форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: В PHP 5.2.3 исправлено 4 проблемы безопасности."

Сообщение от opennews (??) on 01-Июн-07, 16:51

В новой версии PHP 5.2.3 (http://www.php.net/releases/5_2_3.php) проведено ряд оптимизаций и исправлено около 50 ошибок. Кроме того устранено несколько проблем (http://secunia.com/advisories/25456/) имеющих отношение к безопасности: -  Целочисленное переполнение в функции chunk_split(); -  Возможность обхода ограничений open_basedir через функцию realpath(); -  DoS через бесконечное зацикливание в imagecreatefrompng(); -  Недостаточная проверка параметров email в ext/filter (MOPB-45 (http://www.php-security.org/MOPB/PMOPB-45-2007.html)); -  Переработано ранее внесенное исправление проблемы безопасности в модуле sqlite2. URL: http://www.php.net/releases/5_2_3.php Новость: https://www.opennet.ru/opennews/art.shtml?num=10966

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "В PHP 5.2.3 исправлено 4 проблемы безопасности."

Сообщение от usama (??) on 01-Июн-07, 16:51

задолбали!!! опять компилить и тестить их поделку... в прошлой версии исправили кучу багов, при этом наделов новых, вследствии которых soap перестал работать. интересно, что на этот раз сломали?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от masted (ok) on 02-Июн-07, 08:56
	кто мешает НЕ использовать эту поделку?)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	48. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от don_oles (??) on 05-Июн-07, 08:30
	>задолбали!!! опять компилить и тестить их поделку... Помоему тебе пора менять работу. Если работа не подуше - это уже садомазо. >soap перестал работать REST рулит. Разведка докладывает, что мыло никогда нормально и так как всем хотелось бы не работало. И я понимаю - это называется overengineered. Как показывает практика (и некотрые присутствующие, не буду тыкать пальцем) слишком много ума - во вред. ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	49. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от Fantamas on 05-Июн-07, 14:30
	Поддерживаю пост. Одна из задач сисадмина держать ПО up2date и я не вижу проблем, чтобы перекомпилить эту байду (ПХП). Он наверное карьерист и свою работу точно не любит. Т..к на современных тазиках пересборка ПХП вообще не должна вызывать каких-то неудобств. Чисто на автопилоте.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "В PHP 5.2.3 исправлено 4 проблемы безопасности."

Сообщение от гость on 01-Июн-07, 17:39

Интерес чисто абстрактный ибо на таком дерьме как пыхпых ничего не пишу принципиально: у них вообще бывают релизы в которых не надо устранять проблемы безопасности?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от matriks (??) on 01-Июн-07, 17:48
	Зашибись Вам, что не пишите, а у многих уже софт написан. Либо попросту необходимо поддерживать в нормальном состоянии хостинговые серваки. А Вы попробуйте объяснять юзерам: почему так часто меняются версии, почему у них это упало или то не работает =( Вобщем реально меня они расстраивают, раньше такого не было...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "В PHP 5.2.3 исправлено 4 проблемы безопасности."

Сообщение от HardKiller on 01-Июн-07, 18:18

всех спасет chroot и настроенный Apache. молодцы девелы, что ошибки исправляют, а те кто кричат про дырявость - видимо лень им обновляться.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от kruk on 01-Июн-07, 19:29
	Исправляют - то это хорощо, только они их перед этим делают... Кстати почему мы должны радоваться внеплановым апгрэйдам?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от oles on 02-Июн-07, 10:46
	Ты сам пишешь без багов? Друг мой, мегареспект, помоги им! А по поводу апгрейдов. Моя вся жизнь - внеплановый апгрейд. И в жизни програмного обеспечения я уже и не помню когда видел запланированый апгрейд ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от Doktor (??) on 02-Июн-07, 11:31
	Видимо ты не работал с серьезными коммерческими решениями. Насчет новости - для хостинга это ад, но я не вижу смысла обновлятся если можно отбекпортить (не всегда, но в 90% случаев) патчи, так что поднимаем свой репозиторий пакетов для ОС на серверах и вперед.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	39. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от logan (??) on 04-Июн-07, 11:13
	>Видимо ты не работал с серьезными коммерческими решениями. > >Насчет новости - для хостинга это ад, но я не вижу смысла >обновлятся если можно отбекпортить (не всегда, но в 90% случаев) патчи, >так что поднимаем свой репозиторий пакетов для ОС на серверах и >вперед. Ой ли не работал. Про дырку в telnetd SunOS/Solaris уже все забыли? Или про периодически всплывающий PoD в Cisco IOS? А уж набор граблей от micro$oft с подарочным бантиком вообще притча во языцах. А ведь мс продвигает свой софт как строго коммерческий!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	27. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от Александр Вольф on 02-Июн-07, 21:14
	Да обновиться не лень... просто после таких обновлений бывает что-нибудь из их модулей отваливается
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "В PHP 5.2.3 исправлено 4 проблемы безопасности."

Сообщение от PHPCoder on 01-Июн-07, 18:28

Главное сколько ошбок исправили

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "В PHP 5.2.3 исправлено 4 проблемы безопасности."

Сообщение от опа on 01-Июн-07, 18:29

Есть неплохая версия php без багов - зовется perl 5.8.8  8)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от usama (??) on 01-Июн-07, 19:09
	ага. еще в ней синтаксис просто нечеловеческий :) через неделю вылетает из головы напрочь :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от kruk on 01-Июн-07, 19:31
	>ага. еще в ней синтаксис просто нечеловеческий :) через неделю вылетает из >головы напрочь :) Собственно, синтаксис отличаеться от того же пыхпыха может процентов на 20%. А голову надо проапргейдить
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	31. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от Аноним on 03-Июн-07, 00:51
	>Собственно, синтаксис отличаеться от того же пыхпыха может процентов на 20%. Причем явно в лучшую сторону.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от masted (ok) on 02-Июн-07, 09:52
	+1
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от replicant on 02-Июн-07, 10:25
	К тому моменту, когда выйдет PHP 5.8.8 вот тогда и посмотрим! :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "В PHP 5.2.3 исправлено 4 проблемы безопасности."

Сообщение от Roma (??) on 01-Июн-07, 19:49

Специально для любителей Perl5 Perl5 Bug Summary: 236 new + 1343 open = 1579

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от kruk on 01-Июн-07, 19:51
	>Специально для любителей Perl5 >Perl5 Bug Summary: 236 new + 1343 open = 1579 Баг не равно проблема безопасности. Читать дважды
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от oles on 02-Июн-07, 10:41
	А вот скажи, мне, глупому, а в перле есть open_basedir? Ведь если нет такой фичи, то и "проблем безопасности" с её обходом нет, это одна сплошная проблема. А проблемы с DDOS через кривые функции в перле однозначно не находили и не найдут больше никогда? Может проблем безопасности перла в вебе нет потому что и никто его не использует для массового хостинга? А если пхп запустить в virtual dedicated server, или cgi-mode с apache_suexec (что скажется на производительности), то и у PHP сразу исчезнет много проблем "безопасности". Я вот видел хостинг с пхп где тысячи сайтов на одном боксе. А на перле ты такое предсталвяешь? Не пойму также и с тестированием. А ведь будут версии и 5.2.4, и 5.2.5 ... и 6.0.0.. много будет версий. Каждую будете ручками тестировать матюкаясь? Или наконец то будете делать это в отдельном боксе/jail уже автоматическими средствами? Или вы не этим зарабатывате деньги? Так чего вообще вас волнуют проблемы пхп? Так что если у вас нет альтернатив - то зачем тут ныть? Хотите чтоб был пхп без багов? Перепишите его! Слабо? Разработчики гады? А вы лучше написали бы? Такое впечатление что "камменты" тут многие пишут для того чтоб зарисоваться  - все ведь "мега-гуру" программирования тут собрались, знают слова перл, питон и проч. другие красивые слова. Ведь зная только пхп, как выделишься из толпы?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от Keeper (??) on 02-Июн-07, 13:03
	>А вот скажи, мне, глупому, а в перле есть open_basedir? Ведь если >нет такой фичи, то >и "проблем безопасности" с её обходом нет, это одна сплошная проблема. А >проблемы с DDOS через кривые функции в перле однозначно не находили >и не найдут больше никогда? Может проблем безопасности перла в вебе >нет потому что и никто его не использует для массового хостинга? >А если пхп запустить в virtual dedicated server, или cgi-mode с >apache_suexec (что скажется на производительности), то и у PHP сразу исчезнет >много проблем "безопасности". Я вот видел хостинг с пхп где тысячи >сайтов на одном боксе. А на перле ты такое предсталвяешь? Можно попробовать http://dklab.ru/lib/dklab_apache + permissions (chroot опционально).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	25. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от _Nick_ (??) on 02-Июн-07, 20:48
	>Можно попробовать http://dklab.ru/lib/dklab_apache + permissions (chroot опционально). разбор заголовков запроса рутовым процессом.... как-то настолько стремно, шо лучше уж по-старинке...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от belkin on 02-Июн-07, 14:50
	Эта фраза одного бородатого программиста о каком-то его любимом языке объясняет, чем плох PHP: "... язык для меня хорош ещё и тем, что на его языке сложно писать маразматично. Он обязывает некоторые вещи делать корректно или, хотя бы - предрасполагает к этому." Молодёжь, учитесь у старших или мы так и будем ходить по тридцатилетнему кругу.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	29. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от Dvorkin (??) on 03-Июн-07, 00:24
	>А если пхп запустить в virtual dedicated server, или cgi-mode с >apache_suexec (что скажется на производительности), то и у PHP сразу исчезнет ... я вот недавно открыл для себя волшебную штучку: mod_ruid. он, правда, чисто Линуксовый (использует Linux CAPS), но я использую Линукс, а БЗДяшники пусть мучаются. :) так вот, прекрасная замена всяким суексек + php_cgi. потому что проверяет, кто владелец php-скрипта (файла) и перед его выполнением меняет свой идентификатор. все прекрасно. новые файлы, создаваемые PHP-скриптом имеют те же самые права, что и исходный php-скрипт. Аналогично mod_ruid поступает с CGI-скриптами. решение для масс-хостинга идеальное. соответственно, всякие Agava & masterhost сосут со своими джайлами и прочей дребеденью. никаких извратов с пермишенами на директории/файлы/вебсервер. а если при этом использовать openvz, mod_vhost_mysql, mydns, pure-ftpd и что-нибудь, регулярно проверяющее файловую систему на соответствие прав доступа, то получается просто конфетка :) мне нравится.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "В PHP 5.2.3 исправлено 4 проблемы безопасности."

Сообщение от Вася on 02-Июн-07, 09:55

Критические ошибки в есть у большинства проектов. Но только % вероятности их нахождения напрямую зависит от популярности проекта... :D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от Аноним on 02-Июн-07, 18:55
	+1 единственный верный коммент ПХП очень популярен и в нем будут находить сотни и тысячи багов. Среди больших хостинг провайдеров лишь 0.5-2% сайты которые используют перл и то для каких-то специфических задач все остальное это html php. Нужно сперва знать что эти языки не стоить сравнивать это как Linux и Windows.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "В PHP 5.2.3 исправлено 4 проблемы безопасности."

Сообщение от replicant on 02-Июн-07, 23:42

Рациональное объяснение, зачем функция open в Perl отрабатывает символ конвейера | как команду запустить программу на выполнение, дать сложно: Perl вообще довольно иррациональный. ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	32. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от Pilat on 03-Июн-07, 14:46
	>Рациональное объяснение, зачем функция open в Perl отрабатывает символ конвейера | как >команду запустить программу на выполнение, дать сложно: Perl вообще довольно иррациональный. >;) Объяснить просто - это штатное поведение команды open, очень полезное для получения результата выполнения подзадач. Для Unix это стандартная возможность в куче программ. Трудно объяснить, что некоторым эта возможность кажется странной.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	33. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от Dvorkin (??) on 04-Июн-07, 00:54
	>Объяснить просто - это штатное поведение команды open, очень полезное для получения >результата выполнения подзадач. Для Unix это стандартная возможность в куче программ. - потому что man open man popen >Трудно объяснить, что некоторым эта возможность кажется странной. знатоки очередной раз сосут, а 500 000 рублей отправляются телезрителю и города N
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "В PHP 5.2.3 исправлено 4 проблемы безопасности."

Сообщение от Dimez (??) on 07-Июн-07, 12:06

> Критические ошибки в есть у большинства проектов. Но только % вероятности их нахождения напрямую зависит от популярности проекта... :D Глупости. Perl тоже не менее распространён, а ошибок что в нём, что в его проектах - на порядки(если не больше) меньше. Тут проблема в самом языке, приучающим по-раздолбайски относиться к написанию кода. Всё уже было написано в комментах к предыдущим новостям о пыхпыхпых.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	51. "В PHP 5.2.3 исправлено 4 проблемы безопасности."
	Сообщение от Dvorkin (??) on 07-Июн-07, 15:57
	>Глупости. Perl тоже не менее распространён, а ошибок что в нём, что >в его проектах - на порядки(если не больше) меньше. вы забыли добавить "ИМХО". ПХП действительно очень популярен. Много гавноЦМСок на нем сделано. хорошо, если эти ЦМС opensource и человек просто учится программировать в www, а ведь совсем недавно встречал несколько платных, причем хорошо платных, внутри которых код не просто не продуман, а выглядит и работает как ... А это портит общее впечатление от языка. Необычность перла просто отсеивает "школьников", только и всего. пхп и перл стоят на одной ступени развития ЯП и отличаются только синтаксисом. совершенно с темже успехом можно было бы ругать TCL и гавноЦМСки на нем, если бы он вдруг стал популярен :) >Тут проблема >в самом языке, приучающим по-раздолбайски относиться к написанию кода. спорить сложно. если человек не имеет хотя-бы опыта работы с памятью, вводом/выводом в Си, его ни Ява, ни перл не спасут
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]