The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Предупреждение о проблемах безопасности после обновления до ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Предупреждение о проблемах безопасности после обновления до ..."  +/
Сообщение от opennews (??) on 22-Авг-11, 13:54 
Разработчики проекта PHP опубликовали уведомление (http://www.php.net/index.php#id2011-08-22-1), в котором попросили пользователей повременить с обновлением своих систем до вышедшей (http://www.opennet.me/opennews/art.shtml?num=31537) несколько дней назад новой версии PHP 5.3.7 и дождаться выхода PHP 5.3.8, который будет доступен через несколько дней. Причиной стала проблема (https://bugs.php.net/bug.php?id=55439) безопасности, вызванная ошибкой в обновленной реализации функции crypt(), которая в версии 5.3.7 при запуске с явным указанием salt, вместо хэша MD5 возвращает только значение salt. Проблема проявляется только для хэшей MD5 и не затрагивает хэши DES и BLOWFISH.

URL: http://www.php.net/index.php#id2011-08-22-1
Новость: http://www.opennet.me/opennews/art.shtml?num=31555

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Предупреждение о проблемах безопасности после обновления до ..."  +/
Сообщение от Аноним (??) on 22-Авг-11, 13:54 
Не думал, что в PHP _вообще_ нет тестирования качества. Ладно какой-то трудноуловимый баг пропустить, но не проверить работу очевидного изменения после принятия патча, это нонсенс.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Предупреждение о проблемах безопасности после обновления..."  +2 +/
Сообщение от anonymous (??) on 22-Авг-11, 15:03 
> Не думал, что в PHP _вообще_ нет тестирования качества.

почему же «нет»? на юзерах и тестируют. на то оно и похапэ.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Предупреждение о проблемах безопасности после обновления до ..."  –1 +/
Сообщение от Аноним (??) on 22-Авг-11, 15:25 
в linux kernel - ровно так же тестируют на хомячках.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

24. "Предупреждение о проблемах безопасности после обновления до ..."  +/
Сообщение от nagual email(ok) on 23-Авг-11, 18:10 
> в linux kernel - ровно так же тестируют на хомячках.

Процессоры интел точно так тестируются на хомячках и называются целероны :-))

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

18. "Предупреждение о проблемах безопасности после обновления до ..."  +/
Сообщение от solardiz (ok) on 22-Авг-11, 21:38 
В основном дереве исходников PHP есть unit test'ы - и их там очень много. Как я понял, проблема в том, что некоторые недостатки кода, для которых уже есть тесты, сознательно остаются не исправленными в определенных релизах и/или при определенных вариантах сборки, что и привело к тому, что еще один уже не сознательно не-прошедший тест попросту не заметили:

http://news.php.net/php.internals/54739

Сейчас разработчики подняли дискуссию о том что им надо бы изменить ожидаемый результат части тестов на XFAIL (expected failure) или/и временно убрать часть тестов из основного дерева (перенести их в описания соответствующих багов), чтобы новые сбои были более заметны. Конечно, это лучше было сделать раньше...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Предупреждение о проблемах безопасности после обновления до ..."  +3 +/
Сообщение от Аноним (??) on 22-Авг-11, 14:05 
жесть! никогда не сомневался в кривости разрабов php, но чтобы так облажаться это надо уметь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Предупреждение о проблемах безопасности после обновления до ..."  +1 +/
Сообщение от pro100master (ok) on 22-Авг-11, 20:14 
-    strlcat(passwd, "$", 1);
+    strcat(passwd, "$");
-------

как "так"? Может принимающий комиты пропустил, может код намерено в таком виде запостили. Запишитесь в тестеры, они давно уже народ набирают.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Предупреждение о проблемах безопасности после обновления до ..."  +/
Сообщение от wiseman (ok) on 22-Авг-11, 14:46 
Как знал, что не стоит торопиться с обновлением. Может я ошибаюсь, но кажется, такое уже с ними было
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Предупреждение о проблемах безопасности после обновления до ..."  +/
Сообщение от Аноним (??) on 22-Авг-11, 15:43 
head:~ # php -v
PHP 5.3.7 (cli)
Copyright (c) 1997-2011 The PHP Group
Zend Engine v2.3.0, Copyright (c) 1998-2011 Zend Technologies

только вчера обновился же

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Предупреждение о проблемах безопасности после обновления до ..."  +/
Сообщение от Аноним (??) on 22-Авг-11, 16:04 
Уже с патчем. (показал всем язык). :)
http://www.freshports.org/commit.php?category=lang&port=php5...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Предупреждение о проблемах безопасности после обновления до ..."  +/
Сообщение от Alexander (??) on 23-Авг-11, 17:14 
remi оперативно выпустил апдейт:
Updating:
php                              x86_64                     5.3.7-2.el5.remi                        remi                     2.8 M
...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру