URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 82756
[ Назад ]

Исходное сообщение
"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."

Отправлено opennews , 02-Фев-12 22:16 
В PHP обнаружена (http://thexploit.com/sec/critical-php-remote-vulnerability-i.../) одна из самых серьёзных уязвимостей за время существования данного языка. Уязвимость проявляется только в PHP 5.3.9 и позволяет удалённому злоумышленнику выполнить свой код на сервере, независимо от того какие PHP-скрипты используются.

По иронии судьбы, уязвимость связанна с некорректным устранением менее опасной проблемы безопасности в прошлой версии PHP (http://www.opennet.me/opennews/art.shtml?num=32775). Для защиты от совершения DoS-атаки, которая может быть вызвана проблемой (http://www.opennet.me/opennews/art.shtml?num=32698) с предсказуемыми коллизиями в реализации алгоритма хэширования, в PHP 5.3.9 была добавлена директива max_input_vars, позволяющая ограничить число входящих параметров для поступающих HTTP-запросов. В реализации данной директивы была допущена досадная ошибка (https://bugs.php.net/bug.php?id=60708), которая сделала возможны...

URL: http://thexploit.com/sec/critical-php-remote-vulnerability-i.../
Новость: http://www.opennet.me/opennews/art.shtml?num=32976


Содержание

Сообщения в этом обсуждении
"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Аноним , 02-Фев-12 22:16 
> Стефан указал на то, что уязвимость в PHP пришлась весьма кстати

Прикольный метод напомнить о себе :)


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Аноним , 02-Фев-12 22:32 
> Это кто такие, помимо самоделкиных (./configure && make all install)?

Все счастливые обладатели дистрибутивов, security team которых портировал исправление уязвиомсти из 5.3.9 в более старые версии.

> "Наш костыль не берут в upstream, возьмите хоть в дебиан".

У проекта PHP всегда было наплевательское отношение к безопасности.

> А ничего, что для python необходимости в подобном проекте нет?

А причем здесь Python ?


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено myhand , 02-Фев-12 23:32 
> Все счастливые обладатели дистрибутивов, security team которых портировал исправление уязвиомсти из 5.3.9 в более старые версии.

Счастливые обладатели подобных дистрибутивов - имеют еще и включенный Suhosin патч (а то еще и расширение).

> А причем здесь Python ?

А чем здесь, казалось бы, должен он быть лучше?


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Аноним , 02-Фев-12 22:38 
>Это кто такие, помимо самоделкиных (./configure && make all install)?

pacman -Ss php
extra/php 5.3.9-1
    An HTML-embedded scripting language


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено myhand , 02-Фев-12 23:11 
Я же написал, кроме самоделкиных: ССЗБ, арчеводов и гентушников просят не беспокоиться.

"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Аноним , 03-Фев-12 00:48 
По логике, самоделкины - как раз мейнтейнеры бинарных дистров, которые сами собирают пакеты, вместо того, чтобы оставлять это пользователям.

"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Аноним , 03-Фев-12 14:34 
> По логике, самоделкины - как раз мейнтейнеры бинарных дистров, которые сами собирают
> пакеты, вместо того, чтобы оставлять это пользователям.

Нет, самоделкины - это те кто за майнтайнеров сам отдувается. В этом случае майнтенанс системы, включая мониторинг дыр - остается на юзверге.


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Crazy Alex , 03-Фев-12 03:42 
Ну так самоделки на продакшн и не расчитаны, по крайней мере - с мордой торчащей во внешний мир.

"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Andrey Mitrofanov , 03-Фев-12 11:00 
Извините, упустил нить... это Вы про PHP? Ж))))))

"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Mimo Shell , 02-Фев-12 22:42 
А ничего что эти поделки Эссера сотоварищи обновляются тогда, когда это угодно левой пятке Стефана? Иногда неделю через после релиза, иногда - через пол-года. ну и причины исключения из Дебиана, по-моему, описаны довольно четко.

"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено myhand , 02-Фев-12 23:19 
> А ничего что эти поделки Эссера сотоварищи обновляются тогда, когда это угодно левой пятке Стефана?

Это как раз не страшно - дебиан не каждые полгода выходит.

> ну и причины исключения из Дебиана, по-моему, описаны довольно четко.

Она там, фактически, одна: 2. It doesn't help our users when reporting bugs to upstream - the
usual answer is - try if that happens with vanilla php.

Сильно-ли поможет, если в дебиане будет более старая версия чем у upstream?  Я наблюдал аналогичную реакцию: "вы пробовали последнюю стабильную версию?"

PS: Вообще, исключение Suhosin - это скорее отдельная целая новость.  И плохая :(


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Аноним , 03-Фев-12 11:35 
> ну и причины исключения из Дебиана, по-моему, описаны довольно четко.

Там только одна причина: «Мы не можем майнтенить PHP, не хватает сил, поэтому шлите пожалуйста свои багрепорты не нам а в апстрим».

Все описанные якобы проблемы как я понял из последующего обсуждения решаются настройкой параметров.


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено myhand , 03-Фев-12 13:20 
> Там только одна причина: «Мы не можем майнтенить PHP, не хватает сил, поэтому шлите пожалуйста свои багрепорты не нам а в апстрим».

Не врите.  Речь там зашла о том, что люди *шлют сами* такие багрепорты.  И их отфутболивают обратно.  Не уверен, что так не будет и без suhosin (если версия будет отличаться от стабильной в апстрим).

> Все описанные якобы проблемы как я понял из последующего обсуждения решаются настройкой параметров.

Есть там еще одна проблема - Стефан.  Было бы у него действительно желание - патч так или иначе интегрировали бы в апстрим.


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Аноним , 03-Фев-12 13:47 
> Есть там еще одна проблема - Стефан.  Было бы у него
> действительно желание - патч так или иначе интегрировали бы в апстрим.

s/желание/прямые руки/


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено myhand , 03-Фев-12 14:46 
Руки у него вроде прямые.  Тут больше "социальные" проблемы.  Ну, переср*лся он там со всеми, понимаешь :)

"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Andrey Mitrofanov , 03-Фев-12 15:22 
>Тут больше "социальные" проблемы.  Ну, переср*лся он там со всеми, понимаешь :)

Ага. ...но объяснить похапэшникам про безопасность не смог. Пичально$))


"Критическая уязвимость в PHP 5.3.9, позволяющая..."
Отправлено arisu , 03-Фев-12 20:21 
> Есть там еще одна проблема — Стефан.  Было бы у него
> действительно желание — патч так или иначе интегрировали бы в апстрим.

человек таки улучшил безопасность. похапэшники, у которых с безопасностью традиционно «мы не знаем, что это» вместо чтобы руками и ногами ухватиться, встали в позу «а ты нас попроси хорошенько, может, мы тогда и соизволим…» по-моему, дальнейшее поведение автора патчей вполне очевидно: «идите-ка вы в задницу, дорогой апстрим. с барабаном, пионерским горном и бравыми песнями.»


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено noname , 03-Фев-12 00:26 
Только обновился и тут такое.

"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Аноним , 03-Фев-12 00:57 
> Та же самая ситуация наблюдается в Red Hat Enterprise Linux 5 и 6, а также в Fedora Linux.

Что-то мне подсказывает, что редхатовские сборки, как обычно, неуязвимы из-за фирменного редхатовского харденинга.


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено myhand , 03-Фев-12 02:10 
А в Debian - как минимум из-за suhosin.  Плюс, выпущено обновление - в отличие от.

"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено playnet , 03-Фев-12 03:09 
> А в Debian - как минимум из-за suhosin.

...который успено выпилен, не?


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено myhand , 03-Фев-12 03:19 
> ...который успено выпилен, не?

"Не".  Выключен он в unstable (sid).  Стабильный релиз, естественно, это никак не затронуло.


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено ghj , 03-Фев-12 06:51 
В Debian вчера ещё обновление свалилось: http://www.debian.org/security/2012/dsa-2403

"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Аноним , 03-Фев-12 18:02 
> В Debian вчера ещё обновление свалилось: http://www.debian.org/security/2012/dsa-2403

"For the oldstable distribution (lenny), no fix is available at this time. Debian/oldstable package php5 is vulnerable."


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Andrey Mitrofanov , 03-Фев-12 18:35 
>> В Debian вчера ещё обновление свалилось
> "For the oldstable distribution (lenny), no fix

И? Развейте же _Вашу_ мысль??

stable тоже "в Debian". В нём -- вчера. _Это обновление появилось _вчера _в _D.

Не пролезаете.


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Andrey Mitrofanov , 03-Фев-12 18:48 
> И? Развейте же _Вашу_ мысль??

Ля, предупреждать же надо, что с соседним тредом разговариваешь.


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Andrey Mitrofanov , 03-Фев-12 18:49 
>> И? Развейте же _Вашу_ мысль??
> Ля, предупреждать же надо, что с соседним тредом разговариваешь.

Но да, поднимем стакан за "фирменного редхатовского харденинга". Не чокаясь.


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Аноним , 03-Фев-12 13:43 
> А в Debian - как минимум из-за suhosin.

Читайте новость. Suhosin не закрывает эту дыру, просто с ним нужен немного другой сплойт.

> Плюс, выпущено обновление - в отличие от.

У редхата тоже выпущено обновление, в тот же день.
Вот только у редхата обновлены все поддерживаемые версии, а у дебиана - далеко не все.
В задницу такую "поддержку".


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено myhand , 03-Фев-12 14:45 
> Читайте новость. Suhosin не закрывает эту дыру, просто с ним нужен немного другой сплойт.

Ага, совсем "немного".  Фантазер.

> Вот только у редхата обновлены все поддерживаемые версии, а у дебиана - далеко не все.

Не все.  Буратины, которые не вкурсе что поддержка Lenny закончится через 3 дня - пока подождут.

> В задницу такую "поддержку".

Люди делают качественную работу, причем на хорошем уровне (чуть даже быстрее RHEL иногда, как в этот раз) и бесплатно.  Только форумные тролли вроде тебя считают, что им кто-то что-то должен и писают фонтаном от того, что им дали объедки со стола клиентов RHEL в виде обновлений для CentOS и прочих клонов.


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Аноним , 03-Фев-12 15:33 
> Ага, совсем "немного".  Фантазер.

Вы таки утверждаете, что suhosin дает 100% гарантию от этой дыры?

> Не все.  Буратины, которые не вкурсе что поддержка Lenny закончится через 3 дня - пока подождут.

Важно их отношение к безопасности. В следующий раз будет "Буратины, которые не вкурсе что поддержка squeeze закончится через год - пока подождут. Ну и хрен с ним, что критическая дыра. Нам как-то влом."

> Люди делают качественную работу, причем на хорошем уровне

В RHEL - да.
А про дебиан такое теперь не скажет даже самый лживый демагог. Свое отношение к пользователям они продемонстрировали четко и недвусмысленно.


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено myhand , 03-Фев-12 15:57 
> Вы таки утверждаете, что suhosin дает 100% гарантию от этой дыры?

100% гарантии раздают только мошейники.  Но вероятность эксплуатации уязвимости - да, близка к 0.  Это я еще не упомянул что DEB_BUILD_HARDENING включен.

> Важно их отношение к безопасности. В следующий раз будет

Вот когда "будет" - тогда и скажете.  Обновление для Lenny уже давным давно доступно в CVS.  Лень проверять - может уже и выгрузили.

> В RHEL - да.
> А про дебиан такое теперь не скажет даже самый лживый демагог. Свое
> отношение к пользователям они продемонстрировали четко и недвусмысленно.

Тем что выпустили обновление, как нередко бывает, вперед RHEL? :)  Мне нравится такое отношение.


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Аноним , 03-Фев-12 18:04 
> Вот только у редхата обновлены все поддерживаемые версии, а у дебиана - далеко не все.

O_O нихрена себе вборс.


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Andrey Mitrofanov , 03-Фев-12 18:46 
>> Вот только у редхата обновлены все поддерживаемые версии, а у дебиана - далеко не все.
> O_O нихрена себе вборс.

Он прав же. Ср.:

https://rhn.redhat.com/errata/RHSA-2012-0093.html
    "available for Red Hat Enterprise Linux 4, 5 and 6."

http://www.debian.org/security/2012/dsa-2403
    "For the oldstable distribution (lenny), no fix is available at this time."

+++Они опять убили Ленни, сволочи!
---А обещали ещё _целых_ _три_ _дня_ поддержки oldstable.


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено myhand , 03-Фев-12 19:08 
> +++Они опять убили Ленни, сволочи!
> ---А обещали ещё _целых_ _три_ _дня_ поддержки oldstable.

Не кормите троллей.  Обновление для oldstable было доступно еще утром.


"Критическая уязвимость в"
Отправлено Andrey Mitrofanov , 03-Фев-12 20:06 
> Не кормите троллей.  Обновление для oldstable было доступно еще утром.

Да ну нафиг...
     php5_5.2.6.dfsg.1-1+lenny16.dsc 03-Feb-2012 14:56
Это 18:56 по Москве, то есть за _12_(?!) минут до твоего поста.


"Критическая уязвимость в"
Отправлено myhand , 03-Фев-12 21:39 
>> Не кормите троллей.  Обновление для oldstable было доступно еще утром.
> Да ну нафиг...
>      php5_5.2.6.dfsg.1-1+lenny16.dsc 03-Feb-2012 14:56
> Это 18:56 по Москве, то есть за _12_(?!) минут до твоего поста.

Смотрел дату метки релиза в CVS.  Таки не кормите ;)


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Аноним , 03-Фев-12 06:26 
Это как с полковником кольтом. Вот раньше были сишники, удел которых был писать серьёзные софты, в том числе всякие сетевые. И был бейсик с паскалем, где ютились начинающие софтописатели и те, кто по какойто причине остановился в прогрессе. Любой сишник мог всегда опустить вторых. И вот появился PHP c JAVA и уровнял всех в правах. Теперь мало кто пишет софт для сети на сях, зато даже начинающий школьник может начать писАть на PHP и JAVA.

"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Аноним , 03-Фев-12 09:08 
>Теперь мало кто пишет софт для сети на сях, зато даже начинающий школьник может начать писАть на PHP и JAVA.

Но язык - лишь инструмент и результат начинающего школьника похож на го#но.


>И вот появился PHP c JAVA и уровнял всех в правах.

Так кажется только при поверхностном и беглом анализе (плохо, если вы этим довольствуетесь), поэтому это не отражает суть. Никогда noobies не равно hackers. Но потребители дешевого кода гоняются за дешевизной и ширпотребом (и школ пойдет если за 2 копейки).


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено AdVv , 06-Фев-12 23:02 
> Это как с полковником кольтом. Вот раньше были сишники, удел которых был
> писать серьёзные софты, в том числе всякие сетевые. И был бейсик
> с паскалем, где ютились начинающие софтописатели и те, кто по какойто
> причине остановился в прогрессе. Любой сишник мог всегда опустить вторых. И
> вот появился PHP c JAVA и уровнял всех в правах. Теперь
> мало кто пишет софт для сети на сях, зато даже начинающий
> школьник может начать писАть на PHP и JAVA.

Я тебе еще раз повторю для верности, PHP написан на С, языке, который предлагает массу возможностей отстрелить себе ногу. Ошибку сделал не "начинающий софтописатель" а "сишник, удел которых был писать серьёзные софты". Судя по твоей логике виноват в этом PHP. Как в анекдоте про лису, которая родила поросят потому что все мужики - свиньи. Твой удел - цирковой артист, использующий приемы гротеска и буффонады.


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Аноним , 03-Фев-12 06:32 
PHP - самый популярный язык в вебе. Он по-своему ужасен и не логичен, имеет постоянные проблемы и критические уязвимости, но сайтостроители хавают.
Windows - самая популярная ОС для домашних ПК. Она по-своему ужасна и не логична, имеет постоянные и критические уязвимости, но домохозяйки хавают.
Видимо секрет успеха не в том, чтобы все стабильно работало, не в гибкости и расширяемости системы, а, наоборот, в очевидных ограничениях и трудностях, ну и плюс маркетинг и пиар.

Все-таки в дерьме что-то есть, миллионы мух не могут ошибаться (с) Станислав Ежи Лец.


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено SubGun , 03-Фев-12 10:37 
Что ж, за ушлый вы народ,
Прямо оторопь берет.
Всяк другого мнит уродом,
Несмотря, что сам урод.
(с) Сказ про Федота-Стрельца

"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Maris , 03-Фев-12 12:26 
Приравнивать популярность PHP со стороны пиара и маркетинга к Windows не совсем корректно. За масштабами пиара и маркетинга, а также усилиями Microsoft по внедрению своего OS в notebooks и учебные заведения (бесплатные лицензии), стоят миллионы а может и миллиарды. Популярность PHP по таким критериям никак несравнима с популярностью windows.

"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено AdVv , 06-Фев-12 22:47 
> Приравнивать популярность PHP со стороны пиара и маркетинга к Windows не совсем
> корректно. За масштабами пиара и маркетинга, а также усилиями Microsoft по
> внедрению своего OS в notebooks и учебные заведения (бесплатные лицензии), стоят
> миллионы а может и миллиарды. Популярность PHP по таким критериям никак
> несравнима с популярностью windows.

Ты не улавливаешь суть, у посредственностей всегда есть желание выделиться, почувствовать себя уникальным, принадлежащим к элитарному меньшинству. Чтобы потом погнуть пальцы, брезгливо морщить нос и кидаться фекалиями. И не важно что будет выбрано в качестве мишени, Дима Билан, PHP или Windows, это все явления одного порядка.


"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Отправлено Аноним , 03-Фев-12 08:55 
Еще одно доказательство старой истины- программирование это процесс устранения одних ошибок и добавление других.

"Критическая уязвимость в PHP, позволяющая выполнить код на с..."
Отправлено Аноним , 03-Фев-12 11:45 
МНЕ КАЖЕТСЯ, что я нашёл ещё одну уязвимость в PHP-5. (Fedora 16+SELinux. php-код вешает MySQL-сервер из PHP, перестают работать все виртуалхосты, зависимые от MySQL) Я не слишком разбираюсь в этом и не уверенн, что это баг (может быть я попытался сделать неправильное действие), но всё-же на всякий случай наверное стоило-бы сообщить разработчикам. Скажите пожалуйста куда обратиться с предполагаемым багом.

"Критическая уязвимость в PHP, позволяющая выполнить код на с..."
Отправлено Аноним , 03-Фев-12 12:10 
если не слишком разбираешься, то и не нужно писать. возможно, об ошибку уже знаю, поищи на англоязычном багтрекере. прочитай английский howto как правильно сообщать об ошибках. и только если будешь все готов сделать правильно, то пиши. в федора ошибок в любом случае немеряно.

"Критическая уязвимость в PHP, позволяющая выполнить код на с..."
Отправлено Michael Shigorin , 04-Фев-12 19:57 
> Скажите пожалуйста куда обратиться с предполагаемым багом.

https://bugzilla.redhat.com


"Критическая уязвимость в PHP, позволяющая выполнить код на с..."
Отправлено Аноним , 03-Фев-12 12:08 
в каких дистрибутивах используется уязвимая версия php? что-то мне кажется не так много их.

"Критическая уязвимость в PHP, позволяющая выполнить код на с..."
Отправлено Аноним , 03-Фев-12 12:37 
> в каких дистрибутивах используется уязвимая версия php? что-то мне кажется не так
> много их.

В половине. Многие дистрибутивы эту пресловутую защиту от DoS-атаки портировали и за одним новую дыру открыли.


"Критическая уязвимость в PHP, позволяющая выполнить код на с..."
Отправлено Аноним , 03-Фев-12 13:39 
Дебиановцы, как всегда, отличаются прекрасным качеством поддержки:
> For the oldstable distribution (lenny), no fix is available at this time.

Если не собираешься поддерживать свои продукты, нафига людей обманывать?


"Критическая уязвимость в PHP, позволяющая выполнить код на с..."
Отправлено Аноним , 03-Фев-12 13:40 
Народ, скажите пожалуйста, как сильно отстает remi репозиторий от выпуска самых последних апдейтов php?

"Критическая уязвимость в PHP, позволяющая выполнить код на с..."
Отправлено ILYA INDIGO , 03-Фев-12 15:21 
Ожидал ещё вчера релиза 5.4.0, а тут на тебе...
Как говориться хотели как лучше, а вышло как всегда!
Радует что я сначала обновился до 5.3.10, но офф сайте так и не понял причину обновления, а тут уже потом прочитал её.
Хоть что то на openSUSE собирают мгновенно :)

"Критическая уязвимость в PHP, позволяющая выполнить код на с..."
Отправлено Анонист , 04-Фев-12 00:49 
на фре не запашет там есть фаршировка рандумизации адресации

"Критическая уязвимость в PHP, позволяющая выполнить код на с..."
Отправлено Аноним , 05-Фев-12 23:05 
в Fedora 16 до сих пор не обновили. Уже три дня прошло.

"Критическая уязвимость в PHP, позволяющая выполнить код на с..."
Отправлено Аноним , 07-Фев-12 19:07 
Уже ПЯТЬ дней - и в Fedora 16 так и нет обновления.

"Критическая уязвимость в PHP, позволяющая выполнить код на с..."
Отправлено Аноним , 11-Фев-12 22:58 
В итоге обновил 10 января. 8-го ещё не было обновления, а вот 9-го не помню проверял ли.

"Критическая уязвимость в PHP, позволяющая выполнить код на с..."
Отправлено Ne01eX , 06-Фев-12 08:27 
А чё альты такие расслабленные? У них-то как раз очки ломы должны перекусывать, - php5-5.3.8.20110823-alt2 до сих пор.

P.S. Райдеру привет =)