forum.opennet.ru

Составление сообщения

Исходное сообщение

"Релиз PHP 5.3.7 с устранением 6 уязвимостей "
Отправлено opennews, 19-Авг-11 02:01

Представлен релиз интерпретатора языка программирования PHP 5.3.6 в котором устранено 6 уязвимостей и исправлено около 100 ошибок (http://www.php.net/ChangeLog-5.php#5.3.7).

Из связанных с безопасностью исправлений в PHP 5.3.6 можно отметить:
-  Переполнение буфера путем передачи некорректного salt в функцию crypt();
-  Возможность подстановки части файлового пути из-за некорректного очищения в функции rfc1867_post_handler имен файлов, передаваемых через multipart/form-data POST-запросы. Атакующий может изменить заданный логикой приложения абсолютный путь и создать или переписать произвольные файлы (CVE-2011-2202 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2202));
-  Переполнение стека в функции socket_connect() может быть использовано атакующим для выполнения своего кода через указание излишне длинного файлового пути для Unix-сокета (CVE-2011-193 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1938)8);
-  Использование памяти, после её очистки (use-af...
URL: http://www.php.net/archive/2011.php#id2011-08-18-1
Новость: http://www.opennet.me/opennews/art.shtml?num=31537

Исходное сообщение
"Релиз PHP 5.3.7 с устранением 6 уязвимостей " Отправлено opennews, 19-Авг-11 02:01
Представлен релиз интерпретатора языка программирования PHP 5.3.6 в котором устранено 6 уязвимостей и исправлено около 100 ошибок (http://www.php.net/ChangeLog-5.php#5.3.7). Из связанных с безопасностью исправлений в PHP 5.3.6 можно отметить: - Переполнение буфера путем передачи некорректного salt в функцию crypt(); - Возможность подстановки части файлового пути из-за некорректного очищения в функции rfc1867_post_handler имен файлов, передаваемых через multipart/form-data POST-запросы. Атакующий может изменить заданный логикой приложения абсолютный путь и создать или переписать произвольные файлы (CVE-2011-2202 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2202)); - Переполнение стека в функции socket_connect() может быть использовано атакующим для выполнения своего кода через указание излишне длинного файлового пути для Unix-сокета (CVE-2011-193 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1938)8); - Использование памяти, после её очистки (use-af... URL: http://www.php.net/archive/2011.php#id2011-08-18-1 Новость: http://www.opennet.me/opennews/art.shtml?num=31537

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Представлен релиз интерпретатора языка программирования PHP 5.3.6 в котором устранено 
> 6 уязвимостей и исправлено около 100 ошибок (http://www.php.net/ChangeLog-5.php#5.3.7).

> Из связанных с безопасностью исправлений в PHP 5.3.6 можно отметить:

> -  Переполнение буфера путем передачи некорректного salt в функцию crypt(); 
> -  Возможность подстановки части файлового пути из-за некорректного очищения в функции 
> rfc1867_post_handler имен файлов, передаваемых через multipart/form-data POST-запросы. 
> Атакующий может изменить заданный логикой приложения абсолютный путь и создать или 
> переписать произвольные файлы (CVE-2011-2202 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2202)); 
 
> -  Переполнение стека в функции socket_connect() может быть использовано атакующим для 
> выполнения своего кода через указание излишне длинного файлового пути для Unix-сокета 
> (CVE-2011-193 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1938)8); 
 
> -  Использование памяти, после её очистки (use-af...

> URL: http://www.php.net/archive/2011.php#id2011-08-18-1 
> Новость: http://www.opennet.me/opennews/art.shtml?num=31537

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру