The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: В PHP 5.2.3 исправлено 4 проблемы безопасности."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от opennews (??) on 01-Июн-07, 16:51 
В новой версии PHP 5.2.3 (http://www.php.net/releases/5_2_3.php) проведено ряд оптимизаций и исправлено около 50 ошибок.


Кроме того устранено несколько проблем (http://secunia.com/advisories/25456/) имеющих отношение к безопасности:


-  Целочисленное переполнение в функции chunk_split();
-  Возможность обхода ограничений open_basedir через функцию realpath();
-  DoS через бесконечное зацикливание в imagecreatefrompng();
-  Недостаточная проверка параметров email в ext/filter (MOPB-45 (http://www.php-security.org/MOPB/PMOPB-45-2007.html));
-  Переработано ранее внесенное исправление проблемы безопасности в модуле sqlite2.

URL: http://www.php.net/releases/5_2_3.php
Новость: http://www.opennet.me/opennews/art.shtml?num=10966

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от usama email(??) on 01-Июн-07, 16:51 
задолбали!!! опять компилить и тестить их поделку... в прошлой версии исправили кучу багов, при этом наделов новых, вследствии которых soap перестал работать. интересно, что на этот раз сломали?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от masted (ok) on 02-Июн-07, 08:56 
кто мешает НЕ использовать эту поделку?)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от don_oles email(??) on 05-Июн-07, 08:30 
>задолбали!!! опять компилить и тестить их поделку...

Помоему тебе пора менять работу. Если работа не подуше - это уже садомазо.

>soap перестал работать

REST рулит. Разведка докладывает, что мыло никогда нормально и так как всем хотелось бы не работало. И я понимаю - это называется overengineered. Как показывает практика (и некотрые присутствующие, не буду тыкать пальцем) слишком много ума - во вред. ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от Fantamas email on 05-Июн-07, 14:30 
Поддерживаю пост. Одна из задач сисадмина держать ПО up2date и я не вижу проблем, чтобы перекомпилить эту байду (ПХП). Он наверное карьерист и свою работу точно не любит. Т..к на современных тазиках пересборка ПХП вообще не должна вызывать каких-то неудобств. Чисто на автопилоте.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от гость on 01-Июн-07, 17:39 
Интерес чисто абстрактный ибо на таком дерьме как пыхпых ничего не пишу принципиально: у них вообще бывают релизы в которых не надо устранять проблемы безопасности?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от matriks (??) on 01-Июн-07, 17:48 
Зашибись Вам, что не пишите, а у многих уже софт написан. Либо попросту необходимо поддерживать в нормальном состоянии хостинговые серваки. А Вы попробуйте объяснять юзерам: почему так часто меняются версии, почему у них это упало или то не работает =(
Вобщем реально меня они расстраивают, раньше такого не было...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от HardKiller on 01-Июн-07, 18:18 
всех спасет chroot и настроенный Apache. молодцы девелы,
что ошибки исправляют, а те кто кричат про дырявость -
видимо лень им обновляться.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от kruk on 01-Июн-07, 19:29 
Исправляют - то это хорощо, только они их перед этим делают... Кстати почему мы должны радоваться внеплановым апгрэйдам?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от oles email on 02-Июн-07, 10:46 
Ты сам пишешь без багов? Друг мой, мегареспект, помоги им!
А по поводу апгрейдов. Моя вся жизнь - внеплановый апгрейд. И в жизни програмного обеспечения я уже и не помню когда видел запланированый апгрейд ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от Doktor (??) on 02-Июн-07, 11:31 
Видимо ты не работал с серьезными коммерческими решениями.

Насчет новости - для хостинга это ад, но я не вижу смысла обновлятся если можно отбекпортить (не всегда, но в 90% случаев) патчи, так что поднимаем свой репозиторий пакетов для ОС на серверах и вперед.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от logan (??) on 04-Июн-07, 11:13 
>Видимо ты не работал с серьезными коммерческими решениями.
>
>Насчет новости - для хостинга это ад, но я не вижу смысла
>обновлятся если можно отбекпортить (не всегда, но в 90% случаев) патчи,
>так что поднимаем свой репозиторий пакетов для ОС на серверах и
>вперед.


Ой ли не работал. Про дырку в telnetd SunOS/Solaris уже все забыли?
Или про периодически всплывающий PoD в Cisco IOS?
А уж набор граблей от micro$oft с подарочным бантиком вообще притча во языцах.
А ведь мс продвигает свой софт как строго коммерческий!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от Александр Вольф on 02-Июн-07, 21:14 
Да обновиться не лень... просто после таких обновлений бывает что-нибудь из их модулей отваливается
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от PHPCoder on 01-Июн-07, 18:28 
Главное сколько ошбок исправили
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от опа on 01-Июн-07, 18:29 
Есть неплохая версия php без багов - зовется perl 5.8.8  8)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от usama email(??) on 01-Июн-07, 19:09 
ага. еще в ней синтаксис просто нечеловеческий :) через неделю вылетает из головы напрочь :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от kruk on 01-Июн-07, 19:31 
>ага. еще в ней синтаксис просто нечеловеческий :) через неделю вылетает из
>головы напрочь :)

Собственно, синтаксис отличаеться от того же пыхпыха может процентов на 20%. А голову надо проапргейдить

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от Аноним on 03-Июн-07, 00:51 
>Собственно, синтаксис отличаеться от того же пыхпыха может процентов на 20%.
Причем явно в лучшую сторону.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от masted (ok) on 02-Июн-07, 09:52 
+1
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от replicant on 02-Июн-07, 10:25 
К тому моменту, когда выйдет PHP 5.8.8 вот тогда и посмотрим! :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от Roma (??) on 01-Июн-07, 19:49 
Специально для любителей Perl5
Perl5 Bug Summary: 236 new + 1343 open = 1579
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от kruk on 01-Июн-07, 19:51 
>Специально для любителей Perl5
>Perl5 Bug Summary: 236 new + 1343 open = 1579

Баг не равно проблема безопасности. Читать дважды

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от oles email on 02-Июн-07, 10:41 
А вот скажи, мне, глупому, а в перле есть open_basedir? Ведь если нет такой фичи, то
и "проблем безопасности" с её обходом нет, это одна сплошная проблема. А проблемы с DDOS через кривые функции в перле однозначно не находили и не найдут больше никогда? Может проблем безопасности перла в вебе нет потому что и никто его не использует для массового хостинга? А если пхп запустить в virtual dedicated server, или cgi-mode с apache_suexec (что скажется на производительности), то и у PHP сразу исчезнет много проблем "безопасности". Я вот видел хостинг с пхп где тысячи сайтов на одном боксе. А на перле ты такое предсталвяешь?

Не пойму также и с тестированием. А ведь будут версии и 5.2.4, и 5.2.5 ... и 6.0.0.. много будет версий. Каждую будете ручками тестировать матюкаясь? Или наконец то будете делать это в отдельном боксе/jail уже автоматическими средствами? Или вы не этим зарабатывате деньги? Так чего вообще вас волнуют проблемы пхп?

Так что если у вас нет альтернатив - то зачем тут ныть? Хотите чтоб был пхп без багов? Перепишите его! Слабо? Разработчики гады? А вы лучше написали бы? Такое впечатление что "камменты" тут многие пишут для того чтоб зарисоваться  - все ведь "мега-гуру" программирования тут собрались, знают слова перл, питон и проч. другие красивые слова. Ведь зная только пхп, как выделишься из толпы?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от Keeper email(??) on 02-Июн-07, 13:03 
>А вот скажи, мне, глупому, а в перле есть open_basedir? Ведь если
>нет такой фичи, то
>и "проблем безопасности" с её обходом нет, это одна сплошная проблема. А
>проблемы с DDOS через кривые функции в перле однозначно не находили
>и не найдут больше никогда? Может проблем безопасности перла в вебе
>нет потому что и никто его не использует для массового хостинга?
>А если пхп запустить в virtual dedicated server, или cgi-mode с
>apache_suexec (что скажется на производительности), то и у PHP сразу исчезнет
>много проблем "безопасности". Я вот видел хостинг с пхп где тысячи
>сайтов на одном боксе. А на перле ты такое предсталвяешь?

Можно попробовать http://dklab.ru/lib/dklab_apache + permissions (chroot опционально).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от _Nick_ email(??) on 02-Июн-07, 20:48 
>Можно попробовать http://dklab.ru/lib/dklab_apache + permissions (chroot опционально).

разбор заголовков запроса рутовым процессом.... как-то настолько стремно, шо лучше уж по-старинке...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от belkin on 02-Июн-07, 14:50 
Эта фраза одного бородатого программиста о каком-то его любимом языке объясняет, чем плох PHP:

"... язык для меня хорош ещё и тем, что на его языке сложно писать
маразматично. Он обязывает некоторые вещи делать корректно или, хотя бы -
предрасполагает к этому."

Молодёжь, учитесь у старших или мы так и будем ходить по тридцатилетнему кругу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от Dvorkin email(??) on 03-Июн-07, 00:24 
>А если пхп запустить в virtual dedicated server, или cgi-mode с
>apache_suexec (что скажется на производительности), то и у PHP сразу исчезнет
...
я вот недавно открыл для себя волшебную штучку: mod_ruid. он, правда, чисто Линуксовый (использует Linux CAPS), но я использую Линукс, а БЗДяшники пусть мучаются. :)
так вот, прекрасная замена всяким суексек + php_cgi. потому что проверяет, кто владелец php-скрипта (файла) и перед его выполнением меняет свой идентификатор. все прекрасно. новые файлы, создаваемые PHP-скриптом имеют те же самые права, что и исходный php-скрипт. Аналогично mod_ruid поступает с CGI-скриптами. решение для масс-хостинга идеальное. соответственно, всякие Agava & masterhost сосут со своими джайлами и прочей дребеденью. никаких извратов с пермишенами на директории/файлы/вебсервер. а если при этом использовать openvz, mod_vhost_mysql, mydns, pure-ftpd и что-нибудь, регулярно проверяющее файловую систему на соответствие прав доступа, то получается просто конфетка :) мне нравится.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от Вася on 02-Июн-07, 09:55 
Критические ошибки в есть у большинства проектов. Но только % вероятности их нахождения напрямую зависит от популярности проекта... :D
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от Аноним on 02-Июн-07, 18:55 
+1 единственный верный коммент
ПХП очень популярен и в нем будут находить сотни и тысячи багов. Среди больших хостинг провайдеров лишь 0.5-2% сайты которые используют перл и то для каких-то специфических задач все остальное это html php. Нужно сперва знать что эти языки не стоить сравнивать это как Linux и Windows.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от replicant on 02-Июн-07, 23:42 
Рациональное объяснение, зачем функция open в Perl отрабатывает символ конвейера | как команду запустить программу на выполнение, дать сложно: Perl вообще довольно иррациональный. ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от Pilat on 03-Июн-07, 14:46 
>Рациональное объяснение, зачем функция open в Perl отрабатывает символ конвейера | как
>команду запустить программу на выполнение, дать сложно: Perl вообще довольно иррациональный.
>;)

Объяснить просто - это штатное поведение команды open, очень полезное для получения результата выполнения подзадач. Для Unix это стандартная возможность в куче программ.

Трудно объяснить, что некоторым эта возможность кажется странной.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от Dvorkin email(??) on 04-Июн-07, 00:54 
>Объяснить просто - это штатное поведение команды open, очень полезное для получения
>результата выполнения подзадач. Для Unix это стандартная возможность в куче программ.
- потому что
man open
man popen

>Трудно объяснить, что некоторым эта возможность кажется странной.
знатоки очередной раз сосут, а 500 000 рублей отправляются телезрителю и города N

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от Dimez email(??) on 07-Июн-07, 12:06 
> Критические ошибки в есть у большинства проектов. Но только % вероятности их нахождения напрямую зависит от популярности проекта... :D

Глупости. Perl тоже не менее распространён, а ошибок что в нём, что в его проектах - на порядки(если не больше) меньше. Тут проблема в самом языке, приучающим по-раздолбайски относиться к написанию кода. Всё уже было написано в комментах к предыдущим новостям о пыхпыхпых.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

51. "В PHP 5.2.3 исправлено 4 проблемы безопасности."  
Сообщение от Dvorkin email(??) on 07-Июн-07, 15:57 
>Глупости. Perl тоже не менее распространён, а ошибок что в нём, что
>в его проектах - на порядки(если не больше) меньше.
вы забыли добавить "ИМХО". ПХП действительно очень популярен. Много гавноЦМСок на нем сделано. хорошо, если эти ЦМС opensource и человек просто учится программировать в www, а ведь совсем недавно встречал несколько платных, причем хорошо платных, внутри которых код не просто не продуман, а выглядит и работает как ... А это портит общее впечатление от языка. Необычность перла просто отсеивает "школьников", только и всего. пхп и перл стоят на одной ступени развития ЯП и отличаются только синтаксисом. совершенно с темже успехом можно было бы ругать TCL и гавноЦМСки на нем, если бы он вдруг стал популярен :)

>Тут проблема
>в самом языке, приучающим по-раздолбайски относиться к написанию кода.
спорить сложно. если человек не имеет хотя-бы опыта работы с памятью, вводом/выводом в Си, его ни Ява, ни перл не спасут

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру