https://www.opennet.ru/openforum/vsluhforumID3/12626.html Обнаружено несколько неприятных (http://secunia.com/advisories/17371/) проблем с безопасностью в версиях PHP ниже 4.4.1 (http://www.php.net/downloads.php#v4) и 5.0.6 (который еще не вышел).<br><br><br>Проблемы (http://secunia.com/advisories/17371/):<br>- Возможность (http://www.securityfocus.com/bid/15250) (при register_globals=on) подмены значений в массиве "GLOBALS" через "multipart/form-data" запрос или функции extract(), import_request_variables();<br><br>- Ошибка (http://www.securityfocus.com/bid/15249) в функции parse_str(), которая может привести к активации настройки register_globals;<br><br>- "Cross-Site Scripting (http://online.securityfocus.com/bid/7805)" - атакующий может сформировать ссылку на скрипт с phpinfo(), подставив свой HTML код;<br><br>- Возможность выхода за пределы директории, заданной в open_basedir и safe_mode, через модули "ext/curl" и "ext/gd" или вызов virtual() под apache 2 SAPI;<br><br>- Целочисленное переполнение в pcrelib;<br><br>- Исправлено (http://www.php.net/ChangeLog-4.php#4.4.1) более 30 ош https://www.opennet.ru/openforum/vsluhforumID3/12626.html#34 Wed, 09 Nov 2005 09:53:33 GMT php 4.4.1 не жилец, вот при memory_limit 4mb всплыло несколько подобных процессов:<br>3363 web 265444 244440 0.4 00:06:14 /usr/local/apache/bin/httpd<br><br> https://www.opennet.ru/openforum/vsluhforumID3/12626.html#33 Mon, 07 Nov 2005 21:38:03 GMT не работатет с 4.4.1<br><br>4.3.09 - последний Пых, который не дает Bus error (10) на ровном месте.<br><br>nginx и lighttpd тоже, кстати, легли на fcgi php 4.4.1<br><br>завел их только откат на 4.3.11 https://www.opennet.ru/openforum/vsluhforumID3/12626.html#32 Mon, 07 Nov 2005 15:38:42 GMT На Google советуют вообще до 4.3.09<br><br>Безопасность фтопку.<br><br>Запарил сегментейшын фолт в продакшыне.<br> https://www.opennet.ru/openforum/vsluhforumID3/12626.html#31 Sun, 06 Nov 2005 02:02:37 GMT Похоже, что порт пофиксили не до конца:<br><br>http://servous.se/punbb/viewtopic.php?id=280<br><br>Перестали работать ЧПУ - выдаётся пустая страница и ругань в логах :(. https://www.opennet.ru/openforum/vsluhforumID3/12626.html#30 Sat, 05 Nov 2005 19:40:10 GMT Наверное стоит рискнуть и попробовать ещё раз, php 4.4.1_1 https://www.opennet.ru/openforum/vsluhforumID3/12626.html#29 Sat, 05 Nov 2005 16:28:27 GMT у меня с php4-4.4.1_1 и 4.4.1_1 экстэншенами белка заработала, всё остальное, вроде, тоже работает, в dalbum пришлось явно указать директорию /tmp вместо $g_sTemp=ini_get("session.save_path"); https://www.opennet.ru/openforum/vsluhforumID3/12626.html#28 Fri, 04 Nov 2005 10:21:46 GMT Там даже порт php4-4.4.1_1 уже есть... но вот squirrelmail что-то всё-равно работать не захотел от этого =( https://www.opennet.ru/openforum/vsluhforumID3/12626.html#27 Fri, 04 Nov 2005 04:48:47 GMT &gt;Что-то пропатчили в php. <br>&gt;Updating collection ports-lang/cvs <br>&gt; Checkout ports/lang/php4/files/patch-sapi_apache2handler_sapi_apache2.c <br><br>В FreeBSD уже два патча наложили<br><br>http://www.freshports.org/lang/php4/<br><br>03 Nov 2005 08:17:22<br>Fix for apache2+mod_rewrite.<br><br>Obtained from: PHP CVS<br><br>01 Nov 2005 21:28:01<br>Fix pear installation.<br><br>Spotted by: Sean McNeil &lt;sean@mcneil.com&gt;<br> https://www.opennet.ru/openforum/vsluhforumID3/12626.html#26 Thu, 03 Nov 2005 11:52:46 GMT Что-то пропатчили в php.<br>Updating collection ports-lang/cvs<br> Checkout ports/lang/php4/files/patch-sapi_apache2handler_sapi_apache2.c<br>