The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В PHP 4.4.2 и 5.1.2 найдены новые проблемы безопасности.

25.04.2006 17:47

Обнаружены три новые уязвимости в PHP 4.4.2 и 5.1.2:

  • Потенциальная возможность исполнения кода злоумышленника через переполнения буфера в функции wordwrap(), при передаче на вход специально сформированной строки большого размера (превышающего по размер по умолчанию выделяемой wordwrap() области памяти, примерно 1 Мб). В качестве решения рекомендуется ограничить размер входных данных через "php_admin_value post_max_size 512K";
  • DoS через быстрый расход памяти, используя функцию array_fill(). Для защиты достаточно использовать разумное memory_limit ограничение в php.ini;
  • DoS при сравнении использовании функции substr_compare(), в качестве длинны строки указав значения выходящее за допустимые границы.

    Примечательно, что разработчики PHP были уведомлены о данных проблемах 45 дней назад, ответ до сих пор не получен, исправления не вышли.

    1. Главная ссылка к новости (http://www.infigo.hr/hr/in_foc...)
    2. OpenNews: Несколько новых уязвимостей в PHP 4.4.2 и 5.1.2
    3. secunia.com: PHP "wordwrap()" Buffer Overflow Vulnerability
    Лицензия: CC BY 3.0
    Источник: secunia.com
    Короткая ссылка: https://opennet.ru/7393-php
    Ключевые слова: php, security
    При перепечатке указание ссылки на opennet.ru обязательно


    Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 12:17, 26/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Нда. Что-то в php security team сломалось :(
     
  • 1.2, Аноним (-), 13:37, 26/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    а работало? :-)
     
  • 1.3, Samm (?), 16:24, 26/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    ну вобщем-то да, работало. Когда-то репорт который я высылал был за 4 дня обработан.
     
  • 1.4, nuclight (?), 18:38, 26/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    PHP - говно, в очередной раз убеждаюсь. Мало того, что язык кривой, так еще и на безопасность совсм положили...
     
     
  • 2.5, Ку (?), 22:28, 26/04/2006 [^] [^^] [^^^] [ответить]  
    		• +/
    PHP - это язык?
     

  • 1.7, GhostKS (?), 11:38, 27/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    PHP - язык програмирования, хоть и интерпритатор
     
     
  • 2.9, Userr (?), 00:16, 28/04/2006 [^] [^^] [^^^] [ответить]  
    		• +/
    Вы сделали две ошибки в простейшем предложении.
    Признайтесь, вы программируете на PHP? :)
     

  • 1.8, Аноним (-), 23:27, 27/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    г-н nuclight не будете ли вы так любезны предложить альтернативу? Вы виндузятник? Так и сосите свой asp. Динозавров тоже не предлагать.
     
     
  • 2.10, Userr (?), 00:18, 28/04/2006 [^] [^^] [^^^] [ответить]  
    		• +/
    Вас не устраивает Perl? Чем именно?
     
  • 2.11, deklael (?), 16:11, 28/04/2006 [^] [^^] [^^^] [ответить]  
    		• +/
    JSP?
     

  • 1.13, Аноним (-), 06:24, 30/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    PHP заточен под Вёб. И поэтому он интерпритатор(я так думаю). А вот в данных дырах выиноваты кодеры, которые выделели 1мб памяти на си, а ПХП здесь не причём. Все вопросы к разработчикам библиотеки!
     
  • 1.14, Logka (??), 15:35, 09/10/2006 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    php - за 24 дня! :))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру