The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление PHP 5.6.6, 5.5.22 и 5.4.38 с устранением уязвимостей

20.02.2015 11:27

Доступны корректирующие выпуски языка программирования PHP 5.6.6, 5.5.22 и 5.4.38, в которых устранены две уязвимости и исправлено более 20 ошибок. Уязвимость CVE-2015-0235 связана с возможностью проведения атаки GHOST из-за прямой передачи аргументов gethostbyname() в соответствующую функцию Glibc. Уязвимость CVE-2015-0273 вызвана обращением к уже освобождённым областям памяти при декодировании данных DateTimeZone через вызов unserialize().

В новых выпусках также прекращена поддержка многострочных заголовков, объявленных устаревшими в RFC 7230. В функции exec, system и passthru добавлена защита от манипуляций с данными, содержащими символ с нулевым кодом. Из проблем, которые вероятно имеют отношение к безопасности, но явно об этом не заявлено, можно отметить переполнение буфера в функции enchant_broker_request_dict(), двойной вызов функции free для освобождения памяти в расширении Fileinfo, крах FPM при закрытии сокета сервером, обращение к уже освобождённой области памяти в дополнении Phar.

Кроме того, можно отметить публикацию компанией Facebook первого варианта спецификации для языка программирования Hack, который обратно совместим с PHP и расширяет синтаксис PHP поддержкой статической типизации и ряда расширенных возможностей, заимствованных из других языков программирования, таких как обобщения (generics по образу C# и Java), null-значения, коллекции, Lambda-выражения, механизмы асинхронного программирования, составные shape-структуры и средства для переопределения имён типов. Код на языке Hack выполняется с использованием виртуальной машины HHVM (HipHop Virtual Machine).

  1. Главная ссылка к новости (http://php.net/archive/2015.ph...)
  2. OpenNews: Обновление PHP 5.6.5, 5.5.21, 5.4.37 с устранением уязвимостей
  3. OpenNews: Проект Wikipedia перешёл на использование HHVM для выполнения PHP-кода
  4. OpenNews: Около 74% установок PHP содержат проблемы с безопасностью
  5. OpenNews: Facebook представил Hack, вариант языка PHP со статической типизацией
  6. OpenNews: Facebook открыл код транслятора из языка Hack в PHP. Обновление PHP 5.6.3, 5.5.19 и 5.4.35
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/41696-php
Ключевые слова: php
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (7) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 14:24, 20/02/2015 [ответить]  
  • +2 +/


    Кроме того, можно отметить публикацию компанией Facebook первого варианта спецификации для языка программирования Hack


    Опять опеннетовская "фича" - две напрочь разные новости - в одном флаконе. Бл, апруверы, вы там что, уху ели? Hack - тyпo другой язык и рантайм. Нафига ж так валить в кучу?
     
     
  • 2.2, A.Stahl (ok), 14:28, 20/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не вижу ничего плохого в том, чтобы объединить две довольно скучные новости.
    ПХПисты справились с уязвимостью? Ну ок. Что тут ещё сказать?
    Фейсбук опубликовала доку по очередному NIH-язычку? Ну и хрен с ними.
    Новости такого сорта можно вообще накапливать в течение недели, а потом вываливать одной статьёй.
     
     
  • 3.3, cmp (ok), 15:14, 20/02/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ога, новости про очередную версию "чего там у вас крутится" можно публиковать раз в два года ввиде одной строки - вышла версия блаблаблатона несовместимая с другими.
     
     
  • 4.4, Аноним (-), 20:09, 20/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ога, новости про очередную версию "чего там у вас крутится" можно публиковать
    > раз в два года ввиде одной строки - вышла версия блаблаблатона
    > несовместимая с другими.

    Бегущей строкой в статус баре браузера 1 раз в год

     
  • 3.6, manchester (?), 15:37, 22/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    но в 1 строку смешивать мух с г****м НЕ нужно - тогда уж делайте 2 разные новости!!!
     
  • 3.7, Аноним (-), 17:57, 23/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Новости такого сорта можно вообще накапливать в течение недели, а потом вываливать одной статьёй.

    Если новостей сотня в день - это было бы ок. А если вместо 2 новостей в день станет 3 - мы это явно сможем пережить.

     

  • 1.5, Есюки (?), 22:08, 20/02/2015 [ответить]  
  • +1 +/
    Это надо в полезные советы:
    "Обновите Пых=Пых. Закрыли очередную порцию уязвимостей."

    И все!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру