В PHP обнаружена (http://thexploit.com/sec/critical-php-remote-vulnerability-i.../) одна из самых серьёзных уязвимостей за время существования данного языка. Уязвимость проявляется только в PHP 5.3.9 и позволяет удалённому злоумышленнику выполнить свой код на сервере, независимо от того какие PHP-скрипты используются.По иронии судьбы, уязвимость связанна с некорректным устранением менее опасной проблемы безопасности в прошлой версии PHP (https://www.opennet.ru/opennews/art.shtml?num=32775). Для защиты от совершения DoS-атаки, которая может быть вызвана проблемой (https://www.opennet.ru/opennews/art.shtml?num=32698) с предсказуемыми коллизиями в реализации алгоритма хэширования, в PHP 5.3.9 была добавлена директива max_input_vars, позволяющая ограничить число входящих параметров для поступающих HTTP-запросов. В реализации данной директивы была допущена досадная ошибка (https://bugs.php.net/bug.php?id=60708), которая сделала возможны...
URL: http://thexploit.com/sec/critical-php-remote-vulnerability-i.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=32976
> Стефан указал на то, что уязвимость в PHP пришлась весьма кстатиПрикольный метод напомнить о себе :)
> Это кто такие, помимо самоделкиных (./configure && make all install)?Все счастливые обладатели дистрибутивов, security team которых портировал исправление уязвиомсти из 5.3.9 в более старые версии.
> "Наш костыль не берут в upstream, возьмите хоть в дебиан".
У проекта PHP всегда было наплевательское отношение к безопасности.
> А ничего, что для python необходимости в подобном проекте нет?
А причем здесь Python ?
> Все счастливые обладатели дистрибутивов, security team которых портировал исправление уязвиомсти из 5.3.9 в более старые версии.Счастливые обладатели подобных дистрибутивов - имеют еще и включенный Suhosin патч (а то еще и расширение).
> А причем здесь Python ?
А чем здесь, казалось бы, должен он быть лучше?
>Это кто такие, помимо самоделкиных (./configure && make all install)?pacman -Ss php
extra/php 5.3.9-1
An HTML-embedded scripting language
Я же написал, кроме самоделкиных: ССЗБ, арчеводов и гентушников просят не беспокоиться.
По логике, самоделкины - как раз мейнтейнеры бинарных дистров, которые сами собирают пакеты, вместо того, чтобы оставлять это пользователям.
> По логике, самоделкины - как раз мейнтейнеры бинарных дистров, которые сами собирают
> пакеты, вместо того, чтобы оставлять это пользователям.Нет, самоделкины - это те кто за майнтайнеров сам отдувается. В этом случае майнтенанс системы, включая мониторинг дыр - остается на юзверге.
Ну так самоделки на продакшн и не расчитаны, по крайней мере - с мордой торчащей во внешний мир.
Извините, упустил нить... это Вы про PHP? Ж))))))
А ничего что эти поделки Эссера сотоварищи обновляются тогда, когда это угодно левой пятке Стефана? Иногда неделю через после релиза, иногда - через пол-года. ну и причины исключения из Дебиана, по-моему, описаны довольно четко.
> А ничего что эти поделки Эссера сотоварищи обновляются тогда, когда это угодно левой пятке Стефана?Это как раз не страшно - дебиан не каждые полгода выходит.
> ну и причины исключения из Дебиана, по-моему, описаны довольно четко.
Она там, фактически, одна: 2. It doesn't help our users when reporting bugs to upstream - the
usual answer is - try if that happens with vanilla php.Сильно-ли поможет, если в дебиане будет более старая версия чем у upstream? Я наблюдал аналогичную реакцию: "вы пробовали последнюю стабильную версию?"
PS: Вообще, исключение Suhosin - это скорее отдельная целая новость. И плохая :(
> ну и причины исключения из Дебиана, по-моему, описаны довольно четко.Там только одна причина: «Мы не можем майнтенить PHP, не хватает сил, поэтому шлите пожалуйста свои багрепорты не нам а в апстрим».
Все описанные якобы проблемы как я понял из последующего обсуждения решаются настройкой параметров.
> Там только одна причина: «Мы не можем майнтенить PHP, не хватает сил, поэтому шлите пожалуйста свои багрепорты не нам а в апстрим».Не врите. Речь там зашла о том, что люди *шлют сами* такие багрепорты. И их отфутболивают обратно. Не уверен, что так не будет и без suhosin (если версия будет отличаться от стабильной в апстрим).
> Все описанные якобы проблемы как я понял из последующего обсуждения решаются настройкой параметров.
Есть там еще одна проблема - Стефан. Было бы у него действительно желание - патч так или иначе интегрировали бы в апстрим.
> Есть там еще одна проблема - Стефан. Было бы у него
> действительно желание - патч так или иначе интегрировали бы в апстрим.s/желание/прямые руки/
Руки у него вроде прямые. Тут больше "социальные" проблемы. Ну, переср*лся он там со всеми, понимаешь :)
>Тут больше "социальные" проблемы. Ну, переср*лся он там со всеми, понимаешь :)Ага. ...но объяснить похапэшникам про безопасность не смог. Пичально$))
> Есть там еще одна проблема — Стефан. Было бы у него
> действительно желание — патч так или иначе интегрировали бы в апстрим.человек таки улучшил безопасность. похапэшники, у которых с безопасностью традиционно «мы не знаем, что это» вместо чтобы руками и ногами ухватиться, встали в позу «а ты нас попроси хорошенько, может, мы тогда и соизволим…» по-моему, дальнейшее поведение автора патчей вполне очевидно: «идите-ка вы в задницу, дорогой апстрим. с барабаном, пионерским горном и бравыми песнями.»
Только обновился и тут такое.
> Та же самая ситуация наблюдается в Red Hat Enterprise Linux 5 и 6, а также в Fedora Linux.Что-то мне подсказывает, что редхатовские сборки, как обычно, неуязвимы из-за фирменного редхатовского харденинга.
А в Debian - как минимум из-за suhosin. Плюс, выпущено обновление - в отличие от.
> А в Debian - как минимум из-за suhosin....который успено выпилен, не?
> ...который успено выпилен, не?"Не". Выключен он в unstable (sid). Стабильный релиз, естественно, это никак не затронуло.
В Debian вчера ещё обновление свалилось: http://www.debian.org/security/2012/dsa-2403
> В Debian вчера ещё обновление свалилось: http://www.debian.org/security/2012/dsa-2403"For the oldstable distribution (lenny), no fix is available at this time. Debian/oldstable package php5 is vulnerable."
>> В Debian вчера ещё обновление свалилось
> "For the oldstable distribution (lenny), no fixИ? Развейте же _Вашу_ мысль??
stable тоже "в Debian". В нём -- вчера. _Это обновление появилось _вчера _в _D.
Не пролезаете.
> И? Развейте же _Вашу_ мысль??Ля, предупреждать же надо, что с соседним тредом разговариваешь.
>> И? Развейте же _Вашу_ мысль??
> Ля, предупреждать же надо, что с соседним тредом разговариваешь.Но да, поднимем стакан за "фирменного редхатовского харденинга". Не чокаясь.
> А в Debian - как минимум из-за suhosin.Читайте новость. Suhosin не закрывает эту дыру, просто с ним нужен немного другой сплойт.
> Плюс, выпущено обновление - в отличие от.
У редхата тоже выпущено обновление, в тот же день.
Вот только у редхата обновлены все поддерживаемые версии, а у дебиана - далеко не все.
В задницу такую "поддержку".
> Читайте новость. Suhosin не закрывает эту дыру, просто с ним нужен немного другой сплойт.Ага, совсем "немного". Фантазер.
> Вот только у редхата обновлены все поддерживаемые версии, а у дебиана - далеко не все.
Не все. Буратины, которые не вкурсе что поддержка Lenny закончится через 3 дня - пока подождут.
> В задницу такую "поддержку".
Люди делают качественную работу, причем на хорошем уровне (чуть даже быстрее RHEL иногда, как в этот раз) и бесплатно. Только форумные тролли вроде тебя считают, что им кто-то что-то должен и писают фонтаном от того, что им дали объедки со стола клиентов RHEL в виде обновлений для CentOS и прочих клонов.
> Ага, совсем "немного". Фантазер.Вы таки утверждаете, что suhosin дает 100% гарантию от этой дыры?
> Не все. Буратины, которые не вкурсе что поддержка Lenny закончится через 3 дня - пока подождут.
Важно их отношение к безопасности. В следующий раз будет "Буратины, которые не вкурсе что поддержка squeeze закончится через год - пока подождут. Ну и хрен с ним, что критическая дыра. Нам как-то влом."
> Люди делают качественную работу, причем на хорошем уровне
В RHEL - да.
А про дебиан такое теперь не скажет даже самый лживый демагог. Свое отношение к пользователям они продемонстрировали четко и недвусмысленно.
> Вы таки утверждаете, что suhosin дает 100% гарантию от этой дыры?100% гарантии раздают только мошейники. Но вероятность эксплуатации уязвимости - да, близка к 0. Это я еще не упомянул что DEB_BUILD_HARDENING включен.
> Важно их отношение к безопасности. В следующий раз будет
Вот когда "будет" - тогда и скажете. Обновление для Lenny уже давным давно доступно в CVS. Лень проверять - может уже и выгрузили.
> В RHEL - да.
> А про дебиан такое теперь не скажет даже самый лживый демагог. Свое
> отношение к пользователям они продемонстрировали четко и недвусмысленно.Тем что выпустили обновление, как нередко бывает, вперед RHEL? :) Мне нравится такое отношение.
> Вот только у редхата обновлены все поддерживаемые версии, а у дебиана - далеко не все.O_O нихрена себе вборс.
>> Вот только у редхата обновлены все поддерживаемые версии, а у дебиана - далеко не все.
> O_O нихрена себе вборс.Он прав же. Ср.:
https://rhn.redhat.com/errata/RHSA-2012-0093.html
"available for Red Hat Enterprise Linux 4, 5 and 6."http://www.debian.org/security/2012/dsa-2403
"For the oldstable distribution (lenny), no fix is available at this time."+++Они опять убили Ленни, сволочи!
---А обещали ещё _целых_ _три_ _дня_ поддержки oldstable.
> +++Они опять убили Ленни, сволочи!
> ---А обещали ещё _целых_ _три_ _дня_ поддержки oldstable.Не кормите троллей. Обновление для oldstable было доступно еще утром.
> Не кормите троллей. Обновление для oldstable было доступно еще утром.Да ну нафиг...
php5_5.2.6.dfsg.1-1+lenny16.dsc 03-Feb-2012 14:56
Это 18:56 по Москве, то есть за _12_(?!) минут до твоего поста.
>> Не кормите троллей. Обновление для oldstable было доступно еще утром.
> Да ну нафиг...
> php5_5.2.6.dfsg.1-1+lenny16.dsc 03-Feb-2012 14:56
> Это 18:56 по Москве, то есть за _12_(?!) минут до твоего поста.Смотрел дату метки релиза в CVS. Таки не кормите ;)
Это как с полковником кольтом. Вот раньше были сишники, удел которых был писать серьёзные софты, в том числе всякие сетевые. И был бейсик с паскалем, где ютились начинающие софтописатели и те, кто по какойто причине остановился в прогрессе. Любой сишник мог всегда опустить вторых. И вот появился PHP c JAVA и уровнял всех в правах. Теперь мало кто пишет софт для сети на сях, зато даже начинающий школьник может начать писАть на PHP и JAVA.
>Теперь мало кто пишет софт для сети на сях, зато даже начинающий школьник может начать писАть на PHP и JAVA.Но язык - лишь инструмент и результат начинающего школьника похож на го#но.
>И вот появился PHP c JAVA и уровнял всех в правах.Так кажется только при поверхностном и беглом анализе (плохо, если вы этим довольствуетесь), поэтому это не отражает суть. Никогда noobies не равно hackers. Но потребители дешевого кода гоняются за дешевизной и ширпотребом (и школ пойдет если за 2 копейки).
> Это как с полковником кольтом. Вот раньше были сишники, удел которых был
> писать серьёзные софты, в том числе всякие сетевые. И был бейсик
> с паскалем, где ютились начинающие софтописатели и те, кто по какойто
> причине остановился в прогрессе. Любой сишник мог всегда опустить вторых. И
> вот появился PHP c JAVA и уровнял всех в правах. Теперь
> мало кто пишет софт для сети на сях, зато даже начинающий
> школьник может начать писАть на PHP и JAVA.Я тебе еще раз повторю для верности, PHP написан на С, языке, который предлагает массу возможностей отстрелить себе ногу. Ошибку сделал не "начинающий софтописатель" а "сишник, удел которых был писать серьёзные софты". Судя по твоей логике виноват в этом PHP. Как в анекдоте про лису, которая родила поросят потому что все мужики - свиньи. Твой удел - цирковой артист, использующий приемы гротеска и буффонады.
PHP - самый популярный язык в вебе. Он по-своему ужасен и не логичен, имеет постоянные проблемы и критические уязвимости, но сайтостроители хавают.
Windows - самая популярная ОС для домашних ПК. Она по-своему ужасна и не логична, имеет постоянные и критические уязвимости, но домохозяйки хавают.
Видимо секрет успеха не в том, чтобы все стабильно работало, не в гибкости и расширяемости системы, а, наоборот, в очевидных ограничениях и трудностях, ну и плюс маркетинг и пиар.Все-таки в дерьме что-то есть, миллионы мух не могут ошибаться (с) Станислав Ежи Лец.
Что ж, за ушлый вы народ,
Прямо оторопь берет.
Всяк другого мнит уродом,
Несмотря, что сам урод.
(с) Сказ про Федота-Стрельца
Приравнивать популярность PHP со стороны пиара и маркетинга к Windows не совсем корректно. За масштабами пиара и маркетинга, а также усилиями Microsoft по внедрению своего OS в notebooks и учебные заведения (бесплатные лицензии), стоят миллионы а может и миллиарды. Популярность PHP по таким критериям никак несравнима с популярностью windows.
> Приравнивать популярность PHP со стороны пиара и маркетинга к Windows не совсем
> корректно. За масштабами пиара и маркетинга, а также усилиями Microsoft по
> внедрению своего OS в notebooks и учебные заведения (бесплатные лицензии), стоят
> миллионы а может и миллиарды. Популярность PHP по таким критериям никак
> несравнима с популярностью windows.Ты не улавливаешь суть, у посредственностей всегда есть желание выделиться, почувствовать себя уникальным, принадлежащим к элитарному меньшинству. Чтобы потом погнуть пальцы, брезгливо морщить нос и кидаться фекалиями. И не важно что будет выбрано в качестве мишени, Дима Билан, PHP или Windows, это все явления одного порядка.
Еще одно доказательство старой истины- программирование это процесс устранения одних ошибок и добавление других.
МНЕ КАЖЕТСЯ, что я нашёл ещё одну уязвимость в PHP-5. (Fedora 16+SELinux. php-код вешает MySQL-сервер из PHP, перестают работать все виртуалхосты, зависимые от MySQL) Я не слишком разбираюсь в этом и не уверенн, что это баг (может быть я попытался сделать неправильное действие), но всё-же на всякий случай наверное стоило-бы сообщить разработчикам. Скажите пожалуйста куда обратиться с предполагаемым багом.
если не слишком разбираешься, то и не нужно писать. возможно, об ошибку уже знаю, поищи на англоязычном багтрекере. прочитай английский howto как правильно сообщать об ошибках. и только если будешь все готов сделать правильно, то пиши. в федора ошибок в любом случае немеряно.
> Скажите пожалуйста куда обратиться с предполагаемым багом.
в каких дистрибутивах используется уязвимая версия php? что-то мне кажется не так много их.
> в каких дистрибутивах используется уязвимая версия php? что-то мне кажется не так
> много их.В половине. Многие дистрибутивы эту пресловутую защиту от DoS-атаки портировали и за одним новую дыру открыли.
Дебиановцы, как всегда, отличаются прекрасным качеством поддержки:
> For the oldstable distribution (lenny), no fix is available at this time.Если не собираешься поддерживать свои продукты, нафига людей обманывать?
Народ, скажите пожалуйста, как сильно отстает remi репозиторий от выпуска самых последних апдейтов php?
Ожидал ещё вчера релиза 5.4.0, а тут на тебе...
Как говориться хотели как лучше, а вышло как всегда!
Радует что я сначала обновился до 5.3.10, но офф сайте так и не понял причину обновления, а тут уже потом прочитал её.
Хоть что то на openSUSE собирают мгновенно :)
на фре не запашет там есть фаршировка рандумизации адресации
в Fedora 16 до сих пор не обновили. Уже три дня прошло.
Уже ПЯТЬ дней - и в Fedora 16 так и нет обновления.
В итоге обновил 10 января. 8-го ещё не было обновления, а вот 9-го не помню проверял ли.
А чё альты такие расслабленные? У них-то как раз очки ломы должны перекусывать, - php5-5.3.8.20110823-alt2 до сих пор.P.S. Райдеру привет =)