https://opennet.me/openforum/vsluhforumID3/41243.html В библиотеке libpng обнаружена (http://secunia.com/advisories/29792/) уязвимость, которая может привести к выполнению кода злоумышленника или получению доступа к области памяти приложения, в момент обработки специальным образом скомпонованного PNG изображения в программе, использующей функции png_set_read_user_chunk_fn()/ png_set_keep_unknown_chunks() библиотеки libpng. Проблема устранена в версиях libpng 1.0.33 и 1.2.27beta01 (http://libpng.sourceforge.net), релиз 1.2.27 будет выпущен 26 апреля.<br><br><br>Необходимым условием для удачного проведения атаки, является (http://libpng.sourceforge.net/Advisory-1.2.26.txt) обязательность вызова в атакуемом приложении функции png_set_read_user_chunk_fn() или png_set_keep_unknown_chunks() при установленных флаговых значениях PNG_HANDLE_CHUNK_IF_SAFE или PNG_HANDLE_CHUNK_ALWAYS. Например, подобная конструкция используется в программах pngtest, pngcrush и ImageMagick (с версии 6.2.5 по 6.4.0-4).<br><br><br>Кроме того, можно обратить внимание на две другие у...<br><br>URL: http://secunia https://opennet.me/openforum/vsluhforumID3/41243.html#11 Wed, 16 Apr 2008 07:11:37 GMT &gt;Потому что чисто визуально ошибок в PHP обнаруживается больше. Логично предположить, что <br>&gt;только потому что PHP используется гораздо чаще.<br><br>Неверно. Апач используется на двух третях серверов интернета в отличие от IIS, который и до трети не дотягивает - и много ли багов? Потом, MySQL, тоже очень популярная вещь, как и PHP, опять же намного реже дырки обнаруживаются.<br><br><br> https://opennet.me/openforum/vsluhforumID3/41243.html#10 Wed, 16 Apr 2008 01:49:30 GMT &gt; здесь аналогичная ситуация с питоном...тишина...просто смешно =)<br><br>Сравните для начало количество критических ошибок найденых за последние пять в PHP, Python и Perl. Может после этого вам не будет так смешно.<br><br>Смеятся вы начнете после, когда заметите, что в PHP затыкаются одни и теже дыры. По несколько раз, при этом закрыв одну дыру, будет сделано две других в другом месте.<br><br>Я ничего не имею против языка PHP, каждый выбирает то что ему нравится, но одно я заметил точно, для администраторов хостингов PHP это сплошная головная боль, но для тех кто пишет на PHP это ведь неважно... :)<br> https://opennet.me/openforum/vsluhforumID3/41243.html#9 Tue, 15 Apr 2008 21:21:44 GMT перепутал, эмоции переполняли. Это явно провокация против языка. Я бы не стал это исправлять а просто задокументировал ибо так очень многие вещи работают.<br><br>На самом деле тут ошибка дизайна. Надо было делать unsigned переменную и всё.<br> https://opennet.me/openforum/vsluhforumID3/41243.html#8 Tue, 15 Apr 2008 12:39:11 GMT &gt;странно, даже камментов нету, касалось бы это каким-то боком РНР, так сразу <br>&gt;набежали бы и начали вонять...чего про питон никто ничего не пишет? <br>&gt;<br><br>Потому что чисто визуально ошибок в PHP обнаруживается больше. Логично предположить, что только потому что PHP используется гораздо чаще. Вот и складывается мнение, что, например, Python гораздо самый наиболее безопасный, чем PHP.<br><br>Надоедает по каждому багу видеть "в PHP обнаружена уязвимость..." - имхо такие вещи надо смотреть на сайтах о секьюрити через RSS.<br> https://opennet.me/openforum/vsluhforumID3/41243.html#7 Tue, 15 Apr 2008 12:02:42 GMT &gt;-DNDEBUG и assertы заработают. Я, как разработчик питоновских модулей, проблемы не <br><br>вызывающе неверная информация - на самом деле все сточностью до наоборот. <br> https://opennet.me/openforum/vsluhforumID3/41243.html#6 Tue, 15 Apr 2008 10:56:15 GMT да нету дырки в питоне, это не баг в интерпретаторе а фича низкоуровневой функции. Суть в том что если через C api потребовать от питона вернуть pystring с отрицательной то произойдут неприятные вещи. В питоне много таких мест, если хочется чтобы этого не было укажите -DNDEBUG и assertы заработают. Я, как разработчик питоновских модулей, проблемы не вижу. Потому что если это считать дырой то тогда и всё остальное будет как решето.<br> https://opennet.me/openforum/vsluhforumID3/41243.html#5 Tue, 15 Apr 2008 10:41:36 GMT Да не привык народ просто - в питоне-то это редкость, а у пых-пыха я даже не вспомню релиза в котором не залатывались бы очередные критические уязвимости.<br> https://opennet.me/openforum/vsluhforumID3/41243.html#4 Tue, 15 Apr 2008 10:39:44 GMT дык я и не спорю...и ещё наверно не только в РНР, но когда был пост про какую-то уязвимость, точно не помню какую, и там фигурировал РНР, как вариант использования уязвимости...<br><br>и понеслось поехало какой РНР галимый, дырявый и т.д...<br>здесь аналогичная ситуация с питоном...тишина...просто смешно =)<br><br>з.Ы. я нивкоем случае не защищаю РНР, просто в таких случаях начинаешь сомневаться в адекватности людей...<br> https://opennet.me/openforum/vsluhforumID3/41243.html#3 Tue, 15 Apr 2008 10:09:08 GMT &gt;странно, даже камментов нету, касалось бы это каким-то боком РНР, так сразу <br>&gt;набежали бы и начали вонять...чего про питон никто ничего не пишет? <br>&gt;<br><br>Soglasen, esli bi bilo Java, shuma bilo bi pobolshe :)<br>