The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от opennews (??) on 02-Фев-12, 22:16 
В PHP обнаружена (http://thexploit.com/sec/critical-php-remote-vulnerability-i.../) одна из самых серьёзных уязвимостей за время существования данного языка. Уязвимость проявляется только в PHP 5.3.9 и позволяет удалённому злоумышленнику выполнить свой код на сервере, независимо от того какие PHP-скрипты используются.

По иронии судьбы, уязвимость связанна с некорректным устранением менее опасной проблемы безопасности в прошлой версии PHP (http://www.opennet.me/opennews/art.shtml?num=32775). Для защиты от совершения DoS-атаки, которая может быть вызвана проблемой (http://www.opennet.me/opennews/art.shtml?num=32698) с предсказуемыми коллизиями в реализации алгоритма хэширования, в PHP 5.3.9 была добавлена директива max_input_vars, позволяющая ограничить число входящих параметров для поступающих HTTP-запросов. В реализации данной директивы была допущена досадная ошибка (https://bugs.php.net/bug.php?id=60708), которая сделала возможны...

URL: http://thexploit.com/sec/critical-php-remote-vulnerability-i.../
Новость: http://www.opennet.me/opennews/art.shtml?num=32976

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +11 +/
Сообщение от Аноним (??) on 02-Фев-12, 22:16 
> Стефан указал на то, что уязвимость в PHP пришлась весьма кстати

Прикольный метод напомнить о себе :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +1 +/
Сообщение от Аноним (??) on 02-Фев-12, 22:32 
> Это кто такие, помимо самоделкиных (./configure && make all install)?

Все счастливые обладатели дистрибутивов, security team которых портировал исправление уязвиомсти из 5.3.9 в более старые версии.

> "Наш костыль не берут в upstream, возьмите хоть в дебиан".

У проекта PHP всегда было наплевательское отношение к безопасности.

> А ничего, что для python необходимости в подобном проекте нет?

А причем здесь Python ?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  –7 +/
Сообщение от myhand (ok) on 02-Фев-12, 23:32 
> Все счастливые обладатели дистрибутивов, security team которых портировал исправление уязвиомсти из 5.3.9 в более старые версии.

Счастливые обладатели подобных дистрибутивов - имеют еще и включенный Suhosin патч (а то еще и расширение).

> А причем здесь Python ?

А чем здесь, казалось бы, должен он быть лучше?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от Аноним (??) on 02-Фев-12, 22:38 
>Это кто такие, помимо самоделкиных (./configure && make all install)?

pacman -Ss php
extra/php 5.3.9-1
    An HTML-embedded scripting language

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  –6 +/
Сообщение от myhand (ok) on 02-Фев-12, 23:11 
Я же написал, кроме самоделкиных: ССЗБ, арчеводов и гентушников просят не беспокоиться.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от Аноним (??) on 03-Фев-12, 00:48 
По логике, самоделкины - как раз мейнтейнеры бинарных дистров, которые сами собирают пакеты, вместо того, чтобы оставлять это пользователям.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

61. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +2 +/
Сообщение от Аноним (??) on 03-Фев-12, 14:34 
> По логике, самоделкины - как раз мейнтейнеры бинарных дистров, которые сами собирают
> пакеты, вместо того, чтобы оставлять это пользователям.

Нет, самоделкины - это те кто за майнтайнеров сам отдувается. В этом случае майнтенанс системы, включая мониторинг дыр - остается на юзверге.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

26. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +1 +/
Сообщение от Crazy Alex (ok) on 03-Фев-12, 03:42 
Ну так самоделки на продакшн и не расчитаны, по крайней мере - с мордой торчащей во внешний мир.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

41. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +1 +/
Сообщение от Andrey Mitrofanov on 03-Фев-12, 11:00 
Извините, упустил нить... это Вы про PHP? Ж))))))
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

9. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от Mimo Shell on 02-Фев-12, 22:42 
А ничего что эти поделки Эссера сотоварищи обновляются тогда, когда это угодно левой пятке Стефана? Иногда неделю через после релиза, иногда - через пол-года. ну и причины исключения из Дебиана, по-моему, описаны довольно четко.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от myhand (ok) on 02-Фев-12, 23:19 
> А ничего что эти поделки Эссера сотоварищи обновляются тогда, когда это угодно левой пятке Стефана?

Это как раз не страшно - дебиан не каждые полгода выходит.

> ну и причины исключения из Дебиана, по-моему, описаны довольно четко.

Она там, фактически, одна: 2. It doesn't help our users when reporting bugs to upstream - the
usual answer is - try if that happens with vanilla php.

Сильно-ли поможет, если в дебиане будет более старая версия чем у upstream?  Я наблюдал аналогичную реакцию: "вы пробовали последнюю стабильную версию?"

PS: Вообще, исключение Suhosin - это скорее отдельная целая новость.  И плохая :(

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

43. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от Аноним (??) on 03-Фев-12, 11:35 
> ну и причины исключения из Дебиана, по-моему, описаны довольно четко.

Там только одна причина: «Мы не можем майнтенить PHP, не хватает сил, поэтому шлите пожалуйста свои багрепорты не нам а в апстрим».

Все описанные якобы проблемы как я понял из последующего обсуждения решаются настройкой параметров.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

54. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от myhand (ok) on 03-Фев-12, 13:20 
> Там только одна причина: «Мы не можем майнтенить PHP, не хватает сил, поэтому шлите пожалуйста свои багрепорты не нам а в апстрим».

Не врите.  Речь там зашла о том, что люди *шлют сами* такие багрепорты.  И их отфутболивают обратно.  Не уверен, что так не будет и без suhosin (если версия будет отличаться от стабильной в апстрим).

> Все описанные якобы проблемы как я понял из последующего обсуждения решаются настройкой параметров.

Есть там еще одна проблема - Стефан.  Было бы у него действительно желание - патч так или иначе интегрировали бы в апстрим.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

59. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  –1 +/
Сообщение от Аноним (??) on 03-Фев-12, 13:47 
> Есть там еще одна проблема - Стефан.  Было бы у него
> действительно желание - патч так или иначе интегрировали бы в апстрим.

s/желание/прямые руки/

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

63. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +1 +/
Сообщение от myhand (ok) on 03-Фев-12, 14:46 
Руки у него вроде прямые.  Тут больше "социальные" проблемы.  Ну, переср*лся он там со всеми, понимаешь :)
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

67. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от Andrey Mitrofanov on 03-Фев-12, 15:22 
>Тут больше "социальные" проблемы.  Ну, переср*лся он там со всеми, понимаешь :)

Ага. ...но объяснить похапэшникам про безопасность не смог. Пичально$))

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

81. "Критическая уязвимость в PHP 5.3.9, позволяющая..."  +2 +/
Сообщение от arisu (ok) on 03-Фев-12, 20:21 
> Есть там еще одна проблема — Стефан.  Было бы у него
> действительно желание — патч так или иначе интегрировали бы в апстрим.

человек таки улучшил безопасность. похапэшники, у которых с безопасностью традиционно «мы не знаем, что это» вместо чтобы руками и ногами ухватиться, встали в позу «а ты нас попроси хорошенько, может, мы тогда и соизволим…» по-моему, дальнейшее поведение автора патчей вполне очевидно: «идите-ка вы в задницу, дорогой апстрим. с барабаном, пионерским горном и бравыми песнями.»

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

20. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +1 +/
Сообщение от noname (??) on 03-Фев-12, 00:26 
Только обновился и тут такое.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от Аноним (??) on 03-Фев-12, 00:57 
> Та же самая ситуация наблюдается в Red Hat Enterprise Linux 5 и 6, а также в Fedora Linux.

Что-то мне подсказывает, что редхатовские сборки, как обычно, неуязвимы из-за фирменного редхатовского харденинга.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  –2 +/
Сообщение от myhand (ok) on 03-Фев-12, 02:10 
А в Debian - как минимум из-за suhosin.  Плюс, выпущено обновление - в отличие от.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от playnet (ok) on 03-Фев-12, 03:09 
> А в Debian - как минимум из-за suhosin.

...который успено выпилен, не?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от myhand (ok) on 03-Фев-12, 03:19 
> ...который успено выпилен, не?

"Не".  Выключен он в unstable (sid).  Стабильный релиз, естественно, это никак не затронуло.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от ghj on 03-Фев-12, 06:51 
В Debian вчера ещё обновление свалилось: http://www.debian.org/security/2012/dsa-2403
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

73. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от Аноним (??) on 03-Фев-12, 18:02 
> В Debian вчера ещё обновление свалилось: http://www.debian.org/security/2012/dsa-2403

"For the oldstable distribution (lenny), no fix is available at this time. Debian/oldstable package php5 is vulnerable."

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

75. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от Andrey Mitrofanov on 03-Фев-12, 18:35 
>> В Debian вчера ещё обновление свалилось
> "For the oldstable distribution (lenny), no fix

И? Развейте же _Вашу_ мысль??

stable тоже "в Debian". В нём -- вчера. _Это обновление появилось _вчера _в _D.

Не пролезаете.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

77. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от Andrey Mitrofanov on 03-Фев-12, 18:48 
> И? Развейте же _Вашу_ мысль??

Ля, предупреждать же надо, что с соседним тредом разговариваешь.

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

78. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от Andrey Mitrofanov on 03-Фев-12, 18:49 
>> И? Развейте же _Вашу_ мысль??
> Ля, предупреждать же надо, что с соседним тредом разговариваешь.

Но да, поднимем стакан за "фирменного редхатовского харденинга". Не чокаясь.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

57. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от Аноним (??) on 03-Фев-12, 13:43 
> А в Debian - как минимум из-за suhosin.

Читайте новость. Suhosin не закрывает эту дыру, просто с ним нужен немного другой сплойт.

> Плюс, выпущено обновление - в отличие от.

У редхата тоже выпущено обновление, в тот же день.
Вот только у редхата обновлены все поддерживаемые версии, а у дебиана - далеко не все.
В задницу такую "поддержку".

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

62. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  –1 +/
Сообщение от myhand (ok) on 03-Фев-12, 14:45 
> Читайте новость. Suhosin не закрывает эту дыру, просто с ним нужен немного другой сплойт.

Ага, совсем "немного".  Фантазер.

> Вот только у редхата обновлены все поддерживаемые версии, а у дебиана - далеко не все.

Не все.  Буратины, которые не вкурсе что поддержка Lenny закончится через 3 дня - пока подождут.

> В задницу такую "поддержку".

Люди делают качественную работу, причем на хорошем уровне (чуть даже быстрее RHEL иногда, как в этот раз) и бесплатно.  Только форумные тролли вроде тебя считают, что им кто-то что-то должен и писают фонтаном от того, что им дали объедки со стола клиентов RHEL в виде обновлений для CentOS и прочих клонов.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

68. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  –1 +/
Сообщение от Аноним (??) on 03-Фев-12, 15:33 
> Ага, совсем "немного".  Фантазер.

Вы таки утверждаете, что suhosin дает 100% гарантию от этой дыры?

> Не все.  Буратины, которые не вкурсе что поддержка Lenny закончится через 3 дня - пока подождут.

Важно их отношение к безопасности. В следующий раз будет "Буратины, которые не вкурсе что поддержка squeeze закончится через год - пока подождут. Ну и хрен с ним, что критическая дыра. Нам как-то влом."

> Люди делают качественную работу, причем на хорошем уровне

В RHEL - да.
А про дебиан такое теперь не скажет даже самый лживый демагог. Свое отношение к пользователям они продемонстрировали четко и недвусмысленно.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

71. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от myhand (ok) on 03-Фев-12, 15:57 
> Вы таки утверждаете, что suhosin дает 100% гарантию от этой дыры?

100% гарантии раздают только мошейники.  Но вероятность эксплуатации уязвимости - да, близка к 0.  Это я еще не упомянул что DEB_BUILD_HARDENING включен.

> Важно их отношение к безопасности. В следующий раз будет

Вот когда "будет" - тогда и скажете.  Обновление для Lenny уже давным давно доступно в CVS.  Лень проверять - может уже и выгрузили.

> В RHEL - да.
> А про дебиан такое теперь не скажет даже самый лживый демагог. Свое
> отношение к пользователям они продемонстрировали четко и недвусмысленно.

Тем что выпустили обновление, как нередко бывает, вперед RHEL? :)  Мне нравится такое отношение.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

74. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +1 +/
Сообщение от Аноним (??) on 03-Фев-12, 18:04 
> Вот только у редхата обновлены все поддерживаемые версии, а у дебиана - далеко не все.

O_O нихрена себе вборс.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

76. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от Andrey Mitrofanov on 03-Фев-12, 18:46 
>> Вот только у редхата обновлены все поддерживаемые версии, а у дебиана - далеко не все.
> O_O нихрена себе вборс.

Он прав же. Ср.:

https://rhn.redhat.com/errata/RHSA-2012-0093.html
    "available for Red Hat Enterprise Linux 4, 5 and 6."

http://www.debian.org/security/2012/dsa-2403
    "For the oldstable distribution (lenny), no fix is available at this time."

+++Они опять убили Ленни, сволочи!
---А обещали ещё _целых_ _три_ _дня_ поддержки oldstable.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

79. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от myhand (ok) on 03-Фев-12, 19:08 
> +++Они опять убили Ленни, сволочи!
> ---А обещали ещё _целых_ _три_ _дня_ поддержки oldstable.

Не кормите троллей.  Обновление для oldstable было доступно еще утром.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

80. "Критическая уязвимость в"  +/
Сообщение от Andrey Mitrofanov on 03-Фев-12, 20:06 
> Не кормите троллей.  Обновление для oldstable было доступно еще утром.

Да ну нафиг...
     php5_5.2.6.dfsg.1-1+lenny16.dsc 03-Feb-2012 14:56
Это 18:56 по Москве, то есть за _12_(?!) минут до твоего поста.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

83. "Критическая уязвимость в"  +/
Сообщение от myhand (ok) on 03-Фев-12, 21:39 
>> Не кормите троллей.  Обновление для oldstable было доступно еще утром.
> Да ну нафиг...
>      php5_5.2.6.dfsg.1-1+lenny16.dsc 03-Feb-2012 14:56
> Это 18:56 по Москве, то есть за _12_(?!) минут до твоего поста.

Смотрел дату метки релиза в CVS.  Таки не кормите ;)

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

28. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  –1 +/
Сообщение от Аноним (??) on 03-Фев-12, 06:26 
Это как с полковником кольтом. Вот раньше были сишники, удел которых был писать серьёзные софты, в том числе всякие сетевые. И был бейсик с паскалем, где ютились начинающие софтописатели и те, кто по какойто причине остановился в прогрессе. Любой сишник мог всегда опустить вторых. И вот появился PHP c JAVA и уровнял всех в правах. Теперь мало кто пишет софт для сети на сях, зато даже начинающий школьник может начать писАть на PHP и JAVA.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +2 +/
Сообщение от Аноним (??) on 03-Фев-12, 09:08 
>Теперь мало кто пишет софт для сети на сях, зато даже начинающий школьник может начать писАть на PHP и JAVA.

Но язык - лишь инструмент и результат начинающего школьника похож на го#но.


>И вот появился PHP c JAVA и уровнял всех в правах.

Так кажется только при поверхностном и беглом анализе (плохо, если вы этим довольствуетесь), поэтому это не отражает суть. Никогда noobies не равно hackers. Но потребители дешевого кода гоняются за дешевизной и ширпотребом (и школ пойдет если за 2 копейки).

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

90. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от AdVv email(ok) on 06-Фев-12, 23:02 
> Это как с полковником кольтом. Вот раньше были сишники, удел которых был
> писать серьёзные софты, в том числе всякие сетевые. И был бейсик
> с паскалем, где ютились начинающие софтописатели и те, кто по какойто
> причине остановился в прогрессе. Любой сишник мог всегда опустить вторых. И
> вот появился PHP c JAVA и уровнял всех в правах. Теперь
> мало кто пишет софт для сети на сях, зато даже начинающий
> школьник может начать писАть на PHP и JAVA.

Я тебе еще раз повторю для верности, PHP написан на С, языке, который предлагает массу возможностей отстрелить себе ногу. Ошибку сделал не "начинающий софтописатель" а "сишник, удел которых был писать серьёзные софты". Судя по твоей логике виноват в этом PHP. Как в анекдоте про лису, которая родила поросят потому что все мужики - свиньи. Твой удел - цирковой артист, использующий приемы гротеска и буффонады.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

29. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +/
Сообщение от Аноним (??) on 03-Фев-12, 06:32 
PHP - самый популярный язык в вебе. Он по-своему ужасен и не логичен, имеет постоянные проблемы и критические уязвимости, но сайтостроители хавают.
Windows - самая популярная ОС для домашних ПК. Она по-своему ужасна и не логична, имеет постоянные и критические уязвимости, но домохозяйки хавают.
Видимо секрет успеха не в том, чтобы все стабильно работало, не в гибкости и расширяемости системы, а, наоборот, в очевидных ограничениях и трудностях, ну и плюс маркетинг и пиар.

Все-таки в дерьме что-то есть, миллионы мух не могут ошибаться (с) Станислав Ежи Лец.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +6 +/
Сообщение от SubGun (ok) on 03-Фев-12, 10:37 
Что ж, за ушлый вы народ,
Прямо оторопь берет.
Всяк другого мнит уродом,
Несмотря, что сам урод.
(с) Сказ про Федота-Стрельца
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

51. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +1 +/
Сообщение от Maris on 03-Фев-12, 12:26 
Приравнивать популярность PHP со стороны пиара и маркетинга к Windows не совсем корректно. За масштабами пиара и маркетинга, а также усилиями Microsoft по внедрению своего OS в notebooks и учебные заведения (бесплатные лицензии), стоят миллионы а может и миллиарды. Популярность PHP по таким критериям никак несравнима с популярностью windows.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

89. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  –1 +/
Сообщение от AdVv email(ok) on 06-Фев-12, 22:47 
> Приравнивать популярность PHP со стороны пиара и маркетинга к Windows не совсем
> корректно. За масштабами пиара и маркетинга, а также усилиями Microsoft по
> внедрению своего OS в notebooks и учебные заведения (бесплатные лицензии), стоят
> миллионы а может и миллиарды. Популярность PHP по таким критериям никак
> несравнима с популярностью windows.

Ты не улавливаешь суть, у посредственностей всегда есть желание выделиться, почувствовать себя уникальным, принадлежащим к элитарному меньшинству. Чтобы потом погнуть пальцы, брезгливо морщить нос и кидаться фекалиями. И не важно что будет выбрано в качестве мишени, Дима Билан, PHP или Windows, это все явления одного порядка.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

32. "Критическая уязвимость в PHP 5.3.9, позволяющая выполнить ко..."  +2 +/
Сообщение от Аноним (??) on 03-Фев-12, 08:55 
Еще одно доказательство старой истины- программирование это процесс устранения одних ошибок и добавление других.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Критическая уязвимость в PHP, позволяющая выполнить код на с..."  +/
Сообщение от Аноним (??) on 03-Фев-12, 11:45 
МНЕ КАЖЕТСЯ, что я нашёл ещё одну уязвимость в PHP-5. (Fedora 16+SELinux. php-код вешает MySQL-сервер из PHP, перестают работать все виртуалхосты, зависимые от MySQL) Я не слишком разбираюсь в этом и не уверенн, что это баг (может быть я попытался сделать неправильное действие), но всё-же на всякий случай наверное стоило-бы сообщить разработчикам. Скажите пожалуйста куда обратиться с предполагаемым багом.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Критическая уязвимость в PHP, позволяющая выполнить код на с..."  +/
Сообщение от Аноним (??) on 03-Фев-12, 12:10 
если не слишком разбираешься, то и не нужно писать. возможно, об ошибку уже знаю, поищи на англоязычном багтрекере. прочитай английский howto как правильно сообщать об ошибках. и только если будешь все готов сделать правильно, то пиши. в федора ошибок в любом случае немеряно.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

85. "Критическая уязвимость в PHP, позволяющая выполнить код на с..."  +/
Сообщение от Michael Shigorin email(ok) on 04-Фев-12, 19:57 
> Скажите пожалуйста куда обратиться с предполагаемым багом.

https://bugzilla.redhat.com

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

49. "Критическая уязвимость в PHP, позволяющая выполнить код на с..."  +/
Сообщение от Аноним (??) on 03-Фев-12, 12:08 
в каких дистрибутивах используется уязвимая версия php? что-то мне кажется не так много их.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "Критическая уязвимость в PHP, позволяющая выполнить код на с..."  +/
Сообщение от Аноним (??) on 03-Фев-12, 12:37 
> в каких дистрибутивах используется уязвимая версия php? что-то мне кажется не так
> много их.

В половине. Многие дистрибутивы эту пресловутую защиту от DoS-атаки портировали и за одним новую дыру открыли.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

55. "Критическая уязвимость в PHP, позволяющая выполнить код на с..."  –1 +/
Сообщение от Аноним (??) on 03-Фев-12, 13:39 
Дебиановцы, как всегда, отличаются прекрасным качеством поддержки:
> For the oldstable distribution (lenny), no fix is available at this time.

Если не собираешься поддерживать свои продукты, нафига людей обманывать?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "Критическая уязвимость в PHP, позволяющая выполнить код на с..."  +1 +/
Сообщение от Аноним (??) on 03-Фев-12, 13:40 
Народ, скажите пожалуйста, как сильно отстает remi репозиторий от выпуска самых последних апдейтов php?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Критическая уязвимость в PHP, позволяющая выполнить код на с..."  +/
Сообщение от ILYA INDIGO (ok) on 03-Фев-12, 15:21 
Ожидал ещё вчера релиза 5.4.0, а тут на тебе...
Как говориться хотели как лучше, а вышло как всегда!
Радует что я сначала обновился до 5.3.10, но офф сайте так и не понял причину обновления, а тут уже потом прочитал её.
Хоть что то на openSUSE собирают мгновенно :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

84. "Критическая уязвимость в PHP, позволяющая выполнить код на с..."  +/
Сообщение от Анонист on 04-Фев-12, 00:49 
на фре не запашет там есть фаршировка рандумизации адресации
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

86. "Критическая уязвимость в PHP, позволяющая выполнить код на с..."  +1 +/
Сообщение от Аноним (??) on 05-Фев-12, 23:05 
в Fedora 16 до сих пор не обновили. Уже три дня прошло.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

91. "Критическая уязвимость в PHP, позволяющая выполнить код на с..."  +/
Сообщение от Аноним (??) on 07-Фев-12, 19:07 
Уже ПЯТЬ дней - и в Fedora 16 так и нет обновления.
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

92. "Критическая уязвимость в PHP, позволяющая выполнить код на с..."  +/
Сообщение от Аноним (??) on 11-Фев-12, 22:58 
В итоге обновил 10 января. 8-го ещё не было обновления, а вот 9-го не помню проверял ли.
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

87. "Критическая уязвимость в PHP, позволяющая выполнить код на с..."  +/
Сообщение от Ne01eX email(??) on 06-Фев-12, 08:27 
А чё альты такие расслабленные? У них-то как раз очки ломы должны перекусывать, - php5-5.3.8.20110823-alt2 до сих пор.

P.S. Райдеру привет =)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру