URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 91275
[ Назад ]

Исходное сообщение
"Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сессий"
Отправлено opennews , 17-Авг-13 14:13

Представлены (http://php.net/archive/2013.php#id2013-08-16-1) корректирующие выпуски интерпретатора языка программирования PHP - 5.4.18 и 5.5.2 в которых устранено более 20 ошибок. В обоих выпусках устранена уязвимость в модуле OpenSSL (CVE-2013-4248), вызванная некорректной обработкой символов с нулевым кодом в поле subjectAltName в SSL-сертификатах, что открывает возможности для спуффинга. Кроме того, в выпуске 5.4.18 (в ветке PHP 5.5 данная проблема была устранена в версии 5.5.1) исправлена уязвимость (https://bugs.php.net/bug.php?id=65236) (CVE-2013-4113) в парсере XML, которая позволяет организовать выполнение кода при обработке специально оформленного XML-контента.

Из изменений также можно отметить реализацию поддержки защищённых сессий (https://wiki.php.net/rfc/strict_sessions), позволяющих защититься от атак по перехвату фиксированных идентификаторов пользовательских сессий и подбор идентификаторов через выявление коллизий в алгоритмах генерации идентификаторов сессий. Включение нового режима производится через опцию use_strict_session в php.ini, после чего осуществляется дополнительная проверка инициализации сессии (принимаются только ранее сгенерированные web-приложением сессии) и её корректности по специальному проверочному ключу, что позволяет защититься от атак по использованию перехваченных путём сниффинга идентификаторов сессий.
URL: http://php.net/archive/2013.php#id2013-08-16-1
Новость: http://www.opennet.me/opennews/art.shtml?num=37684

Содержание

Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси...,Kroz, 14:13 , 17-Авг-13
- Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси...,pfffff, 17:11 , 17-Авг-13
Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси...,Аноним, 14:20 , 17-Авг-13
Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси...,Аноним, 17:53 , 17-Авг-13
Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси...,Sylvia, 20:22 , 17-Авг-13
- Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси...,бедный буратино, 03:26 , 18-Авг-13
  - Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси...,mma, 11:46 , 19-Авг-13
    - Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси...,Kibab, 13:42 , 19-Авг-13
      - Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси...,Аноним, 20:05 , 19-Авг-13
        
        Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси...,бедный буратино, 08:19 , 20-Авг-13
        
        Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси...,Аноним, 15:56 , 21-Авг-13
      - Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси...,Аноним, 23:12 , 19-Авг-13

Сообщения в этом обсуждении

"Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."
Отправлено Kroz , 17-Авг-13 14:13

Когда они добавят возможность отслеживания прогресса загрузки файлов? А то всякие костыли приходится юзать.

"Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."
Отправлено pfffff , 17-Авг-13 17:11

http://php.net/manual/ru/session.upload-progress.php

"Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."
Отправлено Аноним , 17-Авг-13 14:20

Extension заюзай и все у тебя будет хорошо
pecl

"Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."
Отправлено Аноним , 17-Авг-13 17:53

Ни прошло и 100 лет!!!
https://github.com/php/php-src/commit/84f9213e00ae624e789ec0...

"Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."
Отправлено Sylvia , 17-Авг-13 20:22

для тех кто напишет "PHP - решето" - CVE-2013-4248 присутствует и в Ruby тоже

"Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."
Отправлено бедный буратино , 18-Авг-13 03:26

Кто напишет "PHP не решето" - тот погрешит против истины.
Ни одна из детских болезней, позволяющих легко и незаметно писать небезопасный код с улыбкой на устах, не исправлена.
А большинство проектов - родом из php <= 5.2, для них новые возможности - как серпом по яйцам, поэтому там делая фабрика по переизобретению колёс, которая безопасности совсем не добавляет.
Поэтому все всё давно поняли, и дальнейшее обсуждение этого животрепещущего вопроса - бесполезно. Не надо провоцировать скандалы.

"Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."
Отправлено mma , 19-Авг-13 11:46

>Ни одна из детских болезней, позволяющих легко и незаметно писать небезопасный код с улыбкой на устах, не исправлена.
Кто должен править твои руки что бы ты писал безопасный код?

"Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."
Отправлено Kibab , 19-Авг-13 13:42

В данном случае правка рук Буратино ничего не изменит -- он, я так понимаю, пхп не использует. А править руки тысячам PHP-кодеров -- задача непосильная для анонимных анатиликов опеннета :-)

"Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."
Отправлено Аноним , 19-Авг-13 20:05

> В данном случае правка рук Буратино ничего не изменит -- он, я так понимаю, пхп не использует.
Изменит-изменит. Он пистон юзает. А это тот же пых, только в профиль.

"Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."
Отправлено бедный буратино , 20-Авг-13 08:19

> Изменит-изменит. Он пистон юзает. А это тот же пых, только в профиль.
Китайский - тот же русский, только в картинках.
Достаточно понимать хотя бы разницу между строгой и нестрогой типизацией, чтобы не нести такой ахинеи.

"Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."
Отправлено Аноним , 21-Авг-13 15:56

Онаним не пониматель, онаним пейсатель на пэхэпэ.

"Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."
Отправлено Аноним , 19-Авг-13 23:12

https://code.google.com/p/naxsi/