forum.opennet.ru - "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимостей" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимостей"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимостей"	+/–
Сообщение от opennews (ok) on 04-Мрт-16, 11:29
Опубликованы (http://php.net/index.php#id2016-03-03-1) корректирующие выпуски языка программирования PHP 7.0.4, 5.6.19 и 5.5.33, в которых внесено более 20 изменений (http://php.net/ChangeLog-7.php#7.0.4), в том числе устранено несколько уязвимостей: целочисленные переполнения, приводящие к переполнению кучи при использовании функций php_implode() (https://bugs.php.net/bug.php?id=71449), filter_var/addcslashes (https://bugs.php.net/bug.php?id=71637) и php_str_to_str_ex() (https://bugs.php.net/bug.php?id=71450), которые могут привести к выполнению кода атакующего при выполнении определённых строковых операций. URL: http://php.net/index.php#id2016-03-03-1 Новость: http://www.opennet.ru/opennews/art.shtml?num=43986
Ответить \| Правка \| Cообщить модератору

Оглавление

Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..., Какаянахренразница, 11:29 , 04-Мрт-16, (1) –1

Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..., Аноним, 17:17 , 04-Мрт-16, (10)

Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..., Аноним, 11:35 , 04-Мрт-16, (2) +4

Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..., Какаянахренразница, 12:00 , 04-Мрт-16, (4)

Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..., G.NercY.uR, 11:40 , 04-Мрт-16, (3)

Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..., Какаянахренразница, 15:13 , 04-Мрт-16, (5)

Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..., angra, 10:04 , 05-Мрт-16, (13)

Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..., Аноним, 15:22 , 04-Мрт-16, (6) –2

Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..., Andrey Mitrofanov, 15:34 , 04-Мрт-16, (8)
Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..., SysA, 17:09 , 04-Мрт-16, (9) +1

Сообщения по теме [Сортировка по ответам | RSS]

1. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..." –1 +/–

Сообщение от Какаянахренразница (ok) on 04-Мрт-16, 11:29

> выполнению кода атакующего
Чтобы воспользоваться уязвимостью, надо иметь возможность запустить "злой" скрипт на целевой машине. А если есть такая возможность, то зачем нужна эта уязвимость?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..." +4 +/–

Сообщение от Аноним (??) on 04-Мрт-16, 11:35

Достаточно возможности ввода злых данных при определенном стечении обстоятельств.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..." +/–

Сообщение от G.NercY.uR on 04-Мрт-16, 11:40

Тоже посмотрел, в частности для implode.
Создаём массив из 64K элементов, строку из 64K символов.
А затем получаем строку сшиванием всех 64К элементов массива огромными 64К символьными строками-разделителями.
Уязвимость связаная с тем, что если кто-то хочет тупо исчерпать ресурсы сервера, имея доступ к коду исполняющемуся на нём, то у него это скорей всего получится.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..." +/–

Сообщение от Какаянахренразница (ok) on 04-Мрт-16, 12:00

Ага, понятно.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..." +/–

Сообщение от Какаянахренразница (ok) on 04-Мрт-16, 15:13

И? Имея доступ к выполняемому коду, можно забить память и проц даже без уязвимостей.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..." –2 +/–

Сообщение от Аноним (??) on 04-Мрт-16, 15:22

>приводящие к переполнению кучи
что такое куча?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..." +/–

Сообщение от Andrey Mitrofanov on 04-Мрт-16, 15:34

>>приводящие к переполнению кучи
> что такое куча?
https://duckduckgo.com/?q=%D1%87%D1%82&#...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..." +1 +/–

Сообщение от SysA on 04-Мрт-16, 17:09

>>приводящие к переполнению кучи
> что такое куча?
Если не знаешь, то для тебя это и неважно! :)
Можешь статью игнорировать.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..." +/–

Сообщение от Аноним (??) on 04-Мрт-16, 17:17

Возможно, что имеющий такую возможность гражданин не является автором злого скрипта. Гражданина в этом случае используют как средство установки вредоносного кода. Типа инсталлятор.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..." +/–

Сообщение от angra (ok) on 05-Мрт-16, 10:04

Судя по этим двум комментариям, уязвимость слишком сложна, чтобы рядовые пыхеры хотя бы примерно поняли о чем она. Что в прочем не удивительно, там же код на гадком непонятном С да еще и в виде prooof of concept, а не готового эксплоита.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	1. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..."	–1 +/–
	Сообщение от Какаянахренразница (ok) on 04-Мрт-16, 11:29
	> выполнению кода атакующего Чтобы воспользоваться уязвимостью, надо иметь возможность запустить "злой" скрипт на целевой машине. А если есть такая возможность, то зачем нужна эта уязвимость?
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..."	+4 +/–
	Сообщение от Аноним (??) on 04-Мрт-16, 11:35
	Достаточно возможности ввода злых данных при определенном стечении обстоятельств.
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..."	+/–
	Сообщение от G.NercY.uR on 04-Мрт-16, 11:40
	Тоже посмотрел, в частности для implode. Создаём массив из 64K элементов, строку из 64K символов. А затем получаем строку сшиванием всех 64К элементов массива огромными 64К символьными строками-разделителями. Уязвимость связаная с тем, что если кто-то хочет тупо исчерпать ресурсы сервера, имея доступ к коду исполняющемуся на нём, то у него это скорей всего получится.
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..."	+/–
	Сообщение от Какаянахренразница (ok) on 04-Мрт-16, 12:00
	Ага, понятно.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..."	+/–
	Сообщение от Какаянахренразница (ok) on 04-Мрт-16, 15:13
	И? Имея доступ к выполняемому коду, можно забить память и проц даже без уязвимостей.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	6. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..."	–2 +/–
	Сообщение от Аноним (??) on 04-Мрт-16, 15:22
	>приводящие к переполнению кучи что такое куча?
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..."	+/–
	Сообщение от Andrey Mitrofanov on 04-Мрт-16, 15:34
	>>приводящие к переполнению кучи > что такое куча? https://duckduckgo.com/?q=%D1%87%D1%82&#...
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	9. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..."	+1 +/–
	Сообщение от SysA on 04-Мрт-16, 17:09
	>>приводящие к переполнению кучи > что такое куча? Если не знаешь, то для тебя это и неважно! :) Можешь статью игнорировать.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	10. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..."	+/–
	Сообщение от Аноним (??) on 04-Мрт-16, 17:17
	Возможно, что имеющий такую возможность гражданин не является автором злого скрипта. Гражданина в этом случае используют как средство установки вредоносного кода. Типа инсталлятор.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	13. "Обновление PHP 5.5.33, 5.6.19 и 7.0.4 с устранением уязвимос..."	+/–
	Сообщение от angra (ok) on 05-Мрт-16, 10:04
	Судя по этим двум комментариям, уязвимость слишком сложна, чтобы рядовые пыхеры хотя бы примерно поняли о чем она. Что в прочем не удивительно, там же код на гадком непонятном С да еще и в виде prooof of concept, а не готового эксплоита.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору