The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от opennews (ok) on 05-Сен-15, 09:22 
Доступны (http://php.net/archive/2015.php#id2015-09-04-2) корректирующие выпуски языка программирования PHP 5.6.13, 5.5.29 и 5.4.45, в которых внесено 11 связанных с безопасностью исправлений и устранена порция ошибок (http://php.net/ChangeLog-5.php). Сообщается, что выпуск 5.4.45 завершает цикл поддержки (http://php.net/supported-versions.php) ветки 5.4.x - в дальнейшем выпускать обновления для данной ветки не планируется, но не исключается выпуск дополнительного релиза в случае выявления критической уязвимости.


Из устранённых уязвимостей можно отметить обращение к уже освобождённым блокам памяти в коде десериализации сеансов (https://bugs.php.net/bug.php?id=70219) и функции unserialize() (https://bugs.php.net/bug.php?id=70172), выход (https://bugs.php.net/bug.php?id=70264) за допустимые границы файловых путей в CLI-сервере ("GET /..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c/windows/win.ini"), переполнение буфера (http://bugs.php.net/70385) при разборе  TIFF IFD-тега в дополнении EXIF, генерация (https://bugs.php.net/bug.php?id=70312) неверных значений при использовании хэшей HAVAL, разыменование нулевого указателя при разборе XSLT, разархивирование в стороннюю директорию при использовании ZipArchive::extractTo, несколько уязвимостей в дополнениях PCRE и SPL.

URL: http://php.net/index.php#id2015-09-04-2
Новость: https://www.opennet.ru/opennews/art.shtml?num=42913

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от _KUL (ok) on 05-Сен-15, 09:22 
Интересно было бы видеть статистику, сколько ошибок закрыли и сколько новых добавили в новом релизе. Статистику проводить для прошлых веток, для полноты картины. К примеру 5.2 закрыто 30 прошлых дыр, но к 5.3 выявлено новых 40 дыр, т.е. 5.2 привнёс больше багов чем закрыл. Чтобы видеть в какую сторону динамика.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +2 +/
Сообщение от Аноним (??) on 05-Сен-15, 09:45 
Для этого надо иметь информацию о том, в какой версии баг появился. Некоторые баги еще с PHP4 живут, просто они довольно специфичные и никто не наталкивался годами.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от ggg (??) on 05-Сен-15, 22:35 
может, это?
https://www.cvedetails.com/vendor/74/PHP.html
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  –2 +/
Сообщение от Аноним (??) on 05-Сен-15, 11:44 
Rust пусть используют
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  –1 +/
Сообщение от Аноним (??) on 05-Сен-15, 12:46 
Вон мозилла с фаерфоксом что чудит, есть повод за раст волноваться.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

27. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +1 +/
Сообщение от Аноним (??) on 06-Сен-15, 22:40 
> Rust пусть используют

Издеваешься? Они ухитрились облажаться даже используя JS, в песочницах!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

35. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +1 +/
Сообщение от Ан (??) on 06-Сен-15, 23:44 
Там сейчас лажают JS разрабы, а не системщики.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

39. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Аноним (??) on 07-Сен-15, 09:15 
> Там сейчас лажают JS разрабы, а не системщики.

Так большинство большинство нынче вообще происходит через баги скриптов в вебне писаной левой пяткой. И там бывает и пых, и питон, и руби и что там еще.

При этом скрипткиди истошно вопят что вумный ЯП и вумный рантайм их от всего спасет. Но почему-то не спасает.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

6. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  –1 +/
Сообщение от Аноним (??) on 05-Сен-15, 13:46 
2015 год
@
Использовать PHP /o\
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +1 +/
Сообщение от Аноним (??) on 06-Сен-15, 22:41 
> Использовать PHP /o\

Как ни странно, большинство сколь-нибудь адекватной вебни - именно пых.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

38. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  –3 +/
Сообщение от xPhoenix (ok) on 07-Сен-15, 09:03 
"Django", Вы хотели сказать "Django".
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

40. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Аноним (??) on 07-Сен-15, 09:17 
> "Django", Вы хотели сказать "Django".

Нет, мы не хотели это сказать. Где на вашем бидонокрапе вообще хоть какие-то нормальные продукты, на которые можно будет смотреть без слез?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

7. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +2 +/
Сообщение от Аноним (??) on 05-Сен-15, 15:27 
к каждой статье про php всегда имеются комментарии такого сорта:
1. "сколько ошибок новых добавили исправлениями старых";
2. "php - прошлый век";
3. "пользователи php - неумные люди";
4. "php - это и есть ошибка";
потому вангую появление комментов вида 3 и 4.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +2 +/
Сообщение от Аноним (??) on 05-Сен-15, 15:29 
Пишу сайты на Go
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +5 +/
Сообщение от 11 on 05-Сен-15, 16:27 
> Пишу сайты на Go

http://cs621924.vk.me/v621924589/23198/GPyxksj2Lcw.jpg

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

33. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Аноним (??) on 06-Сен-15, 22:51 
> Пишу сайты на Go

Пиар зафэйлен - ты контактов не оставил. Незачет по маркетингу.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

46. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  –1 +/
Сообщение от DeadLoco (ok) on 07-Сен-15, 14:10 
Слабак.
Я инет-магаз на шелле написал. На чистом sh - лень было из консоли выходить.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

47. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Andrey Mitrofanov on 07-Сен-15, 19:48 
> Слабак.
> Я инет-магаз на шелле написал. На чистом sh - лень было из
> консоли выходить.

А надо было PHP на шеле, на позикс-шеле - бонус-пойнты, писать. </back-ontopic>

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

10. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  –1 +/
Сообщение от Аноним (??) on 05-Сен-15, 19:29 
Согласен по всем пунктам, но я бы еще добавил что девелоперы PHP - криворукие недопрограммы.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  –4 +/
Сообщение от Аноним (??) on 05-Сен-15, 21:11 
> Согласен по всем пунктам, но я бы еще добавил что девелоперы PHP
> - криворукие недопрограммы.

PHP создан быть практичным, а практичность и безопасность стоят в разных углах. Не холивара ради, а только факты в других языках тоже есть проблемы, но PHP слишком дыряв. Если бы разработчики хорошо структурировали код, может к ним бы примкнули еще программисты. Скоро будет новый движок, там обещали исправить часть проблем.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +2 +/
Сообщение от 10й Брейтовский переулок on 05-Сен-15, 21:45 
Аноним, зачем ляпаешь, что бы  оправдать свое php-ручие и лень?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +2 +/
Сообщение от Аноним (??) on 05-Сен-15, 21:53 
>PHP создан быть практичным

PHP создан был шаблонизатором, а не ЯП. А потом поперло. Я тебя слепила из того что было, а потом что было то и полюбила (Правда жизни).

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

32. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Аноним (??) on 06-Сен-15, 22:48 
> PHP создан был шаблонизатором, а не ЯП. А потом поперло. Я тебя
> слепила из того что было, а потом что было то и полюбила (Правда жизни).

Фороникс на этом даже бенчмарки сделал. Казалось бы, более странно сделать систему бенчмарков для *никс-образных невозможно. А народу вон понравилось и фороникс неслабо поднялся. Де факто став чем-то типа стартапа. С энтерпрайзными заказами на бенчмарки разных конфиг. Так что автор фултайм занимается своим творением, у себя же дома. На известном месте вертев офисно-конторский булшит, тyпиц-шефов и что там еще.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

42. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Аноним (??) on 07-Сен-15, 10:04 
> PHP создан был шаблонизатором

Звучит так, будто автором PHP был шаблонизатор.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

44. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Andrey Mitrofanov on 07-Сен-15, 12:16 
>> PHP создан был шаблонизатором
> Звучит так, будто автором PHP был шаблонизатор.

Не, это гордое звание он получил чуть позже, по результатам созданного.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

19. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Аноним (??) on 06-Сен-15, 08:38 
> PHP создан быть практичным, а практичность и безопасность стоят в разных углах.

настолько слабые фантазии что аж скучно

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  –1 +/
Сообщение от Аноним (??) on 06-Сен-15, 11:24 
>Скоро будет новый движок, там обещали исправить часть проблем.

Ну юникод строки они тоже обещали и новую версию в придачу. "Ну не шмогла я, не шмогла!" (C)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от впрзн on 05-Сен-15, 23:12 
> девелоперы PHP - криворукие недопрограммы.

Позвольте спросить, девелоперы на каком языке не криворукие недопрограммы?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

18. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +2 +/
Сообщение от Аноним (??) on 05-Сен-15, 23:29 
на днк?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +2 +/
Сообщение от Аноним (??) on 06-Сен-15, 18:18 
ДНК состоят из случайных ошибок, человек и есть случайная ошибка генов

Fuzzing DNA testing

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +3 +/
Сообщение от Аноним (??) on 06-Сен-15, 11:27 
Ну тут как, везде конечно есть косяки, всякие legacy косяски, которые тащат много лет из версии к версии ради обратной совместимости (типа System.out в Java), но PHP это просто поделка щкольника на коленке, которую продолжают делать такие же, просто повзрослевшие школьники.

Ну и ссылочку в догонку: http://eev.ee/blog/2012/04/09/php-a-fractal-of-bad-design/

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Мяут (ok) on 06-Сен-15, 16:06 
> Ну и ссылочку в догонку: http://eev.ee/blog/2012/04/09/php-a-fractal-of-bad-design/

Баянистая ссылочка. Вот здесь: https://www.reddit.com/r/lolphp/ проблемы PHP коллекционируют.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от asavah (ok) on 06-Сен-15, 16:19 
Пасиба за ссылку, занимательное чтиво,
цитата из комментов по ссылке:

PHP can also be seen as the Justin Bieber of programming tools. Both prove conclusively that you don't have to be good to be popular.

Дико ржал.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

43. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Аноним (??) on 07-Сен-15, 10:10 
> legacy косяски, которые тащат много лет из версии к версии ради обратной совместимости (типа System.out в Java)

Где можно почитать о причинах, по которым жабовый System.out является легаси-косяком, существующим только ради обратной совместимости?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

50. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Аноним (??) on 12-Сен-15, 00:11 
Тут как бе всё ясно. Нарушается же главное правило OOP - не делать public fields, насколько я помню, торопились и сделали так, а когда поняли что уже так просто не переделать не сломав кучу кода - оставили как есть (осло в jvm вроде даже есть специальные куски кода для правильной работы System.out для concurrency).
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

22. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  –1 +/
Сообщение от Аноним (??) on 06-Сен-15, 12:44 
Ага, и сотен других языков хуже только питонисты
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

26. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Аноним (??) on 06-Сен-15, 20:07 
О, анониму не травится питон. Надо бы присмотреться к языку.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +1 +/
Сообщение от Аноним (??) on 06-Сен-15, 22:43 
> О, анониму не травится питон. Надо бы присмотреться к языку.

И, главное, посмотреть кто целевая аудитория. Кого надо пиз...лями заставлять форматировать код? Вот именно такие питоном и пользуются. Как раз для тебя ЯП, тезка.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

11. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Аноним (??) on 05-Сен-15, 20:43 
да когда ж они все исправят наконец
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Аноним (??) on 05-Сен-15, 20:59 
Они даже не пытались переписать на Rust, о чем там речь?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

31. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +1 +/
Сообщение от Аноним (??) on 06-Сен-15, 22:46 
> Они даже не пытались переписать на Rust, о чем там речь?

Это можете сделать вы. Или какой-нибудь другой тyпой хомяк верящий в серебряные пули. А мы посмотрим что у вас из этого получится.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

30. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Аноним (??) on 06-Сен-15, 22:45 
> да когда ж они все исправят наконец

Используй MS-DOS и QBASIC. Там все исправили. В смысле, больше исправлений там не будет.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

37. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Аноним (??) on 07-Сен-15, 00:20 
сам используй... или уже?
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

41. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Аноним (??) on 07-Сен-15, 09:21 
> сам используй... или уже?

Знаете анекдот про "пап, когда же будет хорошо?". Там где рассказ заканчивается выравниванием гроба и финальным "во, теперь - хорошо!". Вот к софту это тоже применимо. Особенно если он сложнее hello world.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

45. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от ALex_hha (ok) on 07-Сен-15, 13:26 
> но PHP это просто поделка школьника на коленке, которую продолжают делать такие же, просто повзрослевшие школьники.

просветите об этом facebook, vk, odnoklassniki видать там одни школьники работают

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  +/
Сообщение от Andrey Mitrofanov on 07-Сен-15, 19:55 
> просветите об этом face

fb, например, в курсе: http:/cgi-bin/opennet/ks.cgi?mask=hhvm В отличие от Вас.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

49. "Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязв..."  –1 +/
Сообщение от ALex_hha (ok) on 08-Сен-15, 23:19 
>> просветите об этом face
> fb, например, в курсе: http:/cgi-bin/opennet/ks.cgi?mask=hhvm В отличие от Вас.

Ибо у high load своя специфика

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру