The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от opennews (??) on 07-Авг-15, 14:19 
Доступны (http://php.net/archive/2015.php#id2015-08-06-4) корректирующие выпуски языка программирования PHP 5.6.12, 5.5.28 и 5.4.44, в которых устранены двенадцать уязвимостей и исправлена  порция ошибок (http://php.net/ChangeLog-5.php). Большая часть уязвимостей может привести к отказу в обслуживании и проявляется  в дополнениях (SPL, GD, SOAP, ODBC и OpenSSL). Уязвимость также выявлена в коде работы с директориями (https://bugs.php.net/bug.php?id=70002временными). Не обошлось и без ставших привычными уязвимостей в функции сериализации данных (unserialize) - 69793 (https://bugs.php.net/bug.php?id=69793) и 70121 (https://bugs.php.net/bug.php?id=70121).

Одновременно сообщается о приближении ветки PHP 5.4 к концу цикла поддержки (http://php.net/supported-versions.php) (последний выпуск ожидается в сентябре или октябре), а также переводе ветки PHP 5.5 на стадию финального сопровождения, на которой прекращено исправление ошибок общего плана и устраняются только уязвимости.


URL: http://php.net/archive/2015.php#id2015-08-06-4
Новость: https://www.opennet.ru/opennews/art.shtml?num=42745

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  –4 +/
Сообщение от Аноним (??) on 07-Авг-15, 14:19 
> двенадцать уязвимостей и исправлена порция ошибок

Сколько читаю новости каждый раз по *нацать или больше УЯЗВИМОСТЕЙ и куча ОШИБОК. Пользоваться PHP - себя не уважать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +4 +/
Сообщение от Аноним (??) on 07-Авг-15, 14:55 
Спасибо за комментарий! Ваше мнение очень важно для нас!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  –2 +/
Сообщение от Аноним (??) on 07-Авг-15, 15:02 
Это не мнение, а результат полученный анализом фактов последних новостей связанных с выпуском PHP.

Пользоваться PHP могут только те кто может спокойно жить по принципу "жрать что приходится". Но я ведь не ущемляю ваше право выбора, как и не ущемляю право людей копаться в помойках.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +1 +/
Сообщение от Аноним (??) on 07-Авг-15, 16:20 
Результат является вскукареком безработного, выучившего с горем пополам сишку и завидующего успешным java и php разработчикам.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  –2 +/
Сообщение от Аноним (??) on 07-Авг-15, 16:50 
> Результат является вскукареком безработного, выучившего с горем пополам сишку и завидующего успешным java и php разработчикам.

Конечно. Успокаивайте себя этим несколько раз на дню. Я разрешаю.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

29. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от Аноним (??) on 10-Авг-15, 08:37 
Сколько можно уже делать высеров насчет PHP? Да, обычный шаблонизатор. Да без поддержки потоков рашньше был.  Сегодня вполне себе годный язык. Для быстрой разработки сайтов и быстрого деплоя. Есть и достоинства и недостатки. Что за притеснение по языковому признаку. А ответка тоже не ахти. За что Вы так на java или с++ они вам не конкуренты разные совершенно рынки. И да рынок фундаментальной разработки в России страдает, так как пользователи пока не готовы к заказам сложнее сайтов, но это не проблема программистов, а проблема рынка... От того страдают программисты
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

2. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +1 +/
Сообщение от ALex_hha (ok) on 07-Авг-15, 14:38 
Типа в других программах ошибки никогда не находят
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от Куяврег on 07-Авг-15, 18:05 
во многих находят. но интенсивность очень разная. вспомним тот же флэш.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от Critic on 07-Авг-15, 18:24 
Если ПХП и Флэш - программы, то ХТМЛ - язык программирования.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от Аноним (??) on 07-Авг-15, 18:30 
А вот и гладиолус :)
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

31. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от Куяврег on 10-Авг-15, 09:49 
> Если ПХП и Флэш - программы,

flash-плеер вполне себе программа

> то ХТМЛ - язык программирования.

рекомендую найти толкового психотерапевта и не пугать окружающих загибами своего воображения


Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +1 +/
Сообщение от ALex_hha (ok) on 07-Авг-15, 18:38 
> Если ПХП и Флэш - программы, то ХТМЛ - язык программирования.

php написан на с, чем вам не программа? Ах да, забыл, нет окошек! :D

> во многих находят. но интенсивность очень разная. вспомним тот же флэш.

покажите мне "сложную" программу, которая используется на миллионах хостов и без "почти" уязвимостей

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  –1 +/
Сообщение от Аноним (??) on 07-Авг-15, 22:33 
> покажите мне "сложную" программу, которая используется на миллионах хостов и без "почти" уязвимостей

Если бы в nginx, apache, openssh, vsftpd и других нормальных программах закрывали бы через каждые несколько недель по *надцать УЯЗВИМОСТЕЙ и куче ОШИБОК, то нормальный люд давно бы взвыл и выкинул бы к чертям собячим такой мусор.

PHP спасает только то что нормальный люд не пользуется им, это для всяких неосиляторов, недопрограммистов и школьников. Лично я не понимаю как можно пользоваться такой хренью в которой за нескоько месяцев закрыли полсотни уязвимостей и не меньше ошибок. Сразу возникают вопросы о качестве исполнения: сколько там их еще осталось и сколько новых уязвимостей сделали пока закрывали старые? Спасибо, но пользоваться этим я не буду никогда.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +1 +/
Сообщение от анином on 08-Авг-15, 00:50 
В таких случаях предлагайте альтернативу, чтобы быть конструктивным.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

24. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +1 +/
Сообщение от Аноним (??) on 08-Авг-15, 06:22 
Accelerate your development with Lucee: http://lucee.org/
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

34. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от йцу on 10-Авг-15, 10:25 
> Если бы в nginx, apache, openssh, vsftpd и других нормальных программах закрывали бы через каждые несколько недель по *надцать УЯЗВИМОСТЕЙ и куче ОШИБОК, то нормальный люд давно бы взвыл и выкинул бы к чертям собячим такой мусор.

Откройте глаза. А потом откройте ченджлоги nginx, apache, openssh, vsftpd или любого другого крупного проекта и посмотрите на количество багфиксов.

> Спасибо, но пользоваться этим я не буду никогда.

Держите нас в курсе.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

17. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от Аноним (??) on 07-Авг-15, 22:58 
да когда ж они все исправят наконец
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +1 +/
Сообщение от ALex_hha (ok) on 07-Авг-15, 23:43 
> Если бы в nginx, apache, openssh, vsftpd и других нормальных программах закрывали бы через каждые несколько недель по *надцать УЯЗВИМОСТЕЙ и куче ОШИБОК, то нормальный люд давно бы взвыл и выкинул бы к чертям собячим такой мусор.

т.е. в nginx apache, openssh, vsftpd ошибок нет? Странно что на том же RHEL выходят постоянные обновления на них. Вот если бы там, среди этих 12, было RCE или повышения привилегий, то можно было с пеной у рта кричать что похапэ решето. А так ни о чем

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от Аноним (??) on 08-Авг-15, 03:16 
Вы действуете не честно: речь не о том что есть ошибки или нет ошибок, речь идет О СУММАРНОМ КОЛИЧЕСТВЕ УЯЗВИМОСТЕЙ И ОШИБОК за несолько месяцев и в PHP вопрос идет вопрос на СОТНИ. И где в этих проектах закрытые сотни проблем? Хуже PHP я пока ничего не знаю (flash даже не рассматриваю, т.к. это лишь решение под браузер который уже почти выбросили).
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

30. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от йцу on 10-Авг-15, 09:46 
> речь идет О СУММАРНОМ КОЛИЧЕСТВЕ УЯЗВИМОСТЕЙ И ОШИБОК за несолько месяцев и в PHP вопрос идет вопрос на СОТНИ.

Количество - не единственный показатель. Вы сначала попробуйте эксплуатировать хотя бы одну из этих уязвимостей, на каком-нибудь реальном проекте, тогда и поговорим. Или может приведете пример, когда бы ошибка в самом PHP привела к массовому взлому сайтов? Реальность такова, что большинство этих багов находят в API, которым или пользуется 3,5 человека, или для воспроизведения бага требуется сочетание каких-нибудь нереальных условий.

> И где в этих проектах закрытые сотни проблем?

Да в любом крупном проекте. http://nginx.org/en/CHANGES - каждый месяц по нескольку багфиксов. И что? Ну давайте в других языках посмотрим: https://docs.python.org/3/whatsnew/changelog.html - что, большая разница? Короче говоря, умерьте свой капслок. И ещё: https://www.opennet.ru/opennews/art.shtml?num=15991

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

32. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от Куяврег on 10-Авг-15, 09:52 
>> речь идет О СУММАРНОМ КОЛИЧЕСТВЕ УЯЗВИМОСТЕЙ И ОШИБОК за несолько месяцев и в PHP вопрос идет вопрос на СОТНИ.
> Количество - не единственный показатель.

Истинно так. Поэтому надо не тупо таращиться на количество багфиксов, а сравнивать количество CVE. И тут внезапно выясняется, что flash и ослик делают всех как стоячих.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

23. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +1 +/
Сообщение от Аноним (??) on 08-Авг-15, 05:10 
> среди этих 12, было RCE или повышения привилегий, то можно было
> с пеной у рта кричать что пoхапэ рeшето. А так ни
> о чем

Ну вот в семeрoчке (а это всего-то какая-то маргинaльная ОСь) 125 RCE дырок http://www.cvedetails.com/product/17153/Microsoft-Windows-7....
а в пыхe всего 110  http://www.cvedetails.com/product/128/PHP-PHP.html?vendor_id=74
Профит и секурность, да :)
Правда, даже в ядре пингвина, которое по слухам немножечко больше, настчитывают в два раза МЕНЬШЕ RCE дырок.

И да, я в курсе что источник не очень точный, однако при таких циферках плюс минус десяток дыр уже особой роли не играют :)

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

33. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от Куяврег on 10-Авг-15, 09:53 
приятно видеть адекватов среди анонимов.


Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от Аноним (??) on 08-Авг-15, 09:53 
PHP так спроектирован, он старается уметь все что нужно и не нужно. И вот такой кодовой базой сложно управлять
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от Аноним (??) on 08-Авг-15, 13:36 
Вы нас обманываете. Мы знаем историю PHP, поэтому знаем из чего он "вырос" и то что он никак не был спроектирован. А если принять во внимание что закрывают по десятки уязвимостей и столько же ошибок, то поднимается вопрос кто пишет такой низкосортный код.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от Аноним (??) on 08-Авг-15, 13:45 
К слову об "экосистеме" PHP и его авторах из https://www.opennet.ru/opennews/art.shtml?num=42237 :

> некорректное устранение уязвимости CVE-2006-7243

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от Alex (??) on 09-Авг-15, 12:17 
GCC 4.9.1
https://gcc.gnu.org/bugzilla/buglist.cgi?bug_status=RESOLVED...

Тоже ничего.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

35. "Обновление PHP 5.4.44, 5.5.28 и 5.6.12 с устранением 12 уязв..."  +/
Сообщение от йцу on 10-Авг-15, 10:54 
По делу:

#70012 Exception lost with nested finally block
Хитрая хрень. Неправильный проброс исключения через вложенные finally. Даже с трудом представляю реальный кейс для такой конструкции.

#69793 Remotely triggerable stack exhaustion via recursive method calls
Вот нифига не "remotely". Десериализовать untrusted-данные - это стрельба себе по ногам, пора бы уже запомнить.

#69892     Different arrays compare indentical due to integer key truncation
LOL.

> Уязвимость также выявлена в коде работы с директориями. -

#70002 (TS issues with temporary dir handling)
Package: Apache2 related, OS: Windows 2008 R2 - pfff, ваще пофиг.

Пара незначительных исправлений в CLI. Целая пачка в GD - вот это неприятно, там и утечка памяти, и сегфолт, и переполнение стека.
Есть OpenSSL-related баги, но не понял, насколько они значительные.

Баг в SOAP снова связан с десериализацией. Кто-нибудь, расскажите - зачем сериализовать объекты SoapClient?
SPL - тоже самое, unserialize.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру