|
| 1.2, Teak (?), 17:57, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а почему в cvsup для RELENG_6_3 ничего нового? Не пофиксили что ли?
| | |
| 1.3, h (?), 20:24, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
И где вы там готовый иксплоед для mod_php5 увидели?
"""
Exploit Given : No
"""
и
"""
- --- 2. Exploit ---
SecurityReason will not public official exploit for this issue.
"""
| | |
| |
| 2.27, pavlinux (ok), 16:40, 29/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
 И чё, неможем придумать скриптик который вызовет strfmon()... =)
Мдя... libc не php, - просто так не переустановишь...
Вот вам, ребята БЗДята, работа на следующю недельку.
| | |
| |
| 3.32, Аноним (32), 04:51, 30/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
Святая правда! Это вам не линукс vmsplice ... где работы на две недельки :)
pavlinux - ну не надо в каждом своём посту доказывать что ты дэ.! Мы на слово верим :)
| | |
|
|
| 1.5, leon55 (ok), 22:45, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
правильно говорил мой знакомый: поставил рнр - сам себя хакнул. Говорил как в воду смотрел :).
Я не понимаю менталитета тех людей, которые пишут после всяких таких новостей на рнр.
| | |
| |
| |
| 3.8, max (??), 22:58, 28/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
 Не, ну понятное дело, не фиг писать. А когда появляется новость о деры в питоне - нефиг на питоне писать, руби - нафиг руби. И вообще нафиг все эти языки, все равно в них дыры находят, может лучше с таким подходом в ларек, пивом торговть?
ЗЫ: а вообще казалось бы: при чем тут РНР, ведь дырку нашли в системе и в другой либе, так нет же, нашлись, которые приплели сюда "поставил РНР - хакнул сам себя" - бред сивой кобылы
| | |
| |
| 4.9, Nick (??), 23:02, 28/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >Не, ну понятное дело, не фиг писать. А когда появляется новость о
>деры в питоне - нефиг на питоне писать, руби - нафиг
>руби. И вообще нафиг все эти языки, все равно в них
>дыры находят, может лучше с таким подходом в ларек, пивом торговть?
>
>ЗЫ: а вообще казалось бы: при чем тут РНР, ведь дырку нашли
>в системе и в другой либе, так нет же, нашлись, которые
>приплели сюда "поставил РНР - хакнул сам себя" - бред сивой
>кобылы
5 :)
весьма трезвая оценка.
| | |
| 4.10, leon55 (ok), 23:14, 28/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Не, ну понятное дело, не фиг писать. А когда появляется новость о деры в питоне - нефиг >на питоне писать, руби - нафиг руби. И вообще нафиг все эти языки, все равно в них дыры >находят, может лучше с таким подходом в ларек, пивом торговть?
>ЗЫ: а вообще казалось бы: при чем тут РНР, ведь дырку нашли в системе и в другой либе, >так нет же, нашлись, которые приплели сюда "поставил РНР - хакнул сам себя" - бред сивой >кобылы
О чём Вы бредите, максим? Вы ставите ер ен ер в один ряд с питоном и руби? Вы почитайте для начала новости, связаные с рнр, а потом пенно кричите тут впротивовес правде.
Постарайтесь оспорить "бред сивой кобылы", в том, что установив рнр вы сами себе создаёте брешь в системе, или как я написал "сам себя хакнул"?
| | |
| |
| 5.11, Nick (??), 23:28, 28/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Вы почитайте для начала новости, связаные
>с рнр, а потом пенно кричите тут впротивовес правде.
вы сначала ТЕКУЩУЮ новость почитайте.
Она об ошибке в системной библиотеке, а не в PHP.
PHP полагется на одну функцию и она оказалась дырявой.
И при этом виноват PHP опять?
Стереотипы...
| | |
| |
| 6.22, Кондорий (ok), 03:47, 29/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
Да, попадаются такие программисты, которые "полагаются..."
Хорошо, что бОльшая часть из них ничего серьезного не пишет.
| | |
| 6.24, IIIenapg (?), 06:20, 29/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
В mod_php функция money_format() передает НЕПРОВЕРЕННЫЕ данные в фунцию strfmon(). Это ли пример безопасного программирования?
| | |
|
|
|
|
| 2.7, Nick (??), 22:57, 28/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Я не понимаю менталитета тех людей, которые пишут после всяких таких новостей
>на рнр.
те, кто на нем пишут, не читают такие новости
| | |
| 2.21, Demimurych (?), 03:45, 29/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
 Внимательно читаем новость. И обнаруживаем что пхп к уязвимости никакого отношения не имеет. А приведено как пример того где может использоваться узявимый код
| | |
|
| 1.13, mixadior (??), 23:32, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 вот я тоже не пойму, причем тут php, если дыра совсем в другом приложении. А унылых лоровских мудаков-пхпненавистников уже встречали, обычно это люди довольно темные в вопросах пхп, а просто следуют общепринятому(среди красноглазых лоровских мудаков) мнению.
| | |
| |
| 2.15, Дохтур (?), 00:33, 29/03/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>А унылых лоровских мудаков-пхпненавистников уже встречали, обычно это люди довольно темные в вопросах пхп, а просто следуют общепринятому(среди красноглазых лоровских мудаков) мнению.
давайте вы просто покажете как выглядит на php двумерный массив векторов?
И особенно интересны операции по нахождению совпадающих векторов в этом массиве.
| | |
| |
| 3.16, painbringer (?), 02:08, 29/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
и нахрена человеку в здравом уме двумерный массив векторов в пхп скрипте? конкретную задучу можете привести? иначе это все разговор о сферическом коне в вакууме.
| | |
| |
| 4.17, Дохтур (?), 02:24, 29/03/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>и нахрена человеку в здравом уме двумерный массив векторов в пхп скрипте? конкретную задучу можете привести? иначе это все разговор о сферическом коне в вакууме.
да банально градиентное поле отрисовать.
| | |
| 4.18, aTz (?), 02:28, 29/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
Как это нахрена?
Да все веб-проекты только на этих векторах и держатся, особенно крупные и сильно нагруженные! Без двумерных массивов векторов в наше время никуда! Жаль вот что в пхп не сделали таких массивов, придётся переделывать все сайты на какой-нибудь векторный язык :(
| | |
| |
| 5.20, digger (ok), 03:17, 29/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
Холстяк что ни готовит, всегда получаются пельмени.
На опеннете что ни начнут обсуждать, в итоге всегда php-отстой.
| | |
| 5.31, Дохтур (?), 18:32, 29/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Как это нахрена?
>Да все веб-проекты только на этих векторах и держатся, особенно крупные и
>сильно нагруженные! Без двумерных массивов векторов в наше время никуда! Жаль
>вот что в пхп не сделали таких массивов, придётся переделывать все
>сайты на какой-нибудь векторный язык :(
не, я понимаю что большинству пхп-программеров хватает переменных $a..$f и ещё $i, $j, $k, но жисть на этом не заканчивается :)
Неужели на таком простом языке как php так сложно реализовать такие простые и естественные вещи?
Тем кому не нравятся вектора, могут заменить их на любую сложную структуру. например, описывающую клиента( напр: имя компании, юр. адрес, данные контактного лица итп).
| | |
|
|
|
| 2.19, bobro (?), 03:13, 29/03/2008 [^] [^^] [^^^] [ответить]
| +/– | |
> вот я тоже не пойму, причем тут php, ....
внимательно читаем новость:
"Опасность уязвимость возрастает, так как функция __используется__ в mod_php5,....
для которого уже создан эксплоит, позволяющий выполнить код в системе, через php-скрипт в котором параметры пользователя без __дополнительных__проверок__передаются__в__php__функцию money_format(), работа которой основана на strfmon()."
Мало "кодеров" на похапе пользуется данной функцией ?
Да подавляющее большинство даже не задумается над допольнительными проверками для money_format(). Если встречаешь в коде перлы типа "берем параметр из GET и напрямую суём его в SQL". Ну и какие проверки могут быть для money_format() у такого индивидуума ???
| | |
| |
| 3.23, Eye (?), 04:31, 29/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >посредством сторонних программ, использующих данную функцию
СТОРОННИХ ПРОГРАММ. А не конкретно пхп. Хватит цепляться лишь к одному конкретному примеру. Самим-то не смешно? Кто знает где еще используется эта библиотека... почему бы не в mod_perl? или в питоне где-нибудь? И кто знает в каких функциях и каким проверкам подвергают эти функции "индивидуумы"? Блин, вот такой истинный бред несете... На пхп все поголовно используют эту функцию и не делают проверок, тут вы за всех все знаете... аха..
| | |
|
|
| 1.25, Аноним (25), 07:13, 29/03/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> правильно говорил мой знакомый: поставил рнр - сам себя хакнул. Говорил как в воду смотрел :).
это человек так говорил потому что php неасилили )))))
| | |
| |
| 2.26, leon55 (ok), 10:08, 29/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
>> правильно говорил мой знакомый: поставил рнр - сам себя хакнул. Говорил как в воду смотрел :).
>
>это человек так говорил потому что php неасилили )))))
Вы правы. Тот человек пишет на perl и сайты и системные утилиты с биллингом.
А ер ен ер ему ваш нафиг не сдался.
| | |
| |
| 3.29, Dvorkin (??), 17:44, 29/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
 > Тот человек пишет на perl и сайты и системные утилиты с биллингом.
слушайте, я когда был студентом игрушечный "биллинг" на BASH + expect (+немножко перла и ПХП) написал
будучи теперь уже не студентом и узнав, что такое настоящие сертифицированные билинговые системы (не то г..но, конечно, называющееся TAbilling и иже с ними, покупаемое лишь для отмазки), я вам скажу, что его мнение вы тут написали вообще зря.
и хватит все спихивать на ПХП. ;)
| | |
|
|
| 1.28, pavlinux (ok), 16:49, 29/03/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
А причём тут неправильные программеры на PHP, есть и правильные...
Например, нужно покоцать WEB страницу конкурента...
Покупаем хостинг у того же хостера, 90% что там стоит BSD. :)
И рисуем честный сайт, а там и ............
| | |
| |
| 2.33, Аноним (32), 05:21, 30/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
А всего лишь пару недель ты же утверждал что фришки нигде реально нет ... так когда же ты врал павлинчег, тогда или сейчас ? :)
| | |
| |
| 3.36, pavlinux (ok), 22:19, 30/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
>А всего лишь пару недель ты же утверждал что фришки нигде реально
>нет ... так когда же ты врал павлинчег, тогда или сейчас
>? :)
Тсс, только некому....
Я ведь обещал не рассказывать о будущем, а меня предупреждали, "... - Люди не готовы к этому...".
| | |
|
| 2.34, tiger (??), 11:29, 30/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Например, нужно покоцать WEB страницу конкурента...
>Покупаем хостинг у того же хостера, 90% что там стоит BSD. :)
>
>И рисуем честный сайт, а там и ............
и что, простите, дальше? Если это не говноконторы, торгующие кондомами производства Китай то это будет как минимум дедик.
p.s. думаю что больше 90%.
| | |
| |
| 3.37, pavlinux (ok), 02:58, 31/03/2008 [^] [^^] [^^^] [ответить]
| +/– |
Да хоть Б/У_шными зубочистками, если там деньги есть, значит есть враги!
| | |
| |
| 4.39, tiger (??), 14:31, 01/04/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Да хоть Б/У_шными зубочистками, если там деньги есть, значит есть враги!
если там есть деньги и контора серьезная они КАК МИНИМУМ дедик брать будут. сколько можно врубать идиота и "не понимать" о чем тебе пытаются сказать?
| | |
|
|
|
| 1.30, whyberg (?), 17:48, 29/03/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Странно, уязвимость уже сутки опубликована а на freebsd.org еще ни слова.
очень странно
| | |
| 1.35, zingel (?), 22:01, 30/03/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 рассылку прочитайте, там это за два дня до публикования уязвимости всё это обсуждалось.
| | |
|
