The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сессий

17.08.2013 11:11

Представлены корректирующие выпуски интерпретатора языка программирования PHP - 5.4.18 и 5.5.2 в которых устранено более 20 ошибок. В обоих выпусках устранена уязвимость в модуле OpenSSL (CVE-2013-4248), вызванная некорректной обработкой символов с нулевым кодом в поле subjectAltName в SSL-сертификатах, что открывает возможности для спуффинга. Кроме того, в выпуске 5.4.18 (в ветке PHP 5.5 данная проблема была устранена в версии 5.5.1) исправлена уязвимость (CVE-2013-4113) в парсере XML, которая позволяет организовать выполнение кода при обработке специально оформленного XML-контента.

Из изменений также можно отметить реализацию поддержки защищённых сессий, позволяющих защититься от атак по перехвату фиксированных идентификаторов пользовательских сессий и подбор идентификаторов через выявление коллизий в алгоритмах генерации идентификаторов сессий. Включение нового режима производится через опцию use_strict_session в php.ini, после чего осуществляется дополнительная проверка инициализации сессии (принимаются только ранее сгенерированные web-приложением сессии) и её корректности по специальному проверочному ключу, что позволяет защититься от атак по использованию перехваченных путём сниффинга идентификаторов сессий.

  1. Главная ссылка к новости (http://php.net/archive/2013.ph...)
  2. OpenNews: Обновление PHP 5.5.1
  3. OpenNews: PHP продвинулся на две позиции вперёд в рейтинге TIOBE
  4. OpenNews: Обновление PHP 5.3.27 и 5.4.17. Ветка PHP 5.3.x перешла на завершающую фазу поддержки
  5. OpenNews: Релиз PHP 5.5.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/37684-php
Ключевые слова: php
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Kroz (??), 14:13, 17/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –3 +/
    Когда они добавят возможность отслеживания прогресса загрузки файлов? А то всякие костыли приходится юзать.
     
     
  • 2.3, pfffff (?), 17:11, 17/08/2013 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    http://php.net/manual/ru/session.upload-progress.php
     

  • 1.2, Аноним (-), 14:20, 17/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Extension заюзай  и все у тебя будет хорошо

    pecl

     
  • 1.4, Аноним (-), 17:53, 17/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Ни прошло и 100 лет!!!

    https://github.com/php/php-src/commit/84f9213e00ae624e789ec0ed8f023c22a557d215

     
  • 1.6, Sylvia (ok), 20:22, 17/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    для тех кто напишет "PHP - решето" - CVE-2013-4248 присутствует и в Ruby тоже
     
     
  • 2.8, бедный буратино (ok), 03:26, 18/08/2013 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Кто напишет "PHP не решето" - тот погрешит против истины.

    Ни одна из детских болезней, позволяющих легко и незаметно писать небезопасный код с улыбкой на устах, не исправлена.

    А большинство проектов - родом из php <= 5.2, для них новые возможности - как серпом по яйцам, поэтому там делая фабрика по переизобретению колёс, которая безопасности совсем не добавляет.

    Поэтому все всё давно поняли, и дальнейшее обсуждение этого животрепещущего вопроса - бесполезно. Не надо провоцировать скандалы.

     
     
  • 3.9, mma (?), 11:46, 19/08/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    >Ни одна из детских болезней, позволяющих легко и незаметно писать небезопасный код с улыбкой на устах, не исправлена.

    Кто должен править твои руки что бы ты писал безопасный код?

     
     
  • 4.10, Kibab (ok), 13:42, 19/08/2013 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    В данном случае правка рук Буратино ничего не изменит -- он, я так понимаю, пхп не использует. А править руки тысячам PHP-кодеров -- задача непосильная для анонимных анатиликов опеннета :-)
     
     
  • 5.11, Аноним (-), 20:05, 19/08/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    > В данном случае правка рук Буратино ничего не изменит -- он, я так понимаю, пхп не использует.

    Изменит-изменит. Он пистон юзает. А это тот же пых, только в профиль.

     
     
  • 6.13, бедный буратино (ok), 08:19, 20/08/2013 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Изменит-изменит. Он пистон юзает. А это тот же пых, только в профиль.

    Китайский - тот же русский, только в картинках.

    Достаточно понимать хотя бы разницу между строгой и нестрогой типизацией, чтобы не нести такой ахинеи.

     
     
  • 7.14, Аноним (-), 15:56, 21/08/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    Онаним не пониматель, онаним пейсатель на пэхэпэ.
     
  • 5.12, Аноним (-), 23:12, 19/08/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    https://code.google.com/p/naxsi/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру