The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Корректирующие выпуски PHP 5.6.27 и 7.0.12. Dailymotion перешёл на PHP 7

15.10.2016 09:52

Опубликованы корректирующие выпуски языка программирования PHP 7.0.12 и 5.6.27, в которых внесено 52 изменения, в том числе устранено несколько уязвимостей. Из связанных с безопасностью исправлений выделяются переполнения буферов в функциях virtual_popen(), password_verify() и number_format(), обращений к уже освобождённым блокам памяти в функции unserialize(), некорректная работа crypt при указании слишком длинной соли, устранение серии уязвимостей в библиотеках GD, PCRE и OpenSSL. Возможно исправлены и другие проблемы с безопасностью, так как уязвимости явно не отделяются от ошибок и не выделены в публикуемом на сайте PHP списке изменений.

Из связанных с PHP материалов также можно отметить отчёт о переходе на PHP 7 сайта Dailymotion (третий по посещаемости видеохостинг, после YouTube и Vimeo). Отмечается, что в прошлом году Dailymotion экспериментировал с переходом на HHVM, использование которого позволило в два раза снизить время отклика и сократить потребление памяти. Но переход на HHVM был отклонён из-за большого числа несовместимостей с имеющейся кодовой базой (в Dailymotion использовался PHP 5.5) и проблемами с выполнением собственных PHP-расширений. После выхода PHP 7, Dailymotion перешёл к экспериментам с PHP 7 и выяснил, что по производительности, потреблению памяти и нагрузке на CPU решение на базе PHP 7 сопоставимо с HHVM, но уровень стабильности и совместимости значительно выше. На чистку несовместимостей и адаптацию старых расширений в старой кодовой базе, которая выполнялась в окружении PHP десятилетней давности, потребовалось менее недели.



  1. Главная ссылка к новости (http://php.net/index.php#id201...)
  2. OpenNews: Корректирующие выпуски PHP 5.5.38, 5.6.24 и 7.0.9. Первая бета-версия PHP 7.1
  3. OpenNews: Началось альфа-тестирование PHP 7.1
  4. OpenNews: Обновление PHP 5.5.36, 5.6.22 и 7.0.7 с устранением уязвимостей
  5. OpenNews: Корректирующие выпуски PHP 5.5.35, 5.6.21 и 7.0.6 с устранением уязвимостей
  6. OpenNews: Обновление PHP 5.5.34, 5.6.20 и 7.0.5 с устранением уязвимостей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/45324-php
Ключевые слова: php
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (40) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:40, 15/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –3 +/
    >так как уязвимости явно не отделяются от ошибок и не выделены в публикуемом на сайте PHP списке изменений.

    Все правильно. Иначе все бы офигели от количества дыр.

     
  • 1.2, YetAnotherOnanym (ok), 11:42, 15/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    > в которых внесено 52 уязвимости, при этом устранено несколько ранее существовавших уязвимостей.

    Fixed.
    Кстати, /*переходя на заговорщицкий шёпот*/ а вдруг, PHP - это тоже проект NSA?
    /*здесь должна быть картинка с динозавром, трогающим когтём подбородок*/

     
     
  • 2.5, anonymous (??), 12:52, 15/10/2016 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Не-не-не, все знают что PHP -  это проект ZOG
     
     
  • 3.7, Led (ok), 23:04, 15/10/2016 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > Не-не-не, все знают что PHP -  это проект ZOG

    Ты думаешь, что ZOG *настолько* тупые?

     

  • 1.3, Аноним (-), 12:11, 15/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > Опубликованы корректирующие выпуски языка программирования PHP 7.0.11

    А разве не 7.0.12?

     
  • 1.6, Аноним (-), 13:34, 15/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    *7.0.12
     
  • 1.8, Аноним (-), 10:31, 16/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –4 +/
    PHP - что может быть хуже? %{Любой язык}% лучше PHP.
     
     
  • 2.9, анонимус (??), 10:34, 16/10/2016 [^] [^^] [^^^] [ответить]  
    		• +5 +/
    Javascript очевидно
     
     
  • 3.11, Аноним (-), 10:45, 16/10/2016 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Просто такие умники как ты не в состоянии оценить красоту и изящество Rust.
     
  • 2.14, angra (ok), 10:53, 16/10/2016 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ты просто мало ЯП знаешь :)
     
     
  • 3.16, Аноним (-), 10:57, 16/10/2016 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Ты просто мало ЯП знаешь :)

    Лучше мало, но как следует )

     
     
  • 4.19, Аноним (-), 14:36, 16/10/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    И ведь не поспоришь!!!
     
  • 2.22, Аноним (-), 15:04, 16/10/2016 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    swift
     
     
  • 3.30, Аноним (-), 07:16, 17/10/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    А чем swift не угодил?
     
     
  • 4.31, Аноним (-), 09:36, 17/10/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    Я о swift слышал только от коллег, плюс пару раз сидел с ними, разбирался в каких-то проблемах без слишком глубокого вникания в синтаксис, так что моё мнение не сильно объективное. Но вот, ччто меня лично не устраивает:

    1. постоянные знаки вопроса и восклицания (это конечно здорово, что можно указать, может ли переменная быть nil, но неужели нельзя было это сделать как-то более элегантно?),
    2. в функциях нужно именовать параметры, начиная со второго (ясно, что это костыль, оставшийся от совместимости с Objective C), почему не ВСЕ?
    3. операторов инкремента (больше) нет,

    Уверен, что ещё куча всего.

    И из-за того, что язык не продумывается, а разработчики просто докостыливают решения текущих проблем, вытекает:

    4. постоянные обратно несовместимые изменения языке.

    Даже php с полурабочим == не так ужасен.

     
     
  • 5.36, Аноним (-), 06:02, 18/10/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    соглашусь swift 3 и ниже ужасны. дорога им в аду
     

  • 1.10, Gemorroj (ok), 10:40, 16/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +10 +/
    в любой новости про php найдется кучка даунов, которые сочтут своим долгом полить грязью язык (это же так модно хейтить php)
     
     
  • 2.12, Аноним (-), 10:46, 16/10/2016 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    > в любой новости про php найдется кучка даунов, которые сочтут своим долгом
    > полить грязью язык (это же так модно хейтить php)

    Ругаться не хорошо. Это показывает твой низкий уровень интеллекта. Прочь с OpenNet!

     
  • 2.17, Аноним (-), 11:41, 16/10/2016 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > сочтут своим долгом полить грязью язык

    Его не нужно поливать. Он с самого начала таким рос.
    > это же так модно хейтить php

    Во-первых: моде этой уже как минимум лет 15.
    Во-вторых: вы наверняка хейтер коричневой, пахучей субстанции? Или вы ее обожаете? Ведь иного отношения к чему-либо для вас, похоже, не существует.

     
  • 2.20, Аноним (-), 14:37, 16/10/2016 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    А чем ты лучше этой кучки? Показал свой интеллект, обозвал людей.
     
  • 2.23, dsfdsgfsdgsdf (?), 15:49, 16/10/2016 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    php со своим коммьюнити и инфраструктурой позволяет одному человеку реализовать сложный проект, хотя и не без недостатков.
    Это вызывает батхерт джуниоров и уборщиц из больших компаний, которые вольны от лица этих компаний и обсирать язык.
     
     
  • 3.25, Аноним (-), 21:49, 16/10/2016 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > php со своим коммьюнити и инфраструктурой позволяет одному человеку реализовать сложный
    > проект, хотя и не без недостатков.

    Сложный, с точки зрения пэхапэшника? Несомненно.
    Правда, почему-то ни одной ОСи на пхп никто нигде не видел. Да и в качестве бэкэнда почему-то предпочитаются всякие нжинксы с апачами, которые отнюдь не на пхп написаны.


     
     
  • 4.26, Gemorroj (ok), 21:57, 16/10/2016 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    ты дурак?
     
     
  • 5.27, Аноним (-), 23:47, 16/10/2016 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > ты дурак?

    Отличный аргумент в споре. В стиле пхпышника. А вот баги в стиле:
    https://bugs.php.net/bug.php?id=61095
    [CODE]
    These echoes 4:
    echo (0x00+2);
    echo (0x00+0x02);
    but they should echo 2! This echoes 2 as expected:
    echo (0x00 + 2);
    [/CODE]

    https://bugs.php.net/bug.php?id=69588
    [CODE]
    That does explain why e.g. "10" == "0xa" evaluates to true. Now I would expect that every other representation of 10 would do the same. It doesn't for binary and octal representations. I.e "10" == "0b1010" evaluates to false, the same for "10" == "012".[/CODE]
    и куча
    http://www.cryptofails.com/post/70059594458/cakephp-using-rand-to-build-a-str
    http://www.cryptofails.com/post/70059594911/cakephp-using-the-iv-as-the-key
    > They realized it was weak and attempted to fix it by using the Rijdnael cipher instead.
    > They even used CBC mode. But instead of generating a random IV for every encryption,
    > they used the key as the IV    .

    как бы, намекают на «качество» инструмента,  и уровень знаний ярых приверженцев оного )

     
     
  • 6.28, cmp (ok), 04:45, 17/10/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    ты точно дурак,
    сравнивать пхп с нжинкс, о_О
    или расскажи нам об осях на питоне, или на руби, или чем угодно другом кроме си, которые запускаются на реальном железе отличном от железа разрабов.

     
     
  • 7.34, Аноним (-), 12:23, 17/10/2016 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    >>всякие нжинксы с апачами, которые отнюдь не на пхп написаны.
    > ты точно дурак,
    > сравнивать пхп с нжинкс, о_О

    Пхпышники не в курсе, что такое нжинкс o_O

    > или чем угодно другом кроме си, которые запускаются на реальном железе отличном от
    > железа разрабов.

    https://www.redox-os.org/
    http://kolibrios.org/en/index
    http://j-software.dk/rtos.php
    https://github.com/laksen/fp-rtos
    https://sourceforge.net/projects/toro/#screenshots
    И целая куча:
    http://wiki.osdev.org/Projects


     
  • 4.37, KonstantinB (ok), 06:05, 18/10/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    На языке Personal Home Page нет ни одной ОС.
    Удивительно!
     
  • 3.32, Куяврег (?), 10:45, 17/10/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    есть большие сомнения, что гражданам без понимания элементарных вещей, к примеру, сложность алгоритма, нужно браться за "сложный проект". хотя конечно можно нассать в глаза менеджерам "я реализовал сложный проект", гордо походить гоголем до старта в продакшене, а потом визжать что все кругом джуны и уборщицы и надо докупить миллион серверов, потому что масштабируется эта поделка дегенерата никак.
     
     
  • 4.33, sdgadhdhgfsgd (?), 11:20, 17/10/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    >>потому что масштабируется эта поделка дегенерата никак

    Ошибки случаются, опыт из ниоткуда не возьмется. И у вас получится. На первое время наймите нормального архитектора.

     
     
  • 5.41, Куяврег (?), 15:57, 18/11/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    > Ошибки случаются, опыт из ниоткуда не возьмется. И у вас получится. На
    > первое время наймите нормального архитектора.

    Троллинг годный, оценил и улыбнулся. Но в принципе да, если это из-за недостатка опыта - это исправляется. Другое дело, что хотелось бы видеть такие вещи в учебных заведениях. Есть не везде. Дипломированный специалист без понятия сложности алгоритма это очень печально.

     
  • 4.35, Бугога (?), 17:50, 17/10/2016 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Хехе, зато офигительные рубисты на рельсах сразу требуют мульён серверов для обслуживания 800к хитов в сутки на проекте, где в динамике нужны ровно две страницы: поиск и форма обратной связи :о)
     
     
  • 5.40, Куяврег (?), 14:18, 18/11/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    > Хехе, зато офигительные рубисты на рельсах сразу требуют мульён серверов для обслуживания 800к хитов в сутки на проекте

    Это не радует, конечно. Но! Даже такой вариант принципиально и сильно лучше внезапного "прозрения", что "все кругом удоды, из-за них нужен миллион серверов" _после_ старта в продакшен.

     

  • 1.13, Аноним (-), 10:50, 16/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +6 +/
    Дейлимошен? Никогда о нем не слышал.
     
     
  • 2.15, Аноним (-), 10:56, 16/10/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    Зачем он нам, если есть YouTube?
     
     
  • 3.18, Аноним (-), 14:34, 16/10/2016 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Даже не знаю, Vimeo еще понятно, я там ролики заливаю, которые Youtube выпиливает, сраные левообладатели понимашь, а вот Делимошен ваще невнятная тема.
     
     
  • 4.21, Аноним (-), 14:54, 16/10/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну ок.
     

  • 1.24, Аноним (-), 20:34, 16/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А где же отчёт? По ссылке выкипедия про контору и ни слова о php
     
     
  • 2.29, Аноним (-), 07:14, 17/10/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    http://engineering.dailymotion.com/php-7-deployment-at-dailymotion/
     

  • 1.38, бедный буратино (ok), 07:21, 18/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    я видел ос на PHP

    eyeOS

     
     
  • 2.39, Кот Базилио (?), 14:17, 18/10/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    Давай так, я этого не видел. Ладно?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру