Релиз PHP 5.2.1, исправлено 16 проблем безопасности !

09.02.2007 09:15

Объявлено о выходе релиза PHP 5.2.1, в котором исправлено 19 ошибок связанных с безопасностью и около 180 других недоработок. О дате выхода обновления PHP 4.4.5, в котором будут устранены идентичные проблемы безопасности, пока ничего не известно.

Изменения связанные с безопасностью:

Обход safe_mode и open_basedir через расширение session;
Добавлена защита от индексирования phpinfo() страниц поисковыми системами;
Ряд проблем в обработке входного потока в расширении filter;
Уязвимость в коде функции unserialize() на 64 bit системах;
Переполнение буфера и порча содержимого стека в расширении session;
Способ вызова функции внутреннего API sapi_header_op();
Серия проблем связанных с распределением памяти;
Переполнение стека в расширениях zip, imap и sqlite;
Несколько переполнений буферов в потоковых фильтрах;
Отсутствие проверки пользовательского ввода в функциях освобождения ресурсов в расширении shmop;
Переполнение буфера в функции str_replace();
Возможность изменения значений системных глобальных переменных в некоторых блоках кода;
Утечка информации в расширении wddx;
Ошибка форматирования строки в функциях *print() на 64-битных системах;
Переполнение буфера внутри функций mail() и ibase_{delete,add,modify}_user();
Ошибка форматирования строки в функции odbc_result_all();
Memory limit теперь включен по умолчанию и равен 128Мб.
Добавлены средства защиты от переполнения кучи;
В расширении filter добавлена поддержка $_SERVER в CGI и apache2 SAPI.

По поводу безопасности PHP полезно почитать интервью со Stefan Esser, создателем проекта Hardened-PHP, который отмечает наличие еще более 30 известных, но неисправленных проблем безопасности.

В заключение, несколько новых статей связанных с PHP:

"How to internationalize your PHP apps" - материал про создание многоязычных PHP скриптов;
"Cook up Web sites fast with CakePHP, Part 5: Adding cache" - использование кэширования для повышение производительности скриптов на базе MVC фреймворка CakePHP;
"Use Ajax with PHP and DB2 9 - Xajax";
"Pull parsing XML in PHP" - обработка XML данных в PHP средствами библиотеки XMLReader;
"Выполнение PHP-приложений в Apache Geronimo" - перевод руководства по использованию PHP Java Bridge для запуска PHP скриптов на J2EE сервере, обеспечивая совместное использование сессий сценариями PHP и JSP.

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/9796-php

Ключевые слова: php

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (20)

1.1, leon55 (?), 10:05, 09/02/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Радует, что новость написана с акцентом на исправление ошибок безопасности. Но у себя на своих серверах пока боюсь ставить что-либо серьознее <?php echo "H W" ?>. А вообще перл рулит :)

2.13, Квагга (?), 15:00, 11/02/2007 [^] [^^] [^^^] [ответить]	+/–
Теперь ясно, отчего со скандалом "ушёл" из PHP "офицер по безопасности". Помню жаркие споры в его защиту.

1.2, tug (??), 10:31, 09/02/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Наверное наступило время, когда нужно прекращать обновление четверки, как кто считает?

2.7, _Nick_ (??), 11:53, 09/02/2007 [^] [^^] [^^^] [ответить]

+/–

PHP-4.4.4 17 Aug 2006

там куча проблем, и секурити в том числе. Их даже в отдельных дистрах уже давно запатчили.
....но до сих пор нет 4.4.5 от производителя....

Твое "предложение" уже давно правильно для PHP Team. На 4-ку уже давно забили. Даже вон 6-ой раскуривают. Так что, с 4-ки пора сползать....

3.9, _Nick_ (??), 12:06, 09/02/2007 [^] [^^] [^^^] [ответить]	+/–
упс очепяточка s#правильно#правило"

4.10, _Nick_ (??), 12:07, 09/02/2007 [^] [^^] [^^^] [ответить]	+/–
млин... руки не мыл с утра что-ли.... s/s#правильно#правило"/s#правильно#правило#/

2.11, leopardo (?), 12:07, 09/02/2007 [^] [^^] [^^^] [ответить]	+/–
К сожалению, на сегодняшний день очень много написано именно под 4 версию PHP. Многие провайдеры если и ставят 5 версию, то обновляют её через релиз - два :( . ИМХО: Так как обновления связанные с безопасностью для 4 версии выпускаются оч. редко (а проблем в нем немало), разработчики PHP должны заявить о прекращении поддержки PHP 4 и рекомендовать переход на 5 версию, а не провоцировать его.

1.3, replicant (?), 10:41, 09/02/2007 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Реальное наблюдение номер раз после перехода с 5.2.0 на 5.2.1:

стало кушать много больше пама (Fatal error: Allowed memory size of 16777216 bytes exhausted (tried to allocate 252007 bytes) in .../class_db_mysql.php on line 475)

при этом все скрипты реально работали на 5.2.0 с установками в memory_limit 8M

1.4, Аноним (-), 10:44, 09/02/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Это официальный вопрос от команды php-devel? :-)))

1.5, SubGun (ok), 10:44, 09/02/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интересно, как скоро в порты добавят? Пока не видно.

2.16, Квагга (?), 22:31, 11/02/2007 [^] [^^] [^^^] [ответить]	+/–
Видно, видно.

1.6, Demimurych (?), 10:53, 09/02/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Угу и еще 158 проблем безопасности осталось.

2.12, _Nick_ (??), 12:13, 09/02/2007 [^] [^^] [^^^] [ответить]	+/–
на самом деле, намного больше.... :\|

3.14, Квагга (?), 15:06, 11/02/2007 [^] [^^] [^^^] [ответить]

+/–

>на самом деле, намного больше.... :|

Ничего страшного. После ухода этого полудурка все придёт в норму за месяц.

1.8, _Nick_ (??), 11:54, 09/02/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Макс, поправь ошибочку: "...и open_basedir в через расширение..."

1.15, Sergey A. Bulba (?), 16:18, 11/02/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Я бы уже давно перешёл на 5, но пока не даёт покоя вопрос о совместимости. Может кто подкинет ссылочек на обсуждения и/или статьи. Насколько безполезненно я переползу с 4.4.4 на 5.2.1. Вопрос для меня очень актуален, а времени погуглить пока нет. Вот так урывками по новостям и по слухам собираю инфу :)

1.17, Stas (??), 12:16, 12/02/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Проблемы при переходе с 4 на 5 скорее будут чем нет. Мы вот недавно переводили один сайтик - проблема вылезла в таком месте где ее совсем не ждали. Правда в данном конкретном случае я склонен винить не изменения в PHP а кривые руки девелопера, который непонятно зачем юзал session.save_path, но суть в том что при переходе с 4 на 5 по-любому надо полностью тестить сайты.

2.18, _Nick_ (??), 12:18, 12/02/2007 [^] [^^] [^^^] [ответить]	+/–
>но суть в том что при переходе >с 4 на 5 по-любому надо полностью тестить сайты. дельный совет

1.19, Антон (??), 10:59, 13/02/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Так пишите сайты правильно и не будет проблем с сменой версии, нормально написаный код не привязан к версии.

1.20, cobain (??), 17:46, 14/02/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Проблемы при переходе с 4 на 5 скорее будут чем нет. Пробовали переползать, часто перестают работать скрипты из-за неправильного применения обьектов типа класс и подобных некритичных для 4-й версии ошибок девелоперов. Также перестают работать старые скрипты скомпиленные под ZendOptimizer, им не правится версия PHP API.

Добавить комментарий

Текст: