https://mobile.opennet.me/openforum/vsluhforumID3/39625.html Анонсирован (http://www.php.net/releases/4_4_8.php) релиз PHP 4.4.8 (прошлый релиз, 4.4.7, вышел в мае), в котором исправлены ошибки влияющие на стабильность работы и устранено несколько уязвимостей:<br><br><br>- Усовершенствован код для предотвращения уязвимостей связанных с переполнением стека через функции, в которых используется рекурсивный вызов (http://www.php-security.org/MOPB/MOPB-02-2007.html).<br>- Устранено целочисленное переполнение в функциях chunk_split() и str[c]spn().<br>- Исправлены проблемы с глобальными переменными при использовании open_basedir, внесенные в одной из прошлых правок (#41655 fix).<br>- Исправлена работа функции money_format(), в которой запрещено использование множественных %i и %n.<br>- В php.ini добавлена директива "max_input_nesting_level", ограничивающая уровень вложенности массивов (http://www.php-security.org/MOPB/MOPB-03-2007.html).<br>- При включенных open_basedir и safe_mode теперь недопускается выполнение INFILE LOCAL опций в MySQL;<br>- Устранена возможность обхода ограничений https://mobile.opennet.me/openforum/vsluhforumID3/39625.html#10 Tue, 08 Jan 2008 09:10:56 GMT Обещали - не поддерживают :)<br>http://derickrethans.nl/php_4_so_long_and_thanks_for_all_the_fish.php<br> https://mobile.opennet.me/openforum/vsluhforumID3/39625.html#9 Tue, 08 Jan 2008 08:06:52 GMT это не значит что там багов не было, это значит что просто этой версией не занимались. так что лучше "наслаждаться жизнью" ставя патчи на версию 5.2. чем иметь не безопастный софт в лице 4.4.7 ИМХО.<br> https://mobile.opennet.me/openforum/vsluhforumID3/39625.html#8 Mon, 07 Jan 2008 11:45:19 GMT &gt; Для сравнения ветка 4.4.х<br>&gt; 4.4.7 - 03 May 2007 <br>&gt; а версия 4.4.8 уже в следующем году - 03 January 2008<br><br>Это при том, что уязвимости в PHP 4.4.7 известны с мая 2007 года.<br>http://www.securityfocus.com/bid/24109<br>Полгода с незакрытой дыркой - это не есть хорошо.<br> https://mobile.opennet.me/openforum/vsluhforumID3/39625.html#7 Sun, 06 Jan 2008 19:13:50 GMT &gt;Именно, но прочитав устраненные проблемы становиться радостно на дуще. Я уже давно <br>&gt;использую 5.2.5 fastcgi с SuExec'ом и Suhosin патчем и наслаждаюсь жизнью. <br><br>fastcgi с SuExec'ом и Suhosin патчем существует и для ветки 4.4.х<br><br>А про "давно использую 5.2.5" ты загнул серьезно. История выпуска ветки 5.2.х<br><br>5.2.5 - 08 November 2007<br>5.2.4 - 30 August 2007 <br>5.2.3 - 31 May 2007<br>5.2.2 - 03 May 2007 <br>5.2.1 - 08 Feb 2007 <br><br>Итого: пять (!) обновлений версий только по теме bugfix и security за один год. Ты, наверное, мазохист, коли при таком количестве апдейтов "наслаждаешься жизнью".<br><br>Для сравнения ветка 4.4.х<br><br>4.4.7 - 03 May 2007 <br><br>а версия 4.4.8 уже в следующем году - 03 January 2008<br> https://mobile.opennet.me/openforum/vsluhforumID3/39625.html#6 Sun, 06 Jan 2008 10:25:22 GMT На автомате прочитал новость как: Релиз PHP с ОБНОВЛЕНИЕМ проблем безопасности :)<br> https://mobile.opennet.me/openforum/vsluhforumID3/39625.html#5 Sat, 05 Jan 2008 15:46:29 GMT Обманули, сволочи! :)<br> https://mobile.opennet.me/openforum/vsluhforumID3/39625.html#4 Fri, 04 Jan 2008 17:51:39 GMT &gt; Устранена возможность обхода ограничений open_basedir и safe_mode через session.save_path и error_log<br><br>видимо, следующее исправление будет таким: устранена возможность обхода ограничений при обходе ограничений open basedir...<br><br>походу они из рекурсии никак не выдут, бедолаги.<br> https://mobile.opennet.me/openforum/vsluhforumID3/39625.html#3 Fri, 04 Jan 2008 14:26:25 GMT Ну ну ,) <br> https://mobile.opennet.me/openforum/vsluhforumID3/39625.html#2 Fri, 04 Jan 2008 10:59:25 GMT Именно, но прочитав устраненные проблемы становиться радостно на дуще. Я уже давно использую 5.2.5 fastcgi с SuExec'ом и Suhosin патчем и наслаждаюсь жизнью.<br>