The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от opennews on 10-Дек-10, 18:13 
Представлен (http://www.php.net/archive/2010.php#id2010-12-10-1) релиз интерпретатора языка программирования PHP 5.3.4, а также PHP 5.2.15 (http://www.php.net/archive/2010.php#id2010-12-09-1), устаревшей, но еще поддерживаемой ветки языка PHP. В версии 5.3.3 исправлено 7 проблем безопасности и более 170 ошибок, а в 5.2.14 - 7 проблем безопасности и 11 ошибок.


Из связанных с безопасностью исправлений в PHP 5.3.4 можно отметить:


-  Устранен крах в модуле распаковки zip-архивов, вызванный отсутствием указания завершающего строку нулевого символа;
-  Запрещено использовать в файловых путях нулевой символ (например, foo\0bar.txt);
-  Устранена проблема в расширении imap, вызванная двойным освобождением одной области памяти, что потенциально может быть использовано (http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-4150) для выполнения кода при обращении к imap-серверу злоумышленника;
-  Исправлена ошибка, приводившая к разыменованию NULL-указателя в коде ZipArchive::getAr...

URL: http://www.php.net/archive/2010.php#id2010-12-10-1
Новость: https://www.opennet.ru/opennews/art.shtml?num=28960

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  –2 +/
Сообщение от меньшевик on 10-Дек-10, 18:13 
когда пхп 6 выйдет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от croster (ok) on 10-Дек-10, 19:34 
Сначала должен php 5.4 с поддержкой traits вйти:
_http://simas.posterous.com/new-to-php-54-traits
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

22. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  –1 +/
Сообщение от Анон on 11-Дек-10, 20:18 
Они все еще навешивают костыли поверх заплаток? Упорство истинных копрофилов.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

3. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от Аноним (??) on 10-Дек-10, 18:30 
5.2.15 содержит ошибку с open_basedir в результате вообще ничего не работает, багфикс http://bugs.php.net/bug.php?id=53514
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +1 +/
Сообщение от php_must_die on 13-Дек-10, 12:59 
Это нормально для PHP - релиз и сразу баг. К следующему релизу будет точно такой километровый список багов, у них всегда так.

Скачивая свежий релиз PHP можно быть уверенным на 99.9%, что в нем неменьше 50 багов обыкновенных, и как минимум 3-4 критических бага. ;)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

54. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от Egor (??) on 16-Дек-10, 18:48 
Вышел 5.2.16 с фиксом опенбейздира. Но в 5.3.4 он тоже не работает! И на него фикса почему то нет.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +3 +/
Сообщение от Cybister on 10-Дек-10, 19:13 
Начал активно юзать SQlite3. Неплохо так для относительно небольших бд.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от Аноним (??) on 11-Дек-10, 00:11 
Только не на веб-сайтах!!! Он же блокирует всю базу сразу при каждом запросе, параллелелизма никакого.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

38. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от kshetragia (ok) on 14-Дек-10, 05:36 
Только для операций записи. В sqlite3, кстати появились блокировки записей а не всей таблицы, если мне не изменяет склероз. К тому же она рвет мускуль на чтении и транзакциях. Очень неплохой движок для небольших объемов. Для веба ИМХО самое оно.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

46. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от zoonman (ok) on 15-Дек-10, 11:40 
Для homepage может и пойдет, но не более.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

6. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  –13 +/
Сообщение от EuPhobos (ok) on 10-Дек-10, 19:53 
> Запрещено использовать в файловых путях нулевой символ (например, foo\0bar.txt);

В чём профит? Давайте лучше пробелы запретим
Да и путь с ошибкой, слэш не в ту сторону наклонён...
Хотя судя из этого примера, путь пишется так: "foo/0bar.txt", а путь с пробелом так: "foo/0bar\ file.txt"
Но если брать тот путь что написан в новости, то как пробел писать? "foo\0bar\\ file.txt" так что ли?
Что-то тупизм какой-то получился..
Хотя мб я что-то не понял, и это просто напросто "ноль" экранировали так, а не файл 0bar.txt внутри каталога foo..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +3 +/
Сообщение от зеро on 10-Дек-10, 20:01 
не знаете что такое нулевой символ?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от pro100master (ok) on 10-Дек-10, 21:33 
туда он повернут, это и есть "нулевой символ" (0X00h)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +3 +/
Сообщение от Аноним (??) on 10-Дек-10, 21:39 
Столько букв написали, а прочитать что такое null-терминированная строка не удосужились?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +2 +/
Сообщение от Заморский Гость on 10-Дек-10, 22:43 
> Запрещено использовать в файловых путях нулевой символ (например, foo\0bar.txt)

Сколько надо было пройти лет, чтобы додуматься до этого? )))))))

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +1 +/
Сообщение от Ветоль Дычь on 11-Дек-10, 10:21 
Да, критиковать гораздо проще чем делать чтото полезное. Сам грешил этим. Люди поддаются искушению критиковать все подряд, принципиально критиковать не разобравшись даже в сути проблемы, когда у них возникает навязчивое ощущение, что они ни на что не способны, что у них ничего ни когда не получится, это пугает людей и тогда чтобы избегать эти страхи, люди чтобы улучшить свое состояние и поднять самооценку начинают принципиально критиковать всё подряд переступая все разумные принципы. И это даже объединяет людей в большие группы, потому что критиковать всегда гораздо проще, чем делать чтото полезное.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от Аноним (??) on 11-Дек-10, 16:31 
> Да, критиковать гораздо проще чем делать чтото полезное. Сам грешил этим. Люди
> поддаются искушению критиковать все подряд, принципиально критиковать не разобравшись
> даже в сути проблемы, когда у них возникает навязчивое ощущение, что
> они ни на что не способны, что у них ничего ни
> когда не получится, это пугает людей и тогда чтобы избегать эти
> страхи, люди чтобы улучшить свое состояние и поднять самооценку начинают принципиально
> критиковать всё подряд переступая все разумные принципы. И это даже объединяет
> людей в большие группы, потому что критиковать всегда гораздо проще, чем
> делать чтото полезное.

А вы сходите покритикуйте опенбзд, опеннтпд, всфтпд, я посмотрю как это у вас получится.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

31. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от samm email(ok) on 13-Дек-10, 12:04 
Несомненно на всех трех вышеперечисленных продуктах приятно и легко писать веб приложения, да ;-)
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от StrangeAttractor (ok) on 12-Дек-10, 07:48 
> а также PHP 5.2.15, устаревшей, но еще поддерживаемой ветки языка PHP.

А сколько она ещё будет поддерживаться, кстати?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от Аноним (??) on 12-Дек-10, 13:09 
This release marks the end of support for PHP 5.2. All users of PHP 5.2 are encouraged to upgrade to PHP 5.3.

Иными словами, если кому-то будет не лень, то что-нибудь пофиксят в ней :) .

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +1 +/
Сообщение от StrangeAttractor (ok) on 12-Дек-10, 16:00 
Я просто всё жду когда же на требования веб-разрабов даунгрейдить PHP на свежеустановленных системах я смогу законно посылать, как бы они ни плакались начальству...
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

35. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от Nas_tradamus email(ok) on 13-Дек-10, 13:25 
Bitrix до сих пор не умеет 5.3 корректно.
А у меня вообще написаны сотни тысяч строк кода, не совместимого с 5.3.
Писец, в общем.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

37. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от StrangeAttractor (ok) on 14-Дек-10, 03:37 
> Bitrix до сих пор не умеет 5.3 корректно.

Вот я надеюсь что официальное прекращение поддержки 5.3 заставит таких пейсаталей проснуться свой код поправить, а иначе сами они никогда не почешутся - будут однажды написанное продавать и продавать пока оно совсем уже явно морально не устареет.

> А у меня вообще написаны сотни тысяч строк кода, не совместимого с 5.3.

Я в PHP не специаллист (хот я как-то даже древний корпоративный PHP3-интранет-портал заставил на 5.3 корректно работать), вот может Вы меня просветите (правда интересно) как надо так писать чтобы оно было несовместимо? Мне кажется для этого в коде как минимум должны использоваться недокументированные и не рекомендованные конструкции и то, что давно уже числится как deprecated. Язык-то какой был, такой и остался, просто костыли некоторые повыкидывали (и то как минимум некоторые в конфиге можно повключать обратно) и плюшек подобавляли, на сколько я понимаю.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

43. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  –1 +/
Сообщение от Nas_tradamus email(ok) on 14-Дек-10, 12:09 
> Я в PHP не специаллист (хот я как-то даже древний корпоративный PHP3-интранет-портал
> заставил на 5.3 корректно работать), вот может Вы меня просветите (правда
> интересно) как надо так писать чтобы оно было несовместимо? Мне кажется
> для этого в коде как минимум должны использоваться недокументированные и не
> рекомендованные конструкции и то, что давно уже числится как deprecated. Язык-то
> какой был, такой и остался, просто костыли некоторые повыкидывали (и то
> как минимум некоторые в конфиге можно повключать обратно) и плюшек подобавляли,
> на сколько я понимаю.

Да есть нюансы. Сам не кодер тоже. Просто в какой-то степени участвую в разработке и поддержке проекта.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

32. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от AlexAT (ok) on 13-Дек-10, 12:06 
Отлично, блин.

safe_mode задепрекатили, зато "Устранена недоработка, позволяющая обойти ограничения open_basedir и получить доступ к внешним файлам"... Ну и как теперь защищать клиентов от скрипт киди на соседних вхостах, кроме чрута или VPS/VDS?

Нет уж, сидим на 5.2, пока можно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от samm email(ok) on 13-Дек-10, 13:18 
Safe mode никогда и не был надежной защитой от.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

36. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от AlexAT (ok) on 13-Дек-10, 13:25 
От скрипт кидди - был, совместно с open_basedir.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

39. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от kshetragia (ok) on 14-Дек-10, 05:42 
Используя PHP вы добровольно подставляете свой зад. Так к чему же слезы?
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

40. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от К.О. on 14-Дек-10, 07:25 
> Используя PHP вы добровольно подставляете свой зад. Так к чему же слезы?

О да. Конечно же, православная жаба спасет вас от всех проблем безопасности разом. Не тешьте себя, в ней тоже может быть полно дыр, просто они пока мало интересны. Кроме того - увеличивать мощность площадки в X раз для тех же задач и заставлять всех клиентов учить монструозный язык - дело как бы весьма накладное, и профита не несущее.


Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

41. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от kshetragia (ok) on 14-Дек-10, 09:40 
Кто-то говорил про жабу?
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

42. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  –1 +/
Сообщение от AlexAT (ok) on 14-Дек-10, 09:51 
> Кто-то говорил про жабу?

Варианты? Perl и Python можно даже не рассматривать, доля их использования в Web уже ниже плинтуса, и снижается далее.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

44. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от Балмер on 14-Дек-10, 18:04 
Наш человек, наши лозунги. ;) Доля винды на десктопах тоже очень велика...

Дальше думаю продолжите мысль сами. ;)

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

45. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  –1 +/
Сообщение от К.О. on 14-Дек-10, 21:31 
> Наш человек, наши лозунги. ;) Доля винды на десктопах тоже очень велика...
> Дальше думаю продолжите мысль сами. ;)

Linux - не десктоп, ни разу. Это сервер, и его доля на серверах вполне себе соответствующая. Для серверов он вполне себе удобен. Точно так же, как и PHP вполне себе удобен для Web, для которого, в сущности, и предназначен.

Надеюсь, мысль ясна?

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

47. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от kshetragia (ok) on 16-Дек-10, 07:04 
Нет, если честно. Я всегда полагал, что на серверах сначала принято думать о безопасности. Потом уже об удобствах.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

48. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  –1 +/
Сообщение от К.О. on 16-Дек-10, 07:57 
> Нет, если честно. Я всегда полагал, что на серверах сначала принято думать
> о безопасности. Потом уже об удобствах.

Именно. Поэтому на серверах винде не место, разве что на серверах рабочих групп для 1С и подобного изврата, да и то при желании можно заместить.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

49. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от kshetragia (ok) on 16-Дек-10, 09:04 
Тогда вы должны признать, что и PHP на серверах не место.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

50. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от AlexAT (ok) on 16-Дек-10, 09:05 
> Тогда вы должны признать, что и PHP на серверах не место.

Почему? Обоснованно. PHP - это приложение, на котором работают клиенты и технологическая логика. С какой же стати ему не место на серверах. Или вы предложите писать Web-приложения на bash?

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

51. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от kshetragia (ok) on 16-Дек-10, 09:13 
Потому, что он не безопасен для сервера и для остальных.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

52. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  –1 +/
Сообщение от Nas_tradamus email(ok) on 16-Дек-10, 09:17 
> Тогда вы должны признать, что и PHP на серверах не место.

В facebook наверное такие дураки работают, что они имеют 3-й по посещаемости в мире сайт (на PHP)...

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

53. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от kshetragia (ok) on 16-Дек-10, 12:17 
Когда это популярность была критерием качества и как следствие безопасности. Линукс тоже популярен.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

55. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от 2Nike (ok) on 17-Дек-10, 13:39 
>> Тогда вы должны признать, что и PHP на серверах не место.
> В facebook наверное такие дураки работают, что они имеют 3-й по посещаемости
> в мире сайт (на PHP)...

Я не знаю, как facebook, но vkontakte тоже говорит, что у них php. А на деле на php только формочки, все высокопроизводительные и сложные операции выполняются на СИ. Да и PHP на сервере не ванильный.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

56. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от Nas_tradamus email(ok) on 17-Дек-10, 13:52 
>>> Тогда вы должны признать, что и PHP на серверах не место.
>> В facebook наверное такие дураки работают, что они имеют 3-й по посещаемости
>> в мире сайт (на PHP)...
> Я не знаю, как facebook, но vkontakte тоже говорит, что у них
> php. А на деле на php только формочки, все высокопроизводительные и
> сложные операции выполняются на СИ. Да и PHP на сервере не
> ванильный.

Логично для такой системы. Как фронтэнд пхп - вполне себе и для серьезных проектов.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

57. "Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей"  +/
Сообщение от Harry62 email on 28-Ноя-11, 23:27 
FILTER_VALIDATE_EMAIL теперь ваще не работает, использовал для логина, все полетело...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру