В некоторых PHP-приложениях (http://blog.sucuri.net/2015/01/critical-ghost-vulnerability-...) выявлена потенциальная возможность эксплуатации критической уязвимости GHOST (https://www.opennet.ru/opennews/art.shtml?num=41549), позволяющей организовать выполнение кода при обработке специально оформленных данных в Glibc-функции gethostbyname. Язык PHP предоставляет функцию gethostbyname() (http://php.net/manual/en/function.gethostbyname.php), которая является обвязкой одноимённой функции libc, что делает уязвимыми использующие данный вызов web-приложения. В частности, наличие проблемы зафиксировано в коде системы управления контентом WordPress, в котором переданные пользователем значения напрямую используются в вызове gethostbyname при проверке URL функцией wp_http_validate_url().<center><a href="http://blog.sucuri.net/wp-content/uploads/2015/01/Sucuri-Get... src="https://www.opennet.ru/opennews/pics_base/0_1422684315.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
URL: http://arstechnica.com/security/2015/01/critical-ghost-bug-c.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=41577
Потому что php.
Потому что Microsoft свою Joomla продвигает, а то слишком многие соскочили с нее.
А вот с этого места поподробней пожайлуста...
> Потому что Microsoft свою Joomla продвигаетЧто, шарпойнт уже помер?!
>Что, шарпойнт уже помер?!Я конечно извиняюсь - но а что, он когда то был жив?! :)
> Потому что php.Да, php виноват в том что не перехватил контроль над системой и не заапдейтил либу нерадивому админу :). Но вы не сцыте - у ботнетов обычно конкуренция, так что первый прилетевший червяк либу вам запатчит, чтоб конкурентам не досталось! :)
Хоть в чём-то плюс червей xD
Ну уязвимая функция gethostbyname() объявлена устаревшей. В Python, например, gethostbyname использует getnameinfo()
> В Python, например, gethostbyname использует getnameinfo()Питонистов сразу видно. По уровню общей компетенции и уровню аргументации. Если некто ведет себя как пользователи BASIC 20 лет назад - это по любому питонист, которого долбят комплексы о том что его программа почти как настоящая, но почему-то вызывает кривую ухмылку у профессионалов.
А потом гугл с фесбуком допишут ИИ и "профессионалы с кривой ухмылкой" отправятся мести улицы, ибо машина будет программировать куда быстрее и точнее их. А питон и питонисты останутся, ибо искусство бессмертно и неавтоматизируемо.
> А питон и питонисты останутся, ибо искусство бессмертно и неавтоматизируемо.Адепты гвидобэйсика о себе слишком хорошего мнения. Гомнокод на тормозильном языке для нубов - не больно какое искусство.
> Адепты гвидобэйсика о себе слишком хорошего мнения. Гомнокод на тормозильном языке для
> нубов - не больно какое искусство.На нём написано столько не идеального - да, но полезного!!! софта, заработано столько бабла не торговлей оппой а программированием, что ты даже продав весь свой ливер не покроешь и десятой доли процента.
А теперь удар под дых - gethostbyname писали отнюдь не питонисты ... и ЧО?!?!? :))))))
вы этот глубокомысленный вывод сделали из факта того, что в python используется getnameinfo?вы не с Украины часом?
> вы этот глубокомысленный вывод сделали из факта того, что в python используется
> getnameinfo?Нет, этот глубокомысленный вывод сделан глядя на питонистов. Вот кстати еще один характерный кадр вылез в виде буратины. Эталонный писарь на (гвидо-)BASIC :).
> вы не с Украины часом?
А как же агенты госдепа, свидомиты, буржуи, враги народа, пятые колонны, пи...сы и кто у нас там еще в моде? :)
> А как же агенты госдепа, свидомиты, буржуи, враги народа, пятые колонны, пи...сы и кто у нас там еще в моде? :)дебилы щас в моде... судя по опеннету.
кстати, ответ на вопрос весьма характерен :)
> Нет, этот глубокомысленный вывод сделан глядя на питонистов. Вот кстати еще один характерный кадр вылез в виде буратины. Эталонный писарь на (гвидо-)BASIC :).
- а о чём сейчас думаете?
- о бабах
- а сейчас?
- о бабах!
- но почему?
- я всегда о них думаю!... каким образом связаны питонисты и getnameinfo - науке до сих пор неизвестно.
Да просто не понимает человек, что для разных задач и инструменты разные нужны. Вот и кажется ему, что его любимый молоток сгодится всюду, а если кто-то пользуется микроскопом, то он - дурак и срочно должен переучится на молоток.
Мне непонятна логика "если в кране нет воды, значит это питонисты". В любой беседе. По поводу и без. По-моему, это натуральная истерика.
> Мне непонятна логика "если в кране нет воды, значит это питонисты". В
> любой беседе. По поводу и без. По-моему, это натуральная истерика.Спокойно, BASIC в любом проявлении давно стал нарицательным.
> Спокойно, BASIC в любом проявлении давно стал нарицательным.Дык религия. Не думай - верь!
А по факту на той технике это был вполне себе обоснованный и __ПРАВИЛЬНЫЙ__ выбор.
Воткни питон\рябе\жаба* в ПЗУ 2-8КБ и рамы доступной 8-64КБ а я поржу :-\
Скажешь были ведь и солидные Ёвм! Были. Но к примеру Algol68 принципиально не лез даже в средний ряд, а только на 105Х\106Х ... это только у немногих было, и кстати там Си тоже не очень ценили. Рубилось всё на Фортран-4 + ассемблер (который там был шикарен)
Фортран малыш! Бейсик поле него как если бы с ног колодки снял во время заплыва :)
> А по факту на той технике это был вполне себе обоснованный и
> __ПРАВИЛЬНЫЙ__ выбор.Я тоже ассемблерщик, и примерно тех же лет xD
Давай для честности еще добавим, что в 2-8кб на 8080-совместимых и более молодых платформах интерпретатор бейсика нормальный было не запихать. Даже на ZX с его Z80, 16к ПЗУ и 48К мозга он куцый и медленный, как сволочь. Надо ли говорить, что на ZX80/ZX81 c 8-32к рамы он был скорее концептом? :) На тех платформах ассемблер/машинный код был единственным объективным и доступным выбором.
Фортран того времени - тоже тот ещё кирпич по объёму и производительности. Популярен был только в среде математиков, по понятным и объективным причинам; и ещё вообще в студенческой среде - но в последней просто потому, что на машкод мозга не хватало. Фокал еще был, идея неплоха, но в целом адовое угрёбище.
Ну а пихон/рубы/пых/вотэвер в такую платформу - это как слона в лисью нору xD Там даже куцых сявых рантаймов-то нормальных не было.
> Я тоже ассемблерщик, и примерно тех же лет xDЭх - жаль нельзя коньячку через форум тяпнуть! :)
Я сейчас в парк бегать (трусцой от ифаркта :-) ага ) а когда венусь отвечу. Есть ньюансы (С)
>> Я тоже ассемблерщик, и примерно тех же лет xD
> Эх - жаль нельзя коньячку через форум тяпнуть! :)
> Я сейчас в парк бегать (трусцой от ифаркта :-) ага ) а когда венусь отвечу.Вот вернулся - и подумал (глядя на вышесказанное): "Мои труды читать надо!"(С) :)
В смысле хоть что то дельное сказал.
> Есть ньюансы (С)Но ты их и так знаешь. Тогда ныли на медленный бэйсик и гото, теперь на то что монады не монадистые :)
А во все времена главным было не то на каком Езыге проект делался, а ... (только это до сих пор - ОЧЕНЬ БОЛЬШАЯ ТАЙНА!!!) - а то _кто_ этот проект делает.Так что доставай коньячок и "дзинь" - за то чтоб байты бегали правильно и быстро :)
а не в пхп это как-то иначе работает?
Удивительно, что бага в GLIBC аффектит все приложения, использующие забаженную функцию. Спасибо, Капитан :)
Glibc - это такой торт который должен понравится всем, поэтому в нем напичкано столько всего разного что не удивлено что теперь это разное лезет со всех щелей. Держат устаревшие функции ради совместимости, в угоду безопасности это неадекватный подход. Glibc = эдакий торт где каждый кусочек с разным вкусом и начинкой, это чтобы понравится сращу всем.
> Держат устаревшие функции ради совместимости,нормальный подход.
> в угоду безопасности
в ущерб имел в виду? да, так бывает, что устаревшая функция может нести угрозу безопасности, но не правило.
> это неадекватный подход.
сам придумал - сам назвал неакдекватным.
Это ладно, лично знаю одного оленя-директора, который до сих пор держит древний линукс, потому что "elastix нормальный", и как следствие его поимели через heardbleed, стали слать спам.
Я ему все разжевал, но его реакция была...да никакая как был устаревший лиукс, так и остался, главное что сервак спам не шлет, а то что у них уязвимый https - это насрать, типа "будем решать проблемы по мере их поступления".
> Это ладно, лично знаю одного оленя-директора, который до сих пор держит древний
> линукс, потому что "elastix нормальный", и как следствие его поимели через
> heardbleed, стали слать спам.
> Я ему все разжевал, но его реакция была...да никакая как был устаревший
> лиукс, так и остался, главное что сервак спам не шлет, а
> то что у них уязвимый https - это насpaть, типа "будем
> решать проблемы по мере их поступления".Олень не директор, олень - ты. В нормальном мире не чинят то, что не сломалось и не канпеляют ведро каждую неделю - ни при какой аргументации. Потому что ИТ для бизнеса, и обычно бизнес не софтверхаус. Чего ты и тебе подобные не поймут никогда.
> Олень не директор, олень - ты.Э - нет! Олень не директор, и не он, олень - ТЫ! :)
>В нормальном мире не чинят то, что не сломалосьоно сломалось. Всё равно не чинить?
>и не канпеляют ведро каждую неделю - ни при какой аргументации.Этого стараются избегать. Но если надо - делают и по дважды в день. Иначе - олени.
>Потому что ИТ для бизнеса, и обычно бизнес не софтверхаус.Даже если бизнес - это-непонятное-слово-только-для-Ылитки - есть нормальный бизнес а есть лавка рога и копыта. В нормальном почерепят, прикинут риски ... и будут действовать танцуя от этого. В твоём будут качать вагон и делать вид что едем.(С)
>Чего ты и тебе подобные не поймут никогда.Ну точно - Ылита из Верхнего Мухосранска :)
https://github.com/php/php-src/commit/882a375dbad4ecb1fddd9d...
?? ??? 2015, PHP 5.5.22
+- Core:
+ . Fixed bug #68925 (Mitigation for CVE-2015-0235 – GHOST: glibc gethostbyname
+ buffer overflow). (Stas)хотя навряд ли те, кто не обновляют glibc, поставят свежую версию PHP ;)
> хотя навряд ли те, кто не обновляют glibc, поставят свежую версию PHP ;)ты по-русски скажи - нам, хомячкам, которые крутят piwik и owncloud на php 5.5.21 на OpenBSD - что-нибудь грозит? неохота переснапшочивать закатанное.
то что в новости - не грозит.
всегда есть что-то другое )кстати забавно, что даже после релиза 5.6, 5.5 ветка у разработчиков PHP пока еще более приоритетна
> кстати забавно, что даже после релиза 5.6, 5.5 ветка у разработчиков PHP
> пока еще более приоритетнаНичего забавного. Вообще держаться на один релиз позади - типично для многих продакшн-применений. Не только с PHP, практически с любым софтом. Потому что пока успевают обкатать один - уже выходит новый, и начинается его обкатка.
> то что в новости - не грозит.А, ну тогда только дебиан восьмой подвисает. Но его не жалко. Тем более, там у меня php-cgi через spawn-fcgi падает постоянно, а php-fpm (что это вообще?) просто не запускается. В OpenBSD я хоть использую провереную временем технологию php -t . -S 127.0.0.1:8080 (или как-то так). Это, кстати, единственное светлое пятно - то, что я столько лет просил у Деда Мороза каждый год, появилось в php 5.4, я аж с ёлки упал, как узнал.
> более, там у меня php-cgi через spawn-fcgi падает постоянно, а php-fpm
> (что это вообще?) просто не запускается. В OpenBSD я хоть использую
> провереную временем технологию php -t . -S 127.0.0.1:8080 (или как-то так).Ужас какой. И он еще спрашивает, почему питонистами детей пугают.
> Ужас какой. И он еще спрашивает, почему питонистами детей пугают.Ну точно с Украины. Я, кроме них, нигде и никогда такой логики не видел, со времён анекдота про "а я всегда о них думаю".
>> Ужас какой. И он еще спрашивает, почему питонистами детей пугают.
> Ну точно с Украины. Я, кроме них, нигде и никогда такой логики не виделДа действительно похоже :)
Но с другой стороны, в смысле IT ребята там граммотные были ... однако поди ж ты :)
>в смысле IT ребята там граммотные были ... однако поди ж тыДа просто пока вы сидите зарывшись с головой в свои ассемблеры и прочее, гуманитарии тоже работают. Атомную бомбу изобрели физики, манипуляцию сознанием в массмедиа - гуманитарии. Счёт 1-1 если судить по негативным последствиям.
> в массмедиа - гуманитарии. Счёт 1-1 если судить по негативным последствиям.Если правильно применить изобретение физиков, счёт будет 99999999999999999...:1. Вот только никто такой "победы" по негативным последствиям не хочет :)
Угу, только перед его применением необходима обработка народа через массмедиа. Ну или голова, этими массмедиа уже покалеченная. Извечная философская проблема: что было раньше - курица или яйцо?
>> в массмедиа - гуманитарии. Счёт 1-1 если судить по негативным последствиям.
> Если правильно применить изобретение физиков, счёт будет 99999999999999999...:1.Это АПОФЕОЗ. Ничего, ничего ты не сможешь применить. Люди - первичны, их мотивация - первична. Ты можешь у них отсасывать и считать, что ты в раю. Ты даже не сможешь понять, когда у тебя сознание на какой стадии находится, и сам ты это придумал или тебя на эту информацию вели. И это будет определять твою мотивацию. Применит он что-то, ну-ну.
Вообще, все характерные признаки - налицо.
1. Главная проблема, про которую надо вещать, срываясь на истерику (мне вот интересно, когда вы про питонистов, или про другие главные проблемы вещаете - вы слюнями на монитор брызгаете?)
2. Обладание "истиной". И пофиг, что это не твои мысли, и пофиг, что это типичный шаблон - греет близость обладание "яркой индивидуальностью". Что у владельцев айфонов, что у другой истины.
3. Обида на весь мир, что эту истину не ценят. Навязывание, придумывание своей реальности, перекраивание аргументов в пользу своей непогрешимости и безошибочности.
4. Кара тех, кто не разделяет эту позицию. Полный отрыв от реальности, непонимание вообще каких бы то не было взаимосвязей. Это - апофеоз. Это - абсолютная позиция. Это - житие в царстве эльфов. Это - просто отрицание реальности, где нет тысяч неудобных фактов, а есть только те, которые подтверждают абсолютную позицию.
Смотрю я на это и думаю, это ж каким дебилом надо быть, чтобы обладать абсолютной позицией. Это такие "гении", которые собирают все черты гениев, кроме одного - гениальности. Копируют внешние эффекты, но напрочь не понимают сути. Дети интернета, которые собрали в своей голове все вершки, и получилась такая каша, что они и правда живут в иллюзии, что они всё знают, всё понимают, а их асболютная позиция - это то, как надо жить людям. Вот только я не вижу в их глазах счастья и радости жизни - раз они в любой, абсолютно в любой теме начинают свой вечерний ной просто разрушая и эту тему, и всякое общение в ней.И они просто не понимают. Вообще не понимают, ни того, как они смотрятся, ни того, что мир и всякие вещи происходящие в нём - гораздо сложнее того, что им в интернете тщательно в голову вложили, перед этим упростив и разжевав до того, что и самому думать не надо - знай, да выбирай "факты". Вот говоришь ему "товарищ, причём здесь это?". И ничего, товарищ не разделяет твоего недоумения, по его мнению ему в данном формате позволено всё. Скажешь ему, что он мудак - он снова не понимает, даже не видит взаимосвязи между этими событиями.
В общем, если в двух словах - всё, докатились. Шиза уже выкосила наши ряды. Ну, придётся принимать мир таким, каков он есть, а не упрощать всё до предела, а потом переходить на хамство по поводу каждого расхождения с реальностью :) Второе, конечно, проще, но так жизнь мимо пройдёт, а ты ничего и не поймёшь...
Первична только твоя клиническая тупость, дружок. Даже комментировать этот высер межушного ганглия смысла нет. Букв много, а толку от них - 1%, остальные 99% - вода и самолюбование.
> Первична только твоя клиническая тупость, дружок. Даже комментировать этот высер межушного ганглия смысла нет. Букв много, а толку от них - 1%, остальные 99% - вода и самолюбование.это вы сейчас своё превосходство в уме перед бедным мною продемонстрировали?
>> то что в новости - не грозит.
> А, ну тогда только дебиан восьмой подвисает.Если ты его не апдейтишь.
Если ты так поступаешь то и 7-ой тоже. (И ещё пачка линуксов и убунт).
В твоей OpenBSD ... как бы это сказать чтоб тебя не шокировать ... в общем ... там нету glibc 8-) ... от слова совсем :)
> В твоей OpenBSD ... как бы это сказать чтоб тебя не шокировать ... в общем ... там нету glibc 8-) ... от слова совсем :)а я знаю. я не жалуюсь, я хвастаюсь :)
Ах ви в _этом_ смисле! ... Ну Ок, защитано. :)
критика подхода уже есть ;)php-fpm ( fastcgi process manager ) - замена для spawn-fcgi, с возможностью управления параметрами пулов и chroot'ом, это как раз то, что следует использовать
Если не запускается - или что-то в конфиге не то, или с правами на сокет (если используется сокет а не tcp) или баг, который следует отрепортить, если конечно проявляется в актуальных версиях.
там всё проще - в контейнере тупо systemd не работает, сли я правильно понял. и пакет при установке крашится, от слова "совсем". и после этого его нельзя ни удалить штатными средствами (даже dpkg со всеми возможными force - не помогает), ни сделать что-то ещё - приходится напрямую переписывать базу данных "вас здесь не стояло". всё работает, а эта фигня не работает - поэтому экспериментировать даже не хочется. хочется понять, почему spawn-fcgi постоянно падает.
Так, а в других языках не используеться метод?
> Так, а в других языках не используеться метод?По разному. Поэтому лучше таки glibc обновить, благо уже ждя всех выпустили.
Что за бред то? Приведён код, где берётся опция из настроек в админке. Не проще ли этом случае php скрипт заборсить на хост с одним gethostbyname и никаких тебе усложнений с parse_url.
На самом деле проще и надёжнее всего пропатчить/обновить glibc, но это же так скучно :)
