The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз PHP 5.3.9

11.01.2012 10:17

Представлен релиз интерпретатора языка программирования PHP 5.3.9 в котором устранено 2 уязвимости и исправлено около 90 ошибок, среди которых устранение проблемы со сборкой mysqlnd и многочисленные изменения в модуле FPM SAPI.

Из связанных с безопасностью исправлений в PHP 5.3.9 можно отметить:

  • Добавлена директива max_input_vars, позволяющая ограничить число входящих параметров для поступающих HTTP-запросов и обходным путём защититься от DoS-атак, эксплуатирующих проблему с предсказуемыми коллизиями в реализации алгоритма хэширования. Сам алгоритм хэширования в ветке 5.3 не изменился и по прежнему содержит потенциальную проблему с безопасностью, которая может быть эксплуатирована другим путем (например, через загрузку файла, элементы которого используются при работе приложения как ключи хэша). Необходимая для полной защиты рандомизация поступающих ключей реализована только в экспериментальной ветке PHP 5.4.
  • Устранено целочисленное переполнение в коде разбора значений в заголовках EXIF, что могло быть использовано для чтения содержимого произвольных областей памяти через передачу специально оформленных изображений в обработчик, использующий PHP-модуль exif;

Кроме того, представлен пятый кандидат в релизы PHP 5.4. Через две недели планируется выпустить ещё одну тестовую версию, после чего в течение февраля будет сформирован финальный релиз. Обзор новшеств PHP 5.4 можно прочитать в анонсе бета-версии.

  1. Главная ссылка к новости (http://www.php.net/archive/201...)
  2. OpenNews: Универсальный способ DoS-атаки, затрагивающий PHP, Java, Ruby, Python и различные web-платформы
  3. OpenNews: Facebook анонсировал виртуальную машину HipHop и JIT-компилятор для языка PHP
  4. OpenNews: Доступен кандидат в релизы PHP 5.4
  5. OpenNews: Проект по бэкпортированию в PHP 5.2.17 исправлений из ветки PHP 5.3
  6. OpenNews: Релиз PHP 5.3.8 с устранением серьёзной проблемы безопасности
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/32775-php
Ключевые слова: php
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (5) RSS
  • 1, Аноним (-), 11:25, 11/01/2012 [ответить]  
  • +/
    >Добавлена директива max_input_vars

    Это уже было в Suhosin

     
  • 2, Аноним (-), 17:58, 11/01/2012 [ответить]  
  • +/
    Для 5.2 версии обновления безопасности то выпустят ?
     
     
  • 5, Денис (??), 05:53, 13/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Патчи для 5.2.17 из srpms можно взять

    http://centos.alt.ru/?p=660
    http://centos.alt.ru/?p=656

     

  • 3, Sw00p aka Jerom (?), 19:07, 11/01/2012 [ответить]  
  • +/
    особенно радует следуюшие баги

    Fixed bug #55510: $_FILES 'name' missing first character after upload.
    Fixed bug #52624 (tempnam() by-pass open_basedir with nonnexistent directory).
    Fixed bug #55582 (mysqli_num_rows() returns always 0 for unbuffered, when mysqlnd is used).
    Fixed bug #55703 (PHP crash when calling mysqli_fetch_fields).

     
     
  • 4, cvsup1 (?), 00:09, 12/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да, я перестал читать после "многочисленные изменения в модуле FPM SAPI."
    каламбур
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру