The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Внеплановый релиз PHP 4.3.10 и 5.0.3, проблемы безопасности.

16.12.2004 00:35

Экстренный выход новых релизов PHP 4.3.10 и 5.0.3 обусловлен, обнаружением серьезных уязвимостей, позволяющих злоумышленнику удаленно запустить свой код на web-сервере (проблема в функциях pack и unpack) и возможности обхода ограничений safe_mode_exec_dir в safe_mode.

При переходе на 4.3.10 обязательно, если используется, обновите ZendOptimizer, иначе наблюдаются проблемы с foreach циклами.

  1. Главная ссылка к новости (http://www.php.net...)
  2. PHP 5.0.3 ChangeLog
  3. PHP 4.3.10 ChangeLog
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/4794-php
Ключевые слова: php
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (5) RSS
  • 1, Maxim Chirkov (ok), 13:08, 16/12/2004 [ответить]  
    		• +/
    Как я люблю php :-[]
    С точки зрения безопасности нужно срочно ставить PHP 4.3.10, но при установке выяснилось, что они что-то сломали в массивах (bug-репорт уже кто-то добавил, у меня перестал работать код "foreach ($var_name as $var) {" в Smarty) и по сути PHP 4.3.10 не работает.

    Нашел в changelog запись  "Backported Marcus' foreach() speedup patch from PHP 5.x.", перед установкой обязательно оторвите этот патч.

    http://bugs.php.net/bug.php?id=31114

     
  • 2, MiRacLe (?), 14:01, 16/12/2004 [ответить]  
    		• +/
    Быть может твоя проблема не в патче , а zend optimizer (как и у меня) , без него всё работает отлично (тоже заметил на Smarty) , обновление ZO помогло...
     
     
  • 3, Maxim Chirkov (ok), 14:06, 16/12/2004 [^] [^^] [^^^] [ответить]  
    		• +/
    >Быть может твоя проблема не в патче , а zend optimizer (как
    >и у меня) , без него всё работает отлично (тоже заметил
    >на Smarty) , обновление ZO помогло...

    Да, у мне уже тоже обновление ZendOptimizer помогло. Я и забыл что он у меня болтается.

     

  • 4, klexx (?), 18:31, 18/12/2004 [ответить]  
    		• +/
    Такая же фигня.
    Но так до сих пор и не пашет один движок, написанный кривыми программистами..
     
  • 5, uldus (ok), 12:53, 19/12/2004 [ответить]  
    		• +/
    Ужасно то, что эти дыры были в узких кругах известны с начала октября, а массовое сообщение появилось только сейчас. Насколько я помню, это что-то в свете новых веяний законодательства США, которые обязывают разработчиков пару месяцев скрывать дыры, видимо чтобы хакеры успели пронюхать о дыре раньше и сломать кого нужно.

    Oct. 08: Notified vendor of addslashes vulnerability
    Oct. 14: Vendor reply
    Nov. 02: Notified vendor of upload vulnerability
    Nov. 04: Vendor reply
    Nov. 20: Problems fixed in CVS
    Dec. 14: Release of patched versions 4.3.10/5.0.3

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру