Обновление PHP 5.5.36, 5.6.22 и 7.0.7 с устранением уязвимостей

27.05.2016 21:33

Опубликованы корректирующие выпуски языка программирования PHP 7.0.7, 5.6.22 и 5.5.36, в которых внесено 30 изменений, в том числе устранено несколько уязвимостей:

Обращение к уже освобождённому блоку памяти (use-after-free) в функции error_reporting. Не исключается возможность эксплуатации, которая может привести к выполнению кода атакующего;
Целочисленное переполнение в функции php_html_entities (CVE-2016-5094);
Целочисленное антипереполнение (Integer underflow) в fread/gzread (CVE-2016-5096);
Обращение к уже освобождённому блоку памяти в функции dba_open (расширение DBA);
Чтение из области вне границ буфера в функции imagescale из состава расширения GD (CVE-2013-7456);
Чтение из области вне границ буфера в функции get_icu_value_internal из состава расширения Intl (CVE-2016-5093);
Разыменование нулевого указателя в функции mb_ereg_replace;

Возможно исправлены и некоторые другие проблемы с безопасностью, так как не все уязвимости явно отмечены в публикуемом списке изменений.

исправить +2 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/44501-php

Ключевые слова: php

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (28)

1.1, Шарп (ok), 22:01, 27/05/2016 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
А ведь Rust от вот этого всего может спасти.

2.2, РосРаспилНадзор (?), 22:03, 27/05/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Еще 10 лет будут на Rust переписывать. З.Ы. C++ используют из за поддержки 20+ платформ.

3.6, Аноним (6), 10:41, 28/05/2016 [^] [^^] [^^^] [ответить]	+/–
PHP не на C++ написан

4.13, Аноним (-), 20:18, 28/05/2016 [^] [^^] [^^^] [ответить]	+/–
php на сях, rust на плюсах.

5.17, Аноним (-), 13:05, 29/05/2016 [^] [^^] [^^^] [ответить]	+/–
rust на rust

6.23, Аноним (-), 14:26, 30/05/2016 [^] [^^] [^^^] [ответить]	+/–
Вы часом с ПуПу не путаете?

7.26, Аноним84701 (?), 16:09, 30/05/2016 [^] [^^] [^^^] [ответить]	+/–
> Вы часом с ПуПу не путаете? Летний наплыв знатоков и экспертов на опеннете? https://github.com/rust-lang/rust/search?l= Languages 7,189 Rust 223 Markdown 196 Makefile 61 C 57 TOML 28 JSON 26 Graphviz (DOT) 22 Python 14 Text 11 Shell

2.5, Andrey Mitrofanov (?), 09:21, 28/05/2016 [^] [^^] [^^^] [ответить]	+/–
> А ведь Rust от вот этого всего может спасти. index.php умеет? Надо!

2.10, Аноним (-), 13:18, 28/05/2016 [^] [^^] [^^^] [ответить]	+2 +/–
Армия тоже может - пока вы в ней, нет ни каких проблем с PHP. Переходите с PHP на службу в армии.

1.3, Аноним (-), 22:20, 27/05/2016 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Дело даже не в плюсах, дело просто что сам PHP как один большой торт

2.7, Аноим (?), 11:51, 28/05/2016 [^] [^^] [^^^] [ответить]	+/–
Торт-то он торт. Но откуда в нем такое неисчерпаемое кол-во ошибок

3.12, Аноним (-), 15:58, 28/05/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Чем больше компонент в сборке, тем больше в ней ошибок. Всякие рубипитоны просто никто настолько досконально не ковыряет, в частности потому, что аудитория любых категорий по численности отличается на два порядка.

4.28, Аноним (-), 08:01, 31/05/2016 [^] [^^] [^^^] [ответить]	+/–
Ну и ещё есть очень удобный подход - свалить ответственность на разработчиков собственно библиотек в репах. "Это не проблема языка, это к разработчику/мейнтейнеру вона того модуля"... А в случае PHP данный подход не катит, потому что большинство "внешних" для других языков функций встроено в сам язык.

2.8, анонимиус (?), 12:07, 28/05/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Торт из ошибок

2.9, Аноним (-), 13:03, 28/05/2016 [^] [^^] [^^^] [ответить]	+/–
> сам PHP как один большой торт http://cdn.trinixy.ru/pics4/20101231/turd_cakes_03.jpg

2.11, Аноним (-), 13:27, 28/05/2016 [^] [^^] [^^^] [ответить]	+/–
> Дело даже не в плюсах, дело просто что сам PHP как один большой торт Программисты на PHP толстеют не от калорий PHP, а от зарплаты.

2.24, Аноним (-), 14:27, 30/05/2016 [^] [^^] [^^^] [ответить]	+/–
> Дело даже не в плюсах, дело просто что сам PHP как один > большой торт Угу. Отравленный.

1.14, ALex_hha (ok), 00:41, 29/05/2016 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> Но откуда в нем такое неисчерпаемое кол-во ошибок покажите хотя бы один проект, уровня php, без ошибок?

2.19, Аноним (-), 04:02, 30/05/2016 [^] [^^] [^^^] [ответить]	+/–
Покажите мне такой же большой проект, написанный через большую жеппу? <?php ::

1.15, Аноним (-), 08:46, 29/05/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Меня больше другой вопрос беспокоит, когда при любом обновлении РНР перестанут троли вылезать со своими рустами, рубями и др. Пишите просто на чем можете или нравится.

2.16, Andrey Mitrofanov (?), 10:49, 29/05/2016 [^] [^^] [^^^] [ответить]	+/–
> Меня больше другой вопрос беспокоит, когда при любом обновлении РНР перестанут троли > вылезать со своими рустами, рубями и др. В Вашей системе не обновлены троли с ...? Почему они "вылезают" при обновлении php?

3.29, Аноним (-), 08:02, 31/05/2016 [^] [^^] [^^^] [ответить]	+/–
> В Вашей системе не обновлены троли с ...? Почему они "вылезают" при > обновлении php? Ваша правда, надо им rm -rf сделать.

1.18, тОпор (?), 01:53, 30/05/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Уже третья моя работа за последние 10 лет, где выкидывают пхп и переписывают на нормальном языке. Нынче это Го. пхп - это хоумпейдж с кучей свистелок и перделок, и ничего больше.

2.21, Аноним (-), 09:23, 30/05/2016 [^] [^^] [^^^] [ответить]	+/–
Для того что-бы дорасти до решения о переходе с пониманием того как правильно организовать процессы постановки требований, разработки, тестирования, внедрения и исправления ошибок, нужно потратить много времени при этом не разорившись на дорогих решениях, если у вас на старте есть лишние несколько миллионов долларов, то можно их потратить на неэффективную на старте правильную "систему разработки" но в большинстве случаев проекты растут из голых идей и небольших средств выдернутых из и так не пухнущего бюджета.

3.22, Аноним (-), 09:24, 30/05/2016 [^] [^^] [^^^] [ответить]	+/–
> Для того что-бы дорасти до решения о переходе с пониманием того как > правильно организовать процессы постановки требований, разработки, тестирования, внедрения > и исправления ошибок, нужно потратить много времени при этом не разорившись > на дорогих решениях, если у вас на старте есть лишние несколько > миллионов долларов, то можно их потратить на неэффективную на старте правильную > "систему разработки" но в большинстве случаев проекты растут из голых идей > и небольших средств выдернутых из и так не пухнущего бюджета. p.s. кто то зарабатывает на быстром результате, кто-то на переводе "быстрых набросок" на пром. рельсы...

1.20, Georges (ok), 08:08, 30/05/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
PHP - это крупные проекты вроде 1С-Битрикс и прочий хайлоуд.

2.25, Аноним (-), 14:29, 30/05/2016 [^] [^^] [^^^] [ответить]	+1 +/–
> PHP - это крупные проекты вроде 1С-Битрикс и прочий хайлоуд. 1С-Битрикс и хайлоуд - это оксюморон.

3.27, Аноним (-), 02:29, 31/05/2016 [^] [^^] [^^^] [ответить]	+/–
"хай", "лоуд", писать надо раздельно. Фанаты похапе громко гавкают на всё остальное.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: