Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимости

13.12.2013 11:01

Представлены корректирующие выпуски интерпретатора языка программирования PHP 5.5.7, 5.4.23 и 5.3.28 в которых устранено около 10 ошибок и устранена уязвимость (CVE-2013-6420) в модуле OpenSSL, которая может привести к повреждению областей памяти при обработке специально оформленных сертификатов X.509 в функции openssl_x509_parse(). Уязвимость отнесена к категории критических проблем, так как может привести к выполнению кода на стороне сервера с привилегиями пользователя, под которым выполняется интерпретатор PHP.

Кроме того, в версии 5.3.28 устранена ещё одна уязвимость (CVE-2013-4073) в модуле OpenSSL, вызванная некорректной обработкой символов с нулевым кодом в поле subjectAltName SSL-сертификатов, что позволяет осуществить спуффинг.

исправить +/–

Главная ссылка к новости (http://www.php.net/archive/201...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/38657-php

Ключевые слова: php

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (20)

1.2, Аноним (-), 11:38, 13/12/2013 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
хоть раз была бы добрая новость «добавлены плюшки. было и так круто, а стало еще круче! и солнце засветилось ярче!», нет же «устранены вновь найденные критические уязвимости. но врата ада еще не закрыты»

2.3, Andrey Mitrofanov (?), 11:45, 13/12/2013 [^] [^^] [^^^] [ответить]

+2 +/–

> хоть раз была бы добрая новость «добавлены плюшки. было и так круто,
> а стало еще круче! и солнце засветилось ярче!»,

Дубина! Вот же:

21.06.2013 09:13  Релиз PHP 5.5.0
02.03.2012 09:42  Релиз PHP 5.4.0. Обзор новшеств
30.06.2009 16:58  Увидел свет релиз интерпретатора языка программирования PHP 5.3
03.11.2006 14:01  Вышел релиз PHP 5.2

> нет же «устранены

2.26, Кирилл (??), 20:48, 11/01/2014 [^] [^^] [^^^] [ответить]	+/–
ахаха, охохо, смешно, ахаха.

1.5, Sylvia (ok), 12:37, 13/12/2013 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

- php_error_docref(NULL TSRMLS_CC, E_WARNING, "extension author too lazy to parse %s correctly", timestr->data);
https://github.com/php/php-src/commit/c1224573c773b6845e83505f717fbf820fc18415

лентяи такие лентяи....

2.10, myhand (ok), 18:11, 13/12/2013 [^] [^^] [^^^] [ответить]	–1 +/–
s/lazy/stupid/

1.8, Аноним (-), 17:07, 13/12/2013 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Что не выпуск, то сразу с "Устранением ряда уязвимостей." А сколько новых ведет за собой этот релиз ?

2.11, Аноним (-), 18:55, 13/12/2013 [^] [^^] [^^^] [ответить]	+1 +/–
Всяко меньше, чем релиз любого популярного браузера. У того же Firefox в каждом релизе не меньше десятка закрывают, и все равно никак не перезакроют.

2.12, AlexAT (ok), 15:11, 14/12/2013 [^] [^^] [^^^] [ответить]	+/–
1) Чем крупнее софтина - тем больше в ней дырок. 2) Чем более массовой и открытой является софтина, тем больше дырок в ней находят. Вывод) Количество дырок в массовой и не массовой софтине зависит только от масштаба софтины. В узком проприетарном софте сходного размера потенциальных дырок столько же, но они еще не обнаружены и не заткнуты.

3.13, У новости должен быть источник (?), 19:03, 14/12/2013 [^] [^^] [^^^] [ответить]	–1 +/–
1) Чем кашеобразнее софтина, тем больше в ней дырок. 2) Когда кривые руки варят популярную каше, травится дофига народа. Вывод. Косорукий повар в популярном ресторане - бегите нафиг.

4.15, Sabakwaka (ok), 13:33, 15/12/2013 [^] [^^] [^^^] [ответить]

+/–

> 1) Чем кашеобразнее софтина, тем больше в ней дырок.
> 2) Когда кривые руки варят популярную каше, травится дофига народа.
> Вывод. Косорукий повар в популярном ресторане - бегите нафиг.

Бегите.
Чего вы тут толпитесь?
Бегите!

2.14, Sabakwaka (ok), 13:33, 15/12/2013 [^] [^^] [^^^] [ответить]	–1 +/–
НЕ пользуйся. Тебе что за дело? За выходом новых ароматов тоже следишь?

1.16, Аноним (-), 19:39, 15/12/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Где брать фикс для PHP 5.2?

2.17, Sylvia (ok), 21:08, 15/12/2013 [^] [^^] [^^^] [ответить]	+/–
формально - нигде, продукт давно перешел за границы EOL и заниматься некромантией не стоит. Неформально - у BSDунов - http://code.google.com/p/php52-backports/downloads/list?can=1 (свежих исправлений пока нет и неизвестно когда будут)

2.18, AlexAT (ok), 21:17, 15/12/2013 [^] [^^] [^^^] [ответить]	+/–
> Где брать фикс для PHP 5.2? Зачем вам 5.2? В крайнем случае - 5.3, ничем не хуже. В 5.4 многое, конечно, совсем отломали, но по опыту - перенести кодовую базу не проблема. Если вы не хостер, конечно :)

2.19, Денис (??), 06:45, 16/12/2013 [^] [^^] [^^^] [ответить]	+/–
Вот здесь я адаптировал для 5.2.17 http://centos.alt.ru/?p=962

1.21, Sylvia (ok), 07:25, 17/12/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
вот только отрелизили и уже новая радость - integer overflow в ext/exif

2.22, бедный буратино (ok), 14:54, 17/12/2013 [^] [^^] [^^^] [ответить]	–2 +/–
мы своё призвание не забудем смех и радость мы приносим людям!

3.23, Sabakwaka (ok), 15:26, 17/12/2013 [^] [^^] [^^^] [ответить]	+/–
Адын: сколько раз в уходящем году вы имели дело c данными exif? Ыдва: берёте лес и гуляете лесом МИМО PHP. Вам то PHP мёдом намазано, штоле?

4.24, бедный буратино (ok), 16:01, 17/12/2013 [^] [^^] [^^^] [ответить]	–1 +/–
смех и радость часто

5.25, Andrey Mitrofanov (?), 18:34, 17/12/2013 [^] [^^] [^^^] [ответить]	+2 +/–
> смех и радость > часто Радует ли тебя, что в твоём пайтоне целые переполнения и дос-атаки _не _фиксят?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: