https://www.opennet.ru/openforum/vsluhforumID3/116028.html В опубликованных (http://php.net/archive/2018.php) на днях корректирующих обновлениях PHP 5.6.39, 7.0.33, 7.1.25 и 7.2.13 устранена (http://php.net/ChangeLog-7.php#7.0.33) неприятная уязвимость (http://bugs.php.net/77153) (CVE-2018-19518 (https://security-tracker.debian.org/tracker/CVE-2018-19518)) в штатном PHP-дополнении IMAP, выявленная (https://antichat.com/threads/463395/#post-4254681) ещё в октябре. Уязвимость позволяет атаковать web-приложения для работы с электронной почтой или обойти системные ограничения доступа к функциям, выставляемые через опцию disable_functions в php.ini. <br><br><br><br>В случае запрета вызовов, подобных exec, system, shell_exec и passthru, уязвимость даёт возможность выполнить произвольный shell-код, в случае когда злоумышленники могут загрузить свой PHP-код на сервер (например, для продолжения атаки после эксплуатации уязвимостей (https://www.opennet.ru/opennews/art.shtml?num=49641) в плагинах для загрузки пользовательских файлов). Уязвимость также может применяться для атаки на we https://www.opennet.ru/openforum/vsluhforumID3/116028.html#99 Tue, 11 Dec 2018 09:26:56 GMT &gt; новость об уязвимостях написали, а об релизе пхп 7.3 нет. совпадение? не <br>&gt; думаю) <br><br>Вы рандомом что-ли новости для чтения выбирайте? Новость про PHP 7.3 была за день до новости про уязвимости. <br>https://www.opennet.ru/opennews/art.shtml?num=49732<br> https://www.opennet.ru/openforum/vsluhforumID3/116028.html#98 Tue, 11 Dec 2018 06:27:05 GMT В имени файла, переданном пользователем типовому публичному web-приложению, вообще не может существовать никаких путей. Хочешь выкладывать бэкап контейнера - выкладывай в tar. <br><br>Если приложение не носит характер публичного web-приложения, там уже можно делать что угодно, понимая последствия.<br> https://www.opennet.ru/openforum/vsluhforumID3/116028.html#97 Mon, 10 Dec 2018 12:33:05 GMT Всё куда проще, я $_GET в вызовы не передаю, предварительно не обработав во все поля. Ни одна библиотека от криворукости не застрахует.<br> https://www.opennet.ru/openforum/vsluhforumID3/116028.html#95 Mon, 10 Dec 2018 11:55:48 GMT imap_open не имеет прямого отношения к отправке почты, которой занимается PHPMailer или его самодельная замена в 300 строк<br><br> https://www.opennet.ru/openforum/vsluhforumID3/116028.html#94 Mon, 10 Dec 2018 09:57:06 GMT да трендишь 100%, наверняка там вагон и телега багов будет с юникодом каким-нибудь и проч.<br>и еще у тебя так же наверняка будут уязвимости. ты же ничего не знал про уязвимости в imap_open и утащил к себе 100500 строк сишного кода в виде php интерпретатора, чтобы "сформировать и отправить MIME".<br> https://www.opennet.ru/openforum/vsluhforumID3/116028.html#93 Mon, 10 Dec 2018 09:51:22 GMT новость об уязвимостях написали, а об релизе пхп 7.3 нет. совпадение? не думаю)<br> https://www.opennet.ru/openforum/vsluhforumID3/116028.html#92 Mon, 10 Dec 2018 06:09:49 GMT Да, правда. PHP - очень удачная обёртка в виде небольшого рантайма с динамической сборкой поверх тонны сишных библиотек. Удачнее не получилось, не получалось и не получается ни у кого уже лет 30.<br> https://www.opennet.ru/openforum/vsluhforumID3/116028.html#91 Sun, 09 Dec 2018 20:00:38 GMT &gt; Если нет, то описатель этой менюшечки есть сервер-сайд, не надо ничего лишнего отправлять.<br><br>ну ок, храни ее вечно - пока пользователь то ли нажмет submit, то ли передумает, то ли пойдет пообедать.<br><br>в принципе, когда траффик был дорогой, мы так и делали.<br><br>но вообще-то опять же - хранить то что и так хранится в виде файловой системы только ради того чтоб ненароком не выполнить код при попытке проверить существование...<br><br>нет, ты правда считаешь ЭТО хорошим языком?<br> <br> https://www.opennet.ru/openforum/vsluhforumID3/116028.html#90 Sun, 09 Dec 2018 19:18:37 GMT &gt; немногочисленные хейтеры php<br><br>Определение слова "хейтер" и статистику по многочисленности - в студию.<br><br>А то есть подозрение, молчек, что ты балабол.<br><br>