форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"OpenNews: В PHP 5 найдена уязвимость, позволяющая обойти огр..."

Сообщение от opennews (??) on 20-Июн-08, 17:32

"PHP 5 'posix_access()' Function 'safe_mode' Bypass Directory Traversal Vulnerability (http://www.securityfocus.com/bid/29797)" - в PHP 5 найдена уязвимость, позволяющая обойти ограничение safe_mode через передачу некорректных параметров в функцию posix_access(). Наличие проблемы подтверждено в PHP 5.2.6. URL: http://www.securityfocus.com/bid/29797 Новость: http://www.opennet.me/opennews/art.shtml?num=16587

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."

Сообщение от Аноним (??) on 20-Июн-08, 17:32

Фантастический язык

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от PavelR (??) on 20-Июн-08, 18:11
	>Фантастический язык Наконец-то. Я ждал сообщений об уязвимостях в пхп каждый день, и всё удивлялся - почему их нет.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от Ъ on 20-Июн-08, 19:10
	да, действительно, давненько уже это затишье
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от User294 (ok) on 22-Июн-08, 11:06
	>Наконец-то. Я ждал сообщений об уязвимостях в пхп каждый день, и всё >удивлялся - почему их нет. PHP используют.Много и часто.Поэтому любой ляп на виду.А вот кульный язык "хреновина" изобретенный "Васей Пупкиным" из деревни "Гадюкино" использует 10 человек на планете - друзья Васи.Поэтому никто не ищет в нем ляпы.В свете этого может возникнуть ощущение что "хреновина" безопаснее чем "PHP".Насколько это будет коррелировать с реальностью - вопрос номер два.Если бы язык "хреновина" использовало столько же народа как PHP - еще вопрос что бы нашли в нем.А так - судя по наблюдениям байки про неуловимого Джо придуманы не просто так :).Популярный проект - баги там находятся.А непопулярный и никому не нужный - так никто и баги не ищет.Ну и не находятся они соответственно. Чего так орать по этому поводу не понятно.Еще блин поорите по поводу того что дважды два - четыре.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от аноним2 on 20-Июн-08, 22:57
	>Фантастический язык не хотим не используем..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от Аноним (??) on 21-Июн-08, 10:14
	>>Фантастический язык > >не хотим не используем.. Ну я же сказал "Фантастический язык" - или ты сам понимаешь что это не может быть правдой?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от User294 (ok) on 22-Июн-08, 11:00
	>Фантастический язык Сделайте лучше - флаг в руки.Кто-то не дает?Остается правда проблема - надо еще как-то будет убедить остальных что у вас оно лучше чем PHP и что там еще.А вот это нелегко.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от Аноним (??) on 22-Июн-08, 18:12
	Так уже есть - бери не хочу. Более того я абсолютно уверен что и ПХП нужен.И прежде всего для случайных в программировании людей - которых естественно большенство.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от vitek (??) on 22-Июн-08, 18:44
	>Так уже есть - бери не хочу. Более того я абсолютно уверен >что и ПХП нужен.И прежде всего для случайных в программировании людей >- которых естественно большенство. прям как анономов на форумах. и что есть, что брать не хотят?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."

Сообщение от Geol on 20-Июн-08, 23:40

И вот интересно, хоть кто нибудь из коментаторов понял в чем проблема? P.S. safe_mode - зло.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от Аноним (??) on 21-Июн-08, 03:41
	Дык! А вот ты как раз не понял :) PHP - зло!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от vitek (??) on 21-Июн-08, 16:54
	>Дык! А вот ты как раз не понял :) PHP - зло! а что добро?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от User294 (ok) on 22-Июн-08, 11:08
	>а что добро? Наверное какоенить руби или питон.А поскольку было метко замечено что добро должно быть с кулаками и что вообще нужно наносить пользу и причинять добро - синтаксис у этого "добра" в крайней степени похабный, еще похабнее чем си-подобный синтаксис PHP.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от vitek (??) on 22-Июн-08, 14:56
	хорошо сказал :-) пользу наносить надо так, что бы следы оставались зы: обычно, кто пишет, что php - это зло, сами в лучшем случае работают на каком-нибудь asp.net, а когда это начинает вести себя, мягко говоря, странно, то пытаются сделать что-то типа апач+моно. у php много преимуществ: скорость разработки, объем и логичность кода, система доступа к данным - по моему мнению, самая быстрая из возможных конкурентов и использует нативные механизмы (в данном вопросе и к моему сожалению perl, например, сильно отстает... хоть и сравнивать их нельзя категорически).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от terr0rist (ok) on 23-Июн-08, 13:18
	>обычно, кто пишет, что php - это зло, сами в лучшем случае >работают на каком-нибудь asp.net, Работаю на РНР - это зло! =) >у php много преимуществ: >скорость разработки, по сравнению с чем? Одни только знаки $, -> и прочая чушь отнимают кучу времени, а в плане запоминания 4000 функций с совершенно разными принципами названий и параметров - скорее на ассемблере напишешь... =) >объем и логичность кода, Логичность? Где? В С-исходниках? Уж где-где, а в РНР-коде никакой логичности нет. Почему например array_keys, но sort? а функции str* ??? И т.д. >система доступа к данным - по моему мнению, самая быстрая из возможных >конкурентов и использует нативные механизмы Ну конечно, надо же хоть чем-то народ заинтересовывать. Домохозяйкам нужен нативный mysql, и точка. >(в данном вопросе и к моему >сожалению perl, например, сильно отстает... хоть и сравнивать их нельзя категорически). Перл - некоммерческий проект. РНР - чисто коммерческий. см. www.zend.com
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	25. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от vitek (??) on 23-Июн-08, 13:37
	>Работаю на РНР - это зло! =) так не работайте на "зле". есть куча альтернатив, может они будут для Вас добрее. >по сравнению с чем? Одни только знаки $, -> и прочая чушь отнимают кучу времени, а в плане запоминания 4000 функций с совершенно разными принципами названий и параметров - скорее на ассемблере напишешь... =) у PHP замечательная документация. одна из лучших, что я видел. если Вы думаете, что альтернативы проще (asp.net+ado.net+.., j2ee+ejb+..., ...) - дерзайте! ну а про ассемблер - тоже вариант, не хуже чем остальные, говорю как бывший преподаватель оного. >Ну конечно, надо же хоть чем-то народ заинтересовывать. Домохозяйкам нужен нативный mysql, и точка. ну если Вы пишите на PHP, стоя за плитой,... >Перл - некоммерческий проект. >РНР - чисто коммерческий. см. www.zend.com мне очень нравиться perl, но... если для Вас сложен PHP и Вы сравнивали его с asm, то perl - это программирование сразу в hex виде.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."

Сообщение от Aleksey (??) on 21-Июн-08, 09:32

Ну просто капец уязвимость. Функция posix_access позволяет только посмотреть существует ли некоторый файл. Т.е. узявимость позволяет проверить, не существует ли некоторый файл, не учитывая safe_mode. Обычно такое называют багом с наименьшим приоритетом, так как трудно представить как его можно использовать для чего-нибудь полезного. Кроме того posix-группу функций в PHP коде используют очень нечасто. P.S. Для других языков программирования такая ошибка бы потянула максимум на упоминание в changelog (типа в posix_access исправлена ошибка, позволяющая в некоторых случаях получить информацию о существовании файла за пределом разрешенного каталога - ужастно :) ).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от Щекн Итрч on 21-Июн-08, 10:04
	>Ну просто капец уязвимость. Функция posix_access позволяет только посмотреть существует ли некоторый >файл. Т.е. узявимость позволяет проверить, не существует ли некоторый файл, не >учитывая safe_mode. Обычно такое называют багом с наименьшим приоритетом, так как >трудно представить как его можно использовать для чего-нибудь полезного. Кроме того >posix-группу функций в PHP коде используют очень нечасто. > >P.S. Для других языков программирования такая ошибка бы потянула максимум на упоминание >в changelog (типа в posix_access исправлена ошибка, позволяющая в некоторых случаях >получить информацию о существовании файла за пределом разрешенного каталога - ужастно >:) ). Холиварщикам эти подробности скучны :) Главна - высказаться в ключе мутного бормотания! :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от User294 (ok) on 22-Июн-08, 11:11
	>Главна - высказаться в ключе мутного бормотания! :) Нее, на самом деле главная задача любого тролля это обосрать неплохой проект не сделав при том ничего сравнимого =)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от terr0rist (ok) on 23-Июн-08, 13:22
	>>Главна - высказаться в ключе мутного бормотания! :) > >Нее, на самом деле главная задача любого тролля это обосрать неплохой проект >не сделав при том ничего сравнимого =) РНР в принципе обсирания вполне достоин. Хотя конечно совсем не за баг в посикс_аксесс. Насчет сделать сравнимое - если бы каждый делал сравнимое, то у каждого и стоял бы собственный язык, собственная ось и собственный инет, и сидели бы, как финны по баням. А чтобы проекты улучшались, иногда их не мешает пообсирать.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	26. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от vitek (??) on 23-Июн-08, 13:41
	альтернативу приведите. а в принципе обсирания - так что ни возьми, тоже самое.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."

Сообщение от Аноним (??) on 22-Июн-08, 10:06

новость преувеличивают. уязвимость никакая. safe_mode используют единицы. если строить качественный хостинг, то для каждого пользователя должно существовать свое chroot окружение.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."
	Сообщение от Аноним (??) on 23-Июн-08, 02:38
	>новость преувеличивают. уязвимость никакая. safe_mode используют единицы. если строить качественный хостинг, то >для каждого пользователя должно существовать свое chroot окружение. Вполне достаточно пускать пользовательские процессы с правами пользователя.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "OpenNews: В PHP 5 найдена уязвимость, позволяющая обойти огр..."

Сообщение от Oles on 23-Июн-08, 10:47

Мне вот интересно вообще такой функционал как safe mode существует в perl/ruby/python которые тут многие превозносят потому что "это круто"? Ведь если нет функционала то нет и ошибок :) Или хотя бы open_basedir? Какие средства управления/ограничения runtime сущесвуют? Вот натолкнулся на статью. http://www.goodwebhosting.info/article.py/15 Вывод? Зачем хостеру такое счастье с этим hyped питоном? Что есть для shared hosting чтоб и безопасно? php.ini смотрели когда нибудь? Или каждому приложению по своему апачу будем давать? Ага, вот новость! http://www.opennet.me/opennews/art.shtml?num=16601 Ужос то какой! Оказывается и на солнце бывают пятна :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	27. "OpenNews: В PHP 5 найдена уязвимость, позволяющая обойти огр..."
	Сообщение от AmdY (ok) on 27-Июн-08, 11:43
	последнее время появилось большое количество квалифицироанных рнр-програмистов, 4-ка уходит в небытие, некоторые рнр-шники знакомятся с ruby, asp, java, python и при этом остаются на рнр. тяжёлые времена настали для обсирателей рнр, даже мелкие ошибки редко появляются
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]