The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от opennews (??) on 20-Июл-12, 10:15 
Представлены (http://www.php.net/archive/2012.php#id2012-07-19-1) внеплановые корректирующие выпуски PHP 5.4.5 и 5.3.15, в которых исправлено более 30 ошибок (http://www.php.net/ChangeLog-5.php) и устранена опасная уязвимость в реализации функции _php_stream_scandir (CVE-2012-2688 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2688)). Подробности об исправленной уязвимости не сообщаются, но судя по патчу (http://permalink.gmane.org/gmane.comp.php.cvs.general/58402), она может привести к переполнению буфера при обработке через интерфейс stream (http://ru2.php.net/manual/en/book.stream.php) специально оформленного содержимого директорий.


Из других исправленных проблем можно отметить крах при использовании определённых salt-значений в хэшах SHA256/512, повреждение памяти при большом числе одновременных вызовов ReflectionMethod, формирование некорректных ссылок на объекты в serialize(), крахи в php-fpm, утечки памяти в расширениях  XML Writer и Intl.

URL: http://www.php.net/archive/2012.php#id2012-07-19-1
Новость: http://www.opennet.ru/opennews/art.shtml?num=34372

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от me (??) on 20-Июл-12, 10:15 
> крах при использовании определённых salt-значений в хэшах SHA256/512, повреждение памяти при большом числе одновременных вызовов ReflectionMethod, формирование некорректных ссылок на объекты в serialize(), крахи в php-fpm, утечки памяти в расширениях XML Writer и Intl.

я бы добавил: "Несмотря на это, PHP был и остаётся одним из популярнейших языков для web-разработки"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от rshadow (ok) on 20-Июл-12, 10:46 
95% веб разработчиков пишут на php
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +3 +/
Сообщение от terr0rist (ok) on 20-Июл-12, 11:45 
и 100% веб-разработчиков пишут хтмл.
Только количество "веб-разработчиков" не гарантирует качества веб-приложения.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от ананим on 20-Июл-12, 10:48 
можно подумать в жабе, дотнете, (что там ещё?) ошибок меньше.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  –1 +/
Сообщение от rshadow (ok) on 20-Июл-12, 10:50 
http://habrahabr.ru/post/142140/
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от ананим on 20-Июл-12, 11:02 
про жабу с дотнетом не меньше слезливых откровений и чё?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от kuraga (ok) on 20-Июл-12, 11:44 
А вот про Руби меньше)))
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от Аноним (??) on 20-Июл-12, 11:59 
ну, это пока
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от kuraga (ok) on 20-Июл-12, 12:09 
Да, не спорю. Но не факт, что и рубин не будет улучшаться... Хотя с быстродействием ситуация бодрящая.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

27. "(offtopic) ruby"  +/
Сообщение от Michael Shigorin email(ok) on 21-Июл-12, 09:40 
> А вот про Руби меньше)))

Там главная уязвимость пока -- мисменеджмент выпуска и представления 1.9 :(

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

29. "(offtopic) ruby"  +/
Сообщение от kuraga (ok) on 21-Июл-12, 10:14 
Простите, о чем речь?..
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "(offtopic) ruby"  +/
Сообщение от Michael Shigorin email(ok) on 21-Июл-12, 11:37 
> Простите, о чем речь?..

Написал было подробней, да стёр.

Релизы 1.6/1.7/1.8 были прекрасно отменеджены (включая shim), а вот с 1.9 что-то непонятное произошло: нестабильную ветку стали использовать для работы (а не только разработки следующих версий фреймворков и прикладухи) -- при том, что на 2.0 были заранее анонсированы заметные несовместимости вследствие выравнивания старых просчётов.

Такое ощущение, что matz духа не хватило гаркнуть на понабежавших торопыг и объяснить, чем это чревато...

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "(offtopic) ruby"  +1 +/
Сообщение от kuraga email(ok) on 21-Июл-12, 14:38 
Спасибо! Пока не в курсе таких вещей...)))
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "(offtopic) ruby"  +/
Сообщение от Andrey Mitrofanov on 21-Июл-12, 18:11 
> Спасибо! Пока не в курсе таких вещей...)))

О! Вы ещё позаглядывайте на страничку download проекта rails. С каждым релизом такие интриги... Шекспир и Донцова! "Вышел рейлс vN+0.0.1. Рекомендуется использовать ruby версии ==1.X.Y. Текущая версия 1.X.Y+3 чётт... не того, а на 1.X.Y-1 (от предыдущего релиза) уже не работает совсем-совсем. Никакой речи про ruby 1.X+1 просто не может быть -- оно же "нестабильное", пред-став-ля-ет-е??!"

Вот прям сейчас: ""We recommend Ruby 1.9.3 for use with Rails. Rails 3.2 is the last one that supports Ruby 1.8. Ruby 1.8.6 and earlier are not supported, neither is version 1.9.1.

+++Молодым бойцам -- к обязательному ознакомлению.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

18. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  –1 +/
Сообщение от rshadow (ok) on 20-Июл-12, 13:58 
Ссылки в студию, очень почитать хочется. Тем более ни на чем этом я не пишу.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от terr0rist (ok) on 20-Июл-12, 11:54 
>> крах при использовании определённых salt-значений в хэшах SHA256/512, повреждение памяти при большом числе одновременных вызовов ReflectionMethod, формирование некорректных ссылок на объекты в serialize(), крахи в php-fpm, утечки памяти в расширениях XML Writer и Intl.
> я бы добавил: "Несмотря на это, PHP был и остаётся одним из
> популярнейших языков для web-разработки"

* internet explorer остаётся одним из популярнейших браузеров
* windows остаётся одной из популярнейших операционных систем

и вообще если человек покупает хостинг и ставит на него жумлу/вордпресс/хз что, ни разу в жизни не программировав ни на пыхе, ни на даже бейсике, причём здесь веб-разработка?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от Нету имени on 20-Июл-12, 10:42 
Был, остаётся, и будет оставаться ещё десяток лет минимум, потому как слишком много всего уже сделано, и перманентно отказываться от всего, и начинать переписывать с нуля могут себе позволить только никчёмные анонимные АНАЛитики.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +1 +/
Сообщение от terr0rist (ok) on 20-Июл-12, 11:49 
> Был, остаётся, и будет оставаться ещё десяток лет минимум, потому как слишком
> много всего уже сделано, и перманентно отказываться от всего, и начинать
> переписывать с нуля могут себе позволить только никчёмные анонимные АНАЛитики.

Ничего подобного. Переписывать с нуля, может быть, и не имеет смысла, но начинать новые проекты на пыхе в последнее время стали явно меньше. А через года три-четыре пых останется только там, где сидят последние паралитики.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +1 +/
Сообщение от Аноним (??) on 20-Июл-12, 12:48 
Встречаемся здесь через три-четыре года.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

25. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от Тузя (ok) on 20-Июл-12, 23:41 
Что-то слишком оптимистичные прогнозы у вас.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от Medved (??) on 20-Июл-12, 12:41 
Непонятно почему тут ругают пыхеров-нубов. Уязвимости пачками находят в самом PHP, а не web-потугах новичков. Понятно, что на любом решении можно написать дырявый сайт. Но вот на PHP невозможно написать безопасный (чтобы можно было поставить и забыть), особенно на винде, где нет автообновления PHP.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  –1 +/
Сообщение от filosofem (ok) on 20-Июл-12, 23:29 
Нубы пистонисты недовольны нубами пыхапистами, потому что те пишут не на пистоне, из-за чего пистон не используется на каждом первом вэб-сайте, из-за чего в нем не находят дыры каждую неделю.
Пистон разрешаю заменить на Джава, Раби, асп-дот-хрень или что-то еще по вкусу.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

26. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от бедный буратино (ok) on 21-Июл-12, 04:45 
> Нубы пистонисты недовольны нубами пыхапистами, потому что те пишут не на пистоне, из-за чего пистон не используется на каждом первом вэб-сайте, из-за чего в нем не находят дыры каждую неделю.

Логика не свободного, но раба :)

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от Michael Shigorin email(ok) on 21-Июл-12, 09:45 
> Непонятно почему тут ругают пыхеров-нубов. Уязвимости пачками находят в самом PHP

Есть такое понятие -- культура, и поговорка такая -- "каков поп, таков и приход".

А начинающим разработчикам на php можно посоветовать почитать старое доброе A Study In Scarlet: http://seclists.org/bugtraq/2001/Jul/att-26/studyinscarlet.txt -- и не замыкаться на одном языке, хотя бы из любопытства поглядывать вокруг.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

23. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от Smile (??) on 20-Июл-12, 23:13 
у арчеводов как всегда машина времени, пакет пришел еще вчера.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от Аноним (??) on 22-Июл-12, 00:02 
А мы на 5.2.17 еще до сих пор живем, хорошо что http://code.google.com/p/php52-backports/ патчи безопасности поставляет регулярно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Релиз PHP 5.4.5 и 5.3.15 с устранением уязвимости"  +/
Сообщение от leo email(??) on 30-Сен-13, 12:07 
Где скачать можно эту версию? мне нужна эта версия или же 5.4.10 - на офф сайте нет возможности ее скачать подскажите пожалуйста
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру