нашел в changelog запись  "Backported Marcus' foreach() speedup patch from PHP 5.x.", перед установкой обязательно оторвите этот патч.

http://bugs.php.net/bug.php?id=31114


"re: 'foreach ($var_name as $var) {'"
Отправлено MiRacLe , 16-Дек-04 14:01 
Быть может твоя проблема не в патче , а zend optimizer (как и у меня) , без него всё работает отлично (тоже заметил на Smarty) , обновление ZO помогло...

"re: 'foreach ($var_name as $var) {'"
Отправлено Maxim Chirkov , 16-Дек-04 14:06 
>Быть может твоя проблема не в патче , а zend optimizer (как
>и у меня) , без него всё работает отлично (тоже заметил
>на Smarty) , обновление ZO помогло...

Да, у мне уже тоже обновление ZendOptimizer помогло. Я и забыл что он у меня болтается.


"Внеплановый релиз PHP 4.3.10 и 5.0.3, проблемы безопасности."
Отправлено klexx , 18-Дек-04 18:31 
Такая же фигня.
Но так до сих пор и не пашет один движок, написанный кривыми программистами..

"Эти дыры иобнаружены два месяца назад"
Отправлено uldus , 19-Дек-04 12:53 
Ужасно то, что эти дыры были в узких кругах известны с начала октября, а массовое сообщение появилось только сейчас. Насколько я помню, это что-то в свете новых веяний законодательства США, которые обязывают разработчиков пару месяцев скрывать дыры, видимо чтобы хакеры успели пронюхать о дыре раньше и сломать кого нужно.

Oct. 08: Notified vendor of addslashes vulnerability
Oct. 14: Vendor reply
Nov. 02: Notified vendor of upload vulnerability
Nov. 04: Vendor reply
Nov. 20: Problems fixed in CVS
Dec. 14: Release of patched versions 4.3.10/5.0.3