The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Вышел PHP 5.2.6 с исправлением уязвимостей

02.05.2008 22:48

В новом релизе PHP 5.2.6 исправлено более 120 ошибок, среди которых несколько имеют отношение к безопасности:

  • Переполнение буфера в FastCGI SAPI;
  • Целочисленное переполнение в коде функции printf();
  • Проблема безопасности под номером CVE-2008-0599, подробности пока недоступны;
  • Возможность обхода ограничений safe_mode через cURL
  • Ошибка при передаче некорректной символьной последовательности в функцию escapeshellcmd();
  • Уязвимость в библиотеке PCRE, в PHP 5.2.6 произведено обновление до версии PCRE 7.6.

Ключевые исправления в PHP 5.2.6:

  • Две ошибки приводящие к краху процесса в коде posix дополнения;
  • Переедание памяти при соединении строк при помощи "." вместо ".=";
  • Возможность вызова приватного конструктора родительского объекта из статической функции;
  • Зацикливание в bz2_filter.c;
  • Утечка памяти в функциях использующих __toString();
  • Крах при передаче не инициализированных значений в функции вызывающие __get/__set;
  • Крах при передаче некорректных значений в pdo_pgsql;
  • Не вызывался метод __call() в случае вызова метода родителя из дочернего класса;
  • Крах при вызове метода xmlrpc_server_call_method();
  • Утечка памяти при преобразовании строк;
  • Проблемы с распределением памяти в SimpleXML.


  1. Главная ссылка к новости (http://www.php.net/releases/5_...)
  2. secunia.com: PHP Multiple Vulnerabilities
  3. frsirt.com: PHP Multiple Buffer Overflow and Restriction Bypass Vulnerabilities
  4. ChangeLog PHP 5.2.6
  5. securiteam.com: PHP GENERATE_SEED() Weak Random Number Seed Vulnerability
  6. securiteam.com: PHP Multibyte Shell Command Escaping Bypass Vulnerability
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/15671-php
Ключевые слова: php
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ufaweb (ok), 23:20, 02/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Вот решето, слов нету, сколько обновлении не выходит, критические ошибки всё находят и находят, уже не знаешь какой веб-серверу тюнинг дать, чтобы юзерские сайты пхпшные никому навредить не могли(
     
     
  • 2.2, Xarn (?), 23:38, 02/05/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Использовать виртуализацию?
    И вешать всю ответственность за проблемы на кривые руки клиентов.
    И предлагать за разумные деньги это исправить.
     
     
  • 3.3, ufaweb (ok), 23:44, 02/05/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    пока проблема решает разделением прав и квотировнием жеского диска (софт: nginx+fastcgi(php-fpm)).
     
  • 3.5, Michael Shigorin (ok), 11:03, 03/05/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    И ещё mod_security сверху, если бэкендом apache.  Не панацея, но малость помогает.
     
  • 2.4, InkviZitor (?), 10:48, 03/05/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Критические ошибки есть в любом софте, главное как оперативно их находят и решают.
     

  • 1.6, hardkiller (?), 12:45, 03/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    ггг))) сколько пхп не латай,
    а перл все равно лучше )))))
     
     
  • 2.8, dmsuslov (??), 20:30, 03/05/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Был бы лучше, если бы не его крипто-синтаксис...
     
     
  • 3.9, Dvorkin (??), 21:51, 03/05/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    в нем ничего не находят только потому что он никому не нужен :)
     
     
  • 4.15, nuclight (ok), 14:27, 05/05/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    http://www.opennet.ru/opennews/art.shtml?num=15565 свидетельствует об обратном. Такие крупные системы, как LiveJournal и Slashdot, к примеру, написаны на Perl.
     
  • 2.10, AmdY (ok), 06:22, 04/05/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Смешно даже, по товоему посту видно что слово perl ты просто слышал где-то, иначе бы догодался что в данном контексте про него лучше бы было промолчать.
    PCRE - как ты думаешь что это? В посте даже сслыка есть http://www.opennet.ru/opennews/art.shtml?num=12700
     
     
  • 3.11, WhiteWind (ok), 10:25, 04/05/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Для создания стандарта регулярных выражений не стоило писать целый язык программирования с синтаксисом в стиле регулярных выражений.
     
     
  • 4.12, AmdY (ok), 10:31, 04/05/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    >Для создания стандарта регулярных выражений не стоило писать целый язык программирования с
    >синтаксисом в стиле регулярных выражений.

    если языком пользуется хотя бы один человек, значит он создан не зря.


     

  • 1.7, Аноним (7), 19:56, 03/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    собрался + php-fpm, обновился, полет пока нормальный.
     
  • 1.13, Злостный (?), 17:13, 04/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Да помню, как-то ещё на 4.7(кажется) был у меня веселенький глюк, два часа искал ошибку в скрипте, пока не допёр что пыхпыху комент не нравится, ставил строкой выше или ниже - работало, ставил обратно - не работало.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру