URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 85654
[ Назад ]

Исходное сообщение
"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено opennews , 20-Июл-12 10:15

Представлены (http://www.php.net/archive/2012.php#id2012-07-19-1) внеплановые корректирующие выпуски PHP 5.4.5 и 5.3.15, в которых исправлено более 30 ошибок (http://www.php.net/ChangeLog-5.php) и устранена опасная уязвимость в реализации функции _php_stream_scandir (CVE-2012-2688 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2688)). Подробности об исправленной уязвимости не сообщаются, но судя по патчу (http://permalink.gmane.org/gmane.comp.php.cvs.general/58402), она может привести к переполнению буфера при обработке через интерфейс stream (http://ru2.php.net/manual/en/book.stream.php) специально оформленного содержимого директорий.

Из других исправленных проблем можно отметить крах при использовании определённых salt-значений в хэшах SHA256/512, повреждение памяти при большом числе одновременных вызовов ReflectionMethod, формирование некорректных ссылок на объекты в serialize(), крахи в php-fpm, утечки памяти в расширениях XML Writer и Intl.
URL: http://www.php.net/archive/2012.php#id2012-07-19-1
Новость: http://www.opennet.me/opennews/art.shtml?num=34372

Содержание

Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,me, 10:15 , 20-Июл-12
- Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,rshadow, 10:46 , 20-Июл-12
  - Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,terr0rist, 11:45 , 20-Июл-12
- Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,ананим, 10:48 , 20-Июл-12
  - Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,rshadow, 10:50 , 20-Июл-12
    - Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,ананим, 11:02 , 20-Июл-12
      - Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,kuraga, 11:44 , 20-Июл-12
        
        Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,Аноним, 11:59 , 20-Июл-12
        
        Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,kuraga, 12:09 , 20-Июл-12
        
        (offtopic) ruby,Michael Shigorin, 09:40 , 21-Июл-12
        
        (offtopic) ruby,kuraga, 10:14 , 21-Июл-12
        
        (offtopic) ruby,Michael Shigorin, 11:37 , 21-Июл-12
        
        (offtopic) ruby,kuraga, 14:38 , 21-Июл-12
        
        (offtopic) ruby,Andrey Mitrofanov, 18:11 , 21-Июл-12
      - Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,rshadow, 13:58 , 20-Июл-12
- Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,terr0rist, 11:54 , 20-Июл-12
Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,Нету имени, 10:42 , 20-Июл-12
- Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,terr0rist, 11:49 , 20-Июл-12
  - Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,Аноним, 12:48 , 20-Июл-12
  - Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,Тузя, 23:41 , 20-Июл-12
Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,Medved, 12:41 , 20-Июл-12
- Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,filosofem, 23:29 , 20-Июл-12
  - Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,бедный буратино, 04:45 , 21-Июл-12
- Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,Michael Shigorin, 09:45 , 21-Июл-12
Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,Smile, 23:13 , 20-Июл-12
Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,Аноним, 00:02 , 22-Июл-12
Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости,leo, 12:07 , 30-Сен-13

Сообщения в этом обсуждении

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено me , 20-Июл-12 10:15

> крах при использовании определённых salt-значений в хэшах SHA256/512, повреждение памяти при большом числе одновременных вызовов ReflectionMethod, формирование некорректных ссылок на объекты в serialize(), крахи в php-fpm, утечки памяти в расширениях XML Writer и Intl.
я бы добавил: "Несмотря на это, PHP был и остаётся одним из популярнейших языков для web-разработки"

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено rshadow , 20-Июл-12 10:46

95% веб разработчиков пишут на php

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено terr0rist , 20-Июл-12 11:45

и 100% веб-разработчиков пишут хтмл.
Только количество "веб-разработчиков" не гарантирует качества веб-приложения.

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено ананим , 20-Июл-12 10:48

можно подумать в жабе, дотнете, (что там ещё?) ошибок меньше.

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено rshadow , 20-Июл-12 10:50

http://habrahabr.ru/post/142140/

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено ананим , 20-Июл-12 11:02

про жабу с дотнетом не меньше слезливых откровений и чё?

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено kuraga , 20-Июл-12 11:44

А вот про Руби меньше)))

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено Аноним , 20-Июл-12 11:59

ну, это пока

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено kuraga , 20-Июл-12 12:09

Да, не спорю. Но не факт, что и рубин не будет улучшаться... Хотя с быстродействием ситуация бодрящая.

"(offtopic) ruby"
Отправлено Michael Shigorin , 21-Июл-12 09:40

> А вот про Руби меньше)))
Там главная уязвимость пока -- мисменеджмент выпуска и представления 1.9 :(

"(offtopic) ruby"
Отправлено kuraga , 21-Июл-12 10:14

Простите, о чем речь?..

"(offtopic) ruby"
Отправлено Michael Shigorin , 21-Июл-12 11:37

> Простите, о чем речь?..
Написал было подробней, да стёр.
Релизы 1.6/1.7/1.8 были прекрасно отменеджены (включая shim), а вот с 1.9 что-то непонятное произошло: нестабильную ветку стали использовать для работы (а не только разработки следующих версий фреймворков и прикладухи) -- при том, что на 2.0 были заранее анонсированы заметные несовместимости вследствие выравнивания старых просчётов.
Такое ощущение, что matz духа не хватило гаркнуть на понабежавших торопыг и объяснить, чем это чревато...

"(offtopic) ruby"
Отправлено kuraga , 21-Июл-12 14:38

Спасибо! Пока не в курсе таких вещей...)))

"(offtopic) ruby"
Отправлено Andrey Mitrofanov , 21-Июл-12 18:11

> Спасибо! Пока не в курсе таких вещей...)))
О! Вы ещё позаглядывайте на страничку download проекта rails. С каждым релизом такие интриги... Шекспир и Донцова! "Вышел рейлс vN+0.0.1. Рекомендуется использовать ruby версии ==1.X.Y. Текущая версия 1.X.Y+3 чётт... не того, а на 1.X.Y-1 (от предыдущего релиза) уже не работает совсем-совсем. Никакой речи про ruby 1.X+1 просто не может быть -- оно же "нестабильное", пред-став-ля-ет-е??!"
Вот прям сейчас: ""We recommend Ruby 1.9.3 for use with Rails. Rails 3.2 is the last one that supports Ruby 1.8. Ruby 1.8.6 and earlier are not supported, neither is version 1.9.1.
+++Молодым бойцам -- к обязательному ознакомлению.

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено rshadow , 20-Июл-12 13:58

Ссылки в студию, очень почитать хочется. Тем более ни на чем этом я не пишу.

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено terr0rist , 20-Июл-12 11:54

>> крах при использовании определённых salt-значений в хэшах SHA256/512, повреждение памяти при большом числе одновременных вызовов ReflectionMethod, формирование некорректных ссылок на объекты в serialize(), крахи в php-fpm, утечки памяти в расширениях XML Writer и Intl.
> я бы добавил: "Несмотря на это, PHP был и остаётся одним из
> популярнейших языков для web-разработки"
* internet explorer остаётся одним из популярнейших браузеров
* windows остаётся одной из популярнейших операционных систем
и вообще если человек покупает хостинг и ставит на него жумлу/вордпресс/хз что, ни разу в жизни не программировав ни на пыхе, ни на даже бейсике, причём здесь веб-разработка?

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено Нету имени , 20-Июл-12 10:42

Был, остаётся, и будет оставаться ещё десяток лет минимум, потому как слишком много всего уже сделано, и перманентно отказываться от всего, и начинать переписывать с нуля могут себе позволить только никчёмные анонимные АНАЛитики.

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено terr0rist , 20-Июл-12 11:49

> Был, остаётся, и будет оставаться ещё десяток лет минимум, потому как слишком
> много всего уже сделано, и перманентно отказываться от всего, и начинать
> переписывать с нуля могут себе позволить только никчёмные анонимные АНАЛитики.
Ничего подобного. Переписывать с нуля, может быть, и не имеет смысла, но начинать новые проекты на пыхе в последнее время стали явно меньше. А через года три-четыре пых останется только там, где сидят последние паралитики.

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено Аноним , 20-Июл-12 12:48

Встречаемся здесь через три-четыре года.

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено Тузя , 20-Июл-12 23:41

Что-то слишком оптимистичные прогнозы у вас.

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено Medved , 20-Июл-12 12:41

Непонятно почему тут ругают пыхеров-нубов. Уязвимости пачками находят в самом PHP, а не web-потугах новичков. Понятно, что на любом решении можно написать дырявый сайт. Но вот на PHP невозможно написать безопасный (чтобы можно было поставить и забыть), особенно на винде, где нет автообновления PHP.

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено filosofem , 20-Июл-12 23:29

Нубы пистонисты недовольны нубами пыхапистами, потому что те пишут не на пистоне, из-за чего пистон не используется на каждом первом вэб-сайте, из-за чего в нем не находят дыры каждую неделю.
Пистон разрешаю заменить на Джава, Раби, асп-дот-хрень или что-то еще по вкусу.

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено бедный буратино , 21-Июл-12 04:45

> Нубы пистонисты недовольны нубами пыхапистами, потому что те пишут не на пистоне, из-за чего пистон не используется на каждом первом вэб-сайте, из-за чего в нем не находят дыры каждую неделю.
Логика не свободного, но раба :)

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено Michael Shigorin , 21-Июл-12 09:45

> Непонятно почему тут ругают пыхеров-нубов. Уязвимости пачками находят в самом PHP
Есть такое понятие -- культура, и поговорка такая -- "каков поп, таков и приход".
А начинающим разработчикам на php можно посоветовать почитать старое доброе A Study In Scarlet: http://seclists.org/bugtraq/2001/Jul/att-26/studyinscarlet.txt -- и не замыкаться на одном языке, хотя бы из любопытства поглядывать вокруг.

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено Smile , 20-Июл-12 23:13

у арчеводов как всегда машина времени, пакет пришел еще вчера.

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено Аноним , 22-Июл-12 00:02

А мы на 5.2.17 еще до сих пор живем, хорошо что http://code.google.com/p/php52-backports/ патчи безопасности поставляет регулярно

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Отправлено leo , 30-Сен-13 12:07

Где скачать можно эту версию? мне нужна эта версия или же 5.4.10 - на офф сайте нет возможности ее скачать подскажите пожалуйста