The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз PHP 5.3.7 с устранением 6 уязвимостей "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз PHP 5.3.7 с устранением 6 уязвимостей "  +/
Сообщение от opennews (??) on 19-Авг-11, 02:01 
Представлен релиз интерпретатора языка программирования PHP 5.3.6 в котором устранено 6 уязвимостей и исправлено около 100 ошибок (http://www.php.net/ChangeLog-5.php#5.3.7).


Из связанных с безопасностью исправлений в PHP 5.3.6 можно отметить:

-  Переполнение буфера путем передачи некорректного salt в функцию crypt();
-  Возможность подстановки части файлового пути из-за некорректного очищения в функции rfc1867_post_handler имен файлов, передаваемых через multipart/form-data POST-запросы. Атакующий может изменить заданный логикой приложения абсолютный путь и создать или переписать произвольные файлы (CVE-2011-2202 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2202));
-  Переполнение стека в функции socket_connect() может быть использовано атакующим для выполнения своего кода через указание излишне длинного файлового пути для Unix-сокета (CVE-2011-193 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1938)8);
-  Использование памяти, после её очистки (use-af...

URL: http://www.php.net/archive/2011.php#id2011-08-18-1
Новость: http://www.opennet.me/opennews/art.shtml?num=31537

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  +1 +/
Сообщение от Аноним (??) on 19-Авг-11, 02:01 
такое впечатление как будто код пхп вовсе не тестируют перед коммитов, и не смотря на это смело говорят о новых версиях...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  –1 +/
Сообщение от Knuckles (ok) on 19-Авг-11, 10:13 
В ядре Линукс каждый минорный релиз на порядок больше исправлений безопасности.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  +1 +/
Сообщение от Аноним (??) on 19-Авг-11, 13:39 
> В ядре Линукс каждый минорный релиз на порядок больше исправлений безопасности.

Больше, только вот объем кода там и там несколько разный.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  –2 +/
Сообщение от Knuckles (ok) on 19-Авг-11, 14:28 
> Больше, только вот объем кода там и там несколько разный.

Сопоставимый. Объемы архивов с исходниками PHP и Linux отличается всего в 5 раз. При том, что сообщения о прикрытых дырках Linux в основном касаются не драйверов, а подсистем самого ядра. Количество разработчиков PHP и Linux я даже сравнивать не буду. Зато объем комментариев от болтунов про "дырявый похапе" превыешает все возможные пределы.
Я на PHP ничего не пишу, есличо.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

5. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  +/
Сообщение от Щекн Итрч (ok) on 19-Авг-11, 08:09 
Вы хостер? :)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  +/
Сообщение от Аноним (??) on 19-Авг-11, 08:46 
бывают тут и хостеры, да.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  +2 +/
Сообщение от Аноним (??) on 19-Авг-11, 08:09 
Проблемы хостеров шерифа не волнуют.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  +1 +/
Сообщение от Ващенаглухо (ok) on 19-Авг-11, 08:34 
+1 если хостер не может предоставить услуги нужные клиенту, нахрен такой хостер нужен.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  +1 +/
Сообщение от Аноним (??) on 19-Авг-11, 08:48 
> +1 если хостер не может предоставить услуги нужные клиенту, нахрен такой хостер
> нужен.

дырявый пхп5.2 или того хуже: пхп4?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  +3 +/
Сообщение от Аноним (??) on 19-Авг-11, 08:52 
во фре, в портах, ручками закрыты уязвимости CVE-2011-1148, CVE-2011-1938, CVE-2011-2202 в 5.3.6 еще 2-а месяца назад...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  +1 +/
Сообщение от GoTLiuM email(ok) on 19-Авг-11, 13:58 
У меня впечатление, что этот сплошной баг фикс и крахи никогда не закончатся в php.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  +/
Сообщение от Maris email on 19-Авг-11, 16:51 
Как и в любом другом продукте, который продолжают поддерживать.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

26. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  +/
Сообщение от nagual email(ok) on 23-Авг-11, 16:45 
Если устали от багов переходите на Perl :-))
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

27. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  +/
Сообщение от GoTLiuM email(ok) on 24-Авг-11, 17:48 
> Если устали от багов переходите на Perl :-))

предпочитаю Python))

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

25. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  +/
Сообщение от Омериканский параноик on 23-Авг-11, 05:49 
все просто! php это результат работы спецслужб! :)

бесконечное количество багов и пропаганда среди масс дают возможность контролировать больше половины сайтов в этих ваших интернетах.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  +/
Сообщение от ls (??) on 01-Окт-11, 23:01 
> Разработчики напоминают, что ветка PHP 5.2 больше не поддерживается и все находящиеся в ней уязвимости остаются неисправленными,

Бэкпортировал исправленные уязвимости в код PHP 5.2.17 (а патчи сделал человек который держит репозиторий centos.alt.ru)

Желающие пропатчить дырявый PHP 5.2.17 могут скачать либо патч безопасности, либо большой патч с багфиксами с http://code.google.com/p/php52-backports/

Также если есть толковые адекватные C++ программеры которые могут бэкпортить быстро фиксы из 5.3 в 5.2.17 и при этом ничего не ломать - то свяжитесь со мной (с этого проекта)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Релиз PHP 5.3.7 с устранением 6 уязвимостей "  +/
Сообщение от someone (??) on 08-Окт-11, 02:07 
Адекватные С++ программеры посмотрят в код и станут не адекватными. Более того пыхапэ на си
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру