форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Вышел PHP 4.4.1 с исправлением ошибок, связанных с..."

Сообщение от opennews (??) on 01-Ноя-05, 20:23

Обнаружено несколько неприятных (http://secunia.com/advisories/17371/) проблем с безопасностью в  версиях PHP ниже 4.4.1 (http://www.php.net/downloads.php#v4) и 5.0.6 (который еще не вышел). Проблемы (http://secunia.com/advisories/17371/): -   Возможность (http://www.securityfocus.com/bid/15250) (при register_globals=on) подмены значений в массиве "GLOBALS" через "multipart/form-data" запрос или функции extract(), import_request_variables(); -  Ошибка (http://www.securityfocus.com/bid/15249) в функции parse_str(), которая может привести к активации настройки register_globals; -  "Cross-Site Scripting (http://online.securityfocus.com/bid/7805)" - атакующий может сформировать ссылку на скрипт с phpinfo(), подставив свой HTML код; -  Возможность выхода за пределы директории, заданной в open_basedir и  safe_mode, через модули "ext/curl" и "ext/gd" или вызов virtual() под apache 2 SAPI; -  Целочисленное переполнение в pcrelib; -  Исправлено (http://www.php.net/ChangeLog-4.php#4.4.1) более 30 ошибок не касающихся безопасности. URL: http://www.php.net Новость: http://www.opennet.ru/opennews/art.shtml?num=6358

Cообщить модератору | Наверх | ^

Сообщения по теме

[Сортировка по времени, UBB]

1. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."

Сообщение от Alex (??) on 01-Ноя-05, 20:23

Интересно, когда-же 5.1 в релиз выйдет???

Cообщить модератору | Наверх | ^

	32. "Откатился на 4.3.11"
	Сообщение от Otto Katz Feldkurat on 07-Ноя-05, 18:38
	На Google советуют вообще до 4.3.09 Безопасность фтопку. Запарил сегментейшын фолт в продакшыне.
	Cообщить модератору | Наверх | ^

2. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."

Сообщение от anonim on 01-Ноя-05, 22:06

===>  Checking if devel/php4-pear already installed Installing PEAR environment:      /usr/local/share/pear/ tar: Error opening archive: Failed to open '/usr/ports/devel/php4-pear/work/php-4.4.1/pear/packages/XML_RPC-1.3.1.tar': No such file or directory

Cообщить модератору | Наверх | ^

3. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."

Сообщение от mar (??) on 01-Ноя-05, 22:38

мда, круто обновили... апач просто вешается (squirrelmail) теперь ищи бинарики, откатываться

Cообщить модератору | Наверх | ^

	4. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от _Nick_ (??) on 01-Ноя-05, 23:07
	>мда, круто обновили... апач просто вешается (squirrelmail) теперь ищи бинарики, откатываться 1. бекапься 2. собирай из сырцов
	Cообщить модератору | Наверх | ^

5. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."

Сообщение от mar (??) on 01-Ноя-05, 23:26

>1. бекапься >2. собирай из сырцов очень "ценные" советы, спасибо, никогда бы не додумался. как раз перед обновлением php не бэкапнулся, а по поводу сырцов - привык ставить всё из портов/портежей

Cообщить модератору | Наверх | ^

	6. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от _Nick_ (??) on 01-Ноя-05, 23:31
	>очень "ценные" советы, спасибо, никогда бы не додумался. как раз перед обновлением >php не бэкапнулся, а по поводу сырцов - привык ставить всё >из портов/портежей ну первое - шутка юмора. и так ясна кто умеет - тот бекапица. про сырцы вопросов нет. сам гентушник а вообще вот, что бывает с теми, кито юзит сырцы напрямую ;) http://cebka.pp.ru/stuff/futbol.jpg
	Cообщить модератору | Наверх | ^

	8. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от неаноним on 02-Ноя-05, 04:25
	Объясните коренное отличие портов от source code. И вообще, хватит писать, что попало. Здесь (также) пишут люди, работающие в серьезных фирмах, а не ставящие gentoo linux "для экспериментов".
	Cообщить модератору | Наверх | ^

	9. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от sash (??) on 02-Ноя-05, 11:07
	> Здесь (также) пишут люди, работающие в серьезных фирмах, а не ставящие gentoo linux "для экспериментов". Это наезд, шутка, намек????? В серьезных фирмах????? говоришь, видал я серьезные фирмы и известные специалисты которых ТАКИЕ "кони отмачивают" на cisco/hp-ux/windows что за голову хватаешься. Не будем упоминать гос.структуры, некоторое время назад бюджет украины делали в екселе - это факт. И не надо "gentoo linux \"для экспериментов\"" - меня буквально взбесило это высказывание.
	Cообщить модератору | Наверх | ^

	11. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от mar (??) on 02-Ноя-05, 15:07
	ну дык - нынче круто звучит "я гентушник". еще круче, наверное, флеймить, где под чем бюджет делают или последовательность действий перед обновлением. а так же советовать всё ставить из сырцов (наверное набрать команду в пару строк ./configure --with-куча-всего && make install считается круто) а затем себе противоречить и кидать ссылку на "футбол в ластах" (про что и так всем известно). видимо, на ЛОРе кризис, не перед кем блестать умом, вот и повылазили.
	Cообщить модератору | Наверх | ^

	12. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от sash (??) on 02-Ноя-05, 16:35
	Не имеет значения "\"я гентушник\"". и у кого это круто - честно тоже не знаю. Каждый использует инструмент по потребностям и задачам. Оратор настолько безапеляционно начал рассказывать о "серьезных фирмах" и т.д. и задело сказанное выше замечание следующим: Когда-то когда еще не было 2.6 ядра, а gentoo только-только начинался, работал в украинском представительстве одной из российских компаний, очень немаленькой компании. А так как представительство только начиналось то собственно надо было делать все с нуля, что было очень здорово. Коротко - "Корпоративным стандартом" был MS Windows, MS exchagne, Accpacc (CRM, бухгалтерия и т.д.) Суть в следующем, тогда совместно с москвой мы построили VPN "сеть" среди представительств СНГ, репликация АД, баз ексченджа и т.д. Для меня тогда это было все в новинку, и интерестно, но больше всего хотел увидеть тот самый "production enviroment", где гудят огромное количество больших серверов, увидеть тех.спецов которые это все администрируют. И самое главное понять чем отличается то что делаю я, от того что делают они и почему они называются "професионалы". Увидел. Познакомился. В москве. Ничего такого не делают, ничем не отличаются. Имеют бОльший опыт. Могут выдать решение задачи за приемлемый промежуток времени. Теперь меня начинает телепать от типов которые приходят рассказывают о "серьезных фирмах", больших проектах, (был офшорный проект on-line опросов ~500 посетителей в минуту на сервер, 2-3 млн. посетителей вообщем в день, 2-3 млн. е-мейл сообщений за рассылку - интерестно это тот самый продакшн или нет? я уже запутался), и говорящих "а так ты используешь тото-тото так ты лох и тебе не место здесь". Кста. "а затем себе противоречить и кидать ссылку на "футбол в ластах" (про что и так всем известно). видимо, на ЛОРе кризис, не перед кем блестать умом, вот и повылазили." это делал не я, и лор стараюсь не читать - а то в обед испытываешь жуткое душевное расстройство. Считаю что Максим правильно сделал убив ветку о релизе ФрииБСД 6.0 и так надо поступать впредь. Даешь каждому инструмент по нуждам и задачам. Даешь свободу от религиозного преследования.
	Cообщить модератору | Наверх | ^

	14. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от _Nick_ (ok) on 02-Ноя-05, 16:50
	со вем согласен... кроме... >Считаю что Максим правильно сделал убив ветку о >релизе ФрииБСД 6.0 и так надо поступать впредь. а это что?? http://www.opennet.ru/openforum/vsluhforumID3/12598.html#1
	Cообщить модератору | Наверх | ^

	15. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от sash (??) on 02-Ноя-05, 17:11
	Вы явно флеймитель.
	Cообщить модератору | Наверх | ^

	10. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от _Nick_ (ok) on 02-Ноя-05, 11:18
	>Объясните коренное отличие портов от source code. ликбез: порт - это набор правил/скриптов/патчей для сборки и установки в систему той или иной программы по заданным параметрам с поддержкой менеджера пакетов для последующего обновления/удаления. >И вообще, хватит писать, что попало. прям так и что попало... классная картинка %) >Здесь (также) пишут люди, работающие в серьезных фирмах, на здоровье. не думаю, что я особо мешаю своими постами кому-то другому "серьезному" высказаться. (А вообще-то, люди в серьезный фирмах РАБОТАЮТ, а не в форумах 3.14дят) >а не ставящие gentoo linux "для экспериментов". для начала нужно и для эксперимента поставить. Придет опыт - весь продакшн будет на генте from sash: >И не надо "gentoo linux \"для экспериментов\"" - меня буквально взбесило это высказывание. да ладно. Человек решил, что он сразу может чего-то знать и юзать где угодно, не наломав дров. Без экспериметнов - он не специалист
	Cообщить модератору | Наверх | ^

	17. "99% софта я ставлю из сырцов."
	Сообщение от Otto Katz Feldkurat on 02-Ноя-05, 20:42
	Потому что порты просто опаздывают. Проедься по дереву и посмотри, какие версии в портах. Кумыло ты нарежешь из порта, да? Вперёд. Еще что?
	Cообщить модератору | Наверх | ^

	24. "99% софта я ставлю из сырцов."
	Сообщение от _Nick_ (ok) on 03-Ноя-05, 11:20
	>Потому что порты просто опаздывают. >Проедься по дереву и посмотри, какие версии в портах. >Кумыло ты нарежешь из порта, да? Вперёд. вжизни его никуда не нарежу. ни в каком виде. кумыло - для идиотов. Добавить в нем какую-либо левую функциональность - зачастую только через патчинг. Бред, а не мыльник. >Еще что? Exim
	Cообщить модератору | Наверх | ^

	25. "99% софта я ставлю из сырцов."
	Сообщение от _Nick_ (ok) on 03-Ноя-05, 11:47
	>Exim [-= gentoo =- root 10:22:33] ~ # cd /usr/portage/mail-mta/exim/ [-= gentoo =- root 10:22:55] /usr/portage/mail-mta/exim # l *ebuild -rw-r--r--  1 root root 8033 Фев 21  2005 exim-4.43-r2.ebuild -rw-r--r--  1 root root 7923 Мар  4  2005 exim-4.50.ebuild -rw-r--r--  1 root root 7956 Авг 18 22:05 exim-4.50-r1.ebuild -rw-r--r--  1 root root 8497 Июл 15 12:37 exim-4.50-r2.ebuild -rw-r--r--  1 root root 7638 Июл 11 04:47 exim-4.50-r999.ebuild -rw-r--r--  1 root root 8419 Окт  2 06:38 exim-4.52.ebuild -rw-r--r--  1 root root 8658 Окт 28 20:35 exim-4.54.ebuild exim.org: Latest version: 4.54
	Cообщить модератору | Наверх | ^

	21. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от 1 (??) on 03-Ноя-05, 10:15
	>а вообще вот, что бывает с теми, кито юзит сырцы напрямую ;) >http://cebka.pp.ru/stuff/futbol.jpg да, однако бежит то он впереди :)
	Cообщить модератору | Наверх | ^

	23. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от _Nick_ (ok) on 03-Ноя-05, 10:21
	>>а вообще вот, что бывает с теми, кито юзит сырцы напрямую ;) >>http://cebka.pp.ru/stuff/futbol.jpg >да, однако бежит то он впереди :) нет, сзади - это рпмщики %) портовики - слева намного дальше. Ф кадр не поместились ;)
	Cообщить модератору | Наверх | ^

7. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."

Сообщение от mar (??) on 02-Ноя-05, 01:54

определенно, в php-4.4.1 какая-то беда, squirrelmail "вешает" апача, когда пытаешся прочитать письмо с аттачментом, так же, ошибка в порту php4-pear,неправильное имя файла указано. после отката на php4-4.4.0 все работает. перед обновлением не поленитесь набрать pkg_create -b php4-4.4.0, вдруг пригодится.

Cообщить модератору | Наверх | ^

	16. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от Freedom on 02-Ноя-05, 18:22
	>определенно, в php-4.4.1 какая-то беда, squirrelmail "вешает" апача, когда пытаешся прочитать письмо вроде нормально, apache2.0.55,  но письма не сложные. >с аттачментом, так же, ошибка в порту php4-pear,неправильное имя файла указано. это поправили >после отката на php4-4.4.0 все работает. перед обновлением не поленитесь набрать >pkg_create -b php4-4.4.0, вдруг пригодится. удобно добавить с pkgtools.conf
	Cообщить модератору | Наверх | ^

13. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."

Сообщение от Nadorvir on 02-Ноя-05, 16:50

Так-же стали наблюдаться куча глюков - когда скрипты вызывают инклудом или к ним идет обращение через mod_rewrite они просто перестали работать нормально. например: в скрипте идет открытие файла и путь не абсолютный, скрипт вызывается на прямую - то работает, если скрипт вызвать через инклуд в shtml документе - то работать не будет. нужно указать абсолютный путь до файла к которому обращается скрипт. по этому отктились обратнона 4.4.0

Cообщить модератору | Наверх | ^

18. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."

Сообщение от samm on 03-Ноя-05, 09:07

Да, релиз оказался глюкавым. Сломан apache virtal, работа с mod_rewrite... После воплей юзеров срочно откатился до 4.4.0

Cообщить модератору | Наверх | ^

	19. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от Maxim Chirkov (ok) on 03-Ноя-05, 09:32
	>Да, релиз оказался глюкавым. Сломан apache virtal, работа с mod_rewrite... После воплей >юзеров срочно откатился до 4.4.0 Есть подозрения, что глюки проявляются только для apache 2.0, в связи с исправлением связанным с ним дыры. На хостинге с Apache 1.3.34 жалоб пока небыло.
	Cообщить модератору | Наверх | ^

	33. "Все хорошо - 1.3.34 "
	Сообщение от Otto Katz Feldkurat on 08-Ноя-05, 00:38
	не работатет с 4.4.1 4.3.09 - последний Пых, который не дает Bus error (10) на ровном месте. nginx и lighttpd тоже, кстати, легли на fcgi php 4.4.1 завел их только откат на 4.3.11
	Cообщить модератору | Наверх | ^

	34. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от Maxim Chirkov (ok) on 09-Ноя-05, 12:53
	php 4.4.1 не жилец, вот при memory_limit 4mb всплыло несколько подобных процессов: 3363 web  265444 244440  0.4 00:06:14 /usr/local/apache/bin/httpd
	Cообщить модератору | Наверх | ^

20. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."

Сообщение от Terteron on 03-Ноя-05, 10:09

с 1.3.33 гдюки теже.

Cообщить модератору | Наверх | ^

22. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."

Сообщение от suslik on 03-Ноя-05, 10:18

>Возможность (при register_globals=on) подмены >значений в массиве "GLOBALS" через >"multipart/form-data" запрос или функции extract(), > import_request_variables(); Это-ж просто супер!!! Пол интернета сломать можно :))) ...побежал пробовать

Cообщить модератору | Наверх | ^

26. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."

Сообщение от no on 03-Ноя-05, 14:52

Что-то пропатчили в php. Updating collection ports-lang/cvs Checkout ports/lang/php4/files/patch-sapi_apache2handler_sapi_apache2.c

Cообщить модератору | Наверх | ^

	27. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от odip on 04-Ноя-05, 07:48
	>Что-то пропатчили в php. >Updating collection ports-lang/cvs > Checkout ports/lang/php4/files/patch-sapi_apache2handler_sapi_apache2.c В FreeBSD уже два патча наложили http://www.freshports.org/lang/php4/ 03 Nov 2005 08:17:22 Fix for apache2+mod_rewrite. Obtained from:  PHP CVS 01 Nov 2005 21:28:01 Fix pear installation. Spotted by:     Sean McNeil <sean@mcneil.com>
	Cообщить модератору | Наверх | ^

28. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."

Сообщение от vls on 04-Ноя-05, 13:21

Там даже порт php4-4.4.1_1 уже есть... но вот squirrelmail что-то всё-равно работать не захотел от этого =(

Cообщить модератору | Наверх | ^

	29. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от mar (??) on 05-Ноя-05, 19:28
	у меня с php4-4.4.1_1 и 4.4.1_1 экстэншенами белка заработала, всё остальное, вроде, тоже работает, в dalbum пришлось явно указать директорию /tmp вместо $g_sTemp=ini_get("session.save_path");
	Cообщить модератору | Наверх | ^

	30. "Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасно..."
	Сообщение от vls on 05-Ноя-05, 22:40
	Наверное стоит рискнуть и попробовать ещё раз, php 4.4.1_1
	Cообщить модератору | Наверх | ^

31. "OpenNews: Вышел PHP 4.4.1 с исправлением ошибок, связанных с..."

Сообщение от Alexander Sheiko on 06-Ноя-05, 05:02

Похоже, что порт пофиксили не до конца: http://servous.se/punbb/viewtopic.php?id=280 Перестали работать ЧПУ - выдаётся пустая страница и ругань в логах :(.

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема