Представлен релиз интерпретатора языка программирования PHP 5.3.6 в котором устранено 6 уязвимостей и исправлено около 100 ошибок (http://www.php.net/ChangeLog-5.php#5.3.7).
Из связанных с безопасностью исправлений в PHP 5.3.6 можно отметить:- Переполнение буфера путем передачи некорректного salt в функцию crypt();
- Возможность подстановки части файлового пути из-за некорректного очищения в функции rfc1867_post_handler имен файлов, передаваемых через multipart/form-data POST-запросы. Атакующий может изменить заданный логикой приложения абсолютный путь и создать или переписать произвольные файлы (CVE-2011-2202 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2202));
- Переполнение стека в функции socket_connect() может быть использовано атакующим для выполнения своего кода через указание излишне длинного файлового пути для Unix-сокета (CVE-2011-193 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1938)8);
- Использование памяти, после её очистки (use-af...URL: http://www.php.net/archive/2011.php#id2011-08-18-1
Новость: http://www.opennet.me/opennews/art.shtml?num=31537
такое впечатление как будто код пхп вовсе не тестируют перед коммитов, и не смотря на это смело говорят о новых версиях...
В ядре Линукс каждый минорный релиз на порядок больше исправлений безопасности.
> В ядре Линукс каждый минорный релиз на порядок больше исправлений безопасности.Больше, только вот объем кода там и там несколько разный.
> Больше, только вот объем кода там и там несколько разный.Сопоставимый. Объемы архивов с исходниками PHP и Linux отличается всего в 5 раз. При том, что сообщения о прикрытых дырках Linux в основном касаются не драйверов, а подсистем самого ядра. Количество разработчиков PHP и Linux я даже сравнивать не буду. Зато объем комментариев от болтунов про "дырявый похапе" превыешает все возможные пределы.
Я на PHP ничего не пишу, есличо.
Вы хостер? :)
бывают тут и хостеры, да.
Проблемы хостеров шерифа не волнуют.
+1 если хостер не может предоставить услуги нужные клиенту, нахрен такой хостер нужен.
> +1 если хостер не может предоставить услуги нужные клиенту, нахрен такой хостер
> нужен.дырявый пхп5.2 или того хуже: пхп4?
во фре, в портах, ручками закрыты уязвимости CVE-2011-1148, CVE-2011-1938, CVE-2011-2202 в 5.3.6 еще 2-а месяца назад...
У меня впечатление, что этот сплошной баг фикс и крахи никогда не закончатся в php.
Как и в любом другом продукте, который продолжают поддерживать.
Если устали от багов переходите на Perl :-))
> Если устали от багов переходите на Perl :-))предпочитаю Python))
все просто! php это результат работы спецслужб! :)бесконечное количество багов и пропаганда среди масс дают возможность контролировать больше половины сайтов в этих ваших интернетах.
> Разработчики напоминают, что ветка PHP 5.2 больше не поддерживается и все находящиеся в ней уязвимости остаются неисправленными,Бэкпортировал исправленные уязвимости в код PHP 5.2.17 (а патчи сделал человек который держит репозиторий centos.alt.ru)
Желающие пропатчить дырявый PHP 5.2.17 могут скачать либо патч безопасности, либо большой патч с багфиксами с http://code.google.com/p/php52-backports/
Также если есть толковые адекватные C++ программеры которые могут бэкпортить быстро фиксы из 5.3 в 5.2.17 и при этом ничего не ломать - то свяжитесь со мной (с этого проекта)
Адекватные С++ программеры посмотрят в код и станут не адекватными. Более того пыхапэ на си