Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей

10.12.2010 17:02

Представлен релиз интерпретатора языка программирования PHP 5.3.4, а также PHP 5.2.15, устаревшей, но еще поддерживаемой ветки языка PHP (5.2.15 - последний релиз в ветке 5.2, пользователям рекомендуется произвести обновление до ветки 5.3). В версии 5.3.3 исправлено 7 проблем безопасности и более 170 ошибок, а в 5.2.14 - 7 проблем безопасности и 11 ошибок.

Из связанных с безопасностью исправлений в PHP 5.3.4 можно отметить:

Устранен крах в модуле распаковки zip-архивов, вызванный отсутствием указания завершающего строку нулевого символа;
Запрещено использовать в файловых путях нулевой символ (например, foo\0bar.txt);
Устранена проблема в расширении imap, вызванная двойным освобождением одной области памяти, что потенциально может быть использовано для выполнения кода при обращении к imap-серверу злоумышленника;
Исправлена ошибка, приводившая к разыменованию NULL-указателя в коде ZipArchive::getArchiveComment, что можно было использовать для вызова краха при обработке определенным образом оформленных ZIP-архивов;
Устранена недоработка, позволяющая обойти ограничения open_basedir и получить доступ к внешним файлам;
Исправлена уязвимость, связанная с некорректным форматированием строки в расширении phar и позволяющая получить доступ к областям памяти PHP-интерпретатора или выполнить свой код при обработке специальным образом оформленной ссылки "phar://";
Устранены проблемы с символьным преобразованием для ФС DFS;
Устранена ошибка, приводившая к переполнению стека при передаче большой порции данных (огромного email-адреса) в функцию filter_var при задании режима FILTER_VALIDATE_EMAIL.

Важные исправления, не связанные с безопасностью:

Обновление поставляемых в комплекте библиотек SQLite3 3.7.3 и PCRE 8.10;
В код работы с ZIP-архивами добавлена поддержка операции "stat";
В обработчик http-потоков добавлена и включена по умолчанию опция follow_location (автоматическая загрузка документа, в случае наличия заголовка Location);
В функцию get_html_translation_table добавлен дополнительный, третий, аргумент, позволяющий явно указать charset hint, такой как htmlentities;
Добавлена поддержка константы ZEND_MULTIBYTE для определения наличия кода zend multibyte;
Множественные улучшения FPM SAPI;
Добавлены функции pcntl_get_last_error() и pcntl_strerror();
В open_basedir добавлены дополнительные проверки на символьные ссылки;
Добавлена поддержка дополнительных кодировок в mysqlnd.

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/28960-php

Ключевые слова: php

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (43)

1.1, меньшевик (?), 18:13, 10/12/2010 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
когда пхп 6 выйдет?

2.5, croster (ok), 19:34, 10/12/2010 [^] [^^] [^^^] [ответить]	+/–
Сначала должен php 5.4 с поддержкой traits вйти: _http://simas.posterous.com/new-to-php-54-traits

3.22, Анон (?), 20:18, 11/12/2010 [^] [^^] [^^^] [ответить]	–1 +/–
Они все еще навешивают костыли поверх заплаток? Упорство истинных копрофилов.

1.3, Аноним (-), 18:30, 10/12/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
5.2.15 содержит ошибку с open_basedir в результате вообще ничего не работает, багфикс http://bugs.php.net/bug.php?id=53514

2.33, php_must_die (?), 12:59, 13/12/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Это нормально для PHP - релиз и сразу баг. К следующему релизу будет точно такой километровый список багов, у них всегда так. Скачивая свежий релиз PHP можно быть уверенным на 99.9%, что в нем неменьше 50 багов обыкновенных, и как минимум 3-4 критических бага. ;)

2.54, Egor (??), 18:48, 16/12/2010 [^] [^^] [^^^] [ответить]	+/–
Вышел 5.2.16 с фиксом опенбейздира. Но в 5.3.4 он тоже не работает! И на него фикса почему то нет.

1.4, Cybister (?), 19:13, 10/12/2010 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Начал активно юзать SQlite3. Неплохо так для относительно небольших бд.

2.11, Аноним (-), 00:11, 11/12/2010 [^] [^^] [^^^] [ответить]	+/–
Только не на веб-сайтах!!! Он же блокирует всю базу сразу при каждом запросе, параллелелизма никакого.

3.38, kshetragia (ok), 05:36, 14/12/2010 [^] [^^] [^^^] [ответить]	+/–
Только для операций записи. В sqlite3, кстати появились блокировки записей а не всей таблицы, если мне не изменяет склероз. К тому же она рвет мускуль на чтении и транзакциях. Очень неплохой движок для небольших объемов. Для веба ИМХО самое оно.

4.46, zoonman (ok), 11:40, 15/12/2010 [^] [^^] [^^^] [ответить]	+/–
Для homepage может и пойдет, но не более.

1.6, EuPhobos (ok), 19:53, 10/12/2010 [ответить] [﹢﹢﹢] [ · · · ]	–13 +/–
> Запрещено использовать в файловых путях нулевой символ (например, foo\0bar.txt); В чём профит? Давайте лучше пробелы запретим Да и путь с ошибкой, слэш не в ту сторону наклонён... Хотя судя из этого примера, путь пишется так: "foo/0bar.txt", а путь с пробелом так: "foo/0bar\ file.txt" Но если брать тот путь что написан в новости, то как пробел писать? "foo\0bar\\ file.txt" так что ли? Что-то тупизм какой-то получился.. Хотя мб я что-то не понял, и это просто напросто "ноль" экранировали так, а не файл 0bar.txt внутри каталога foo..

2.7, зеро (?), 20:01, 10/12/2010 [^] [^^] [^^^] [ответить]	+3 +/–
не знаете что такое нулевой символ?

2.8, pro100master (ok), 21:33, 10/12/2010 [^] [^^] [^^^] [ответить]	+/–
туда он повернут, это и есть "нулевой символ" (0X00h)

2.9, Аноним (-), 21:39, 10/12/2010 [^] [^^] [^^^] [ответить]	+3 +/–
Столько букв написали, а прочитать что такое null-терминированная строка не удосужились?

1.10, Заморский Гость (?), 22:43, 10/12/2010 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
> Запрещено использовать в файловых путях нулевой символ (например, foo\0bar.txt) Сколько надо было пройти лет, чтобы додуматься до этого? )))))))

1.16, Ветоль Дычь (?), 10:21, 11/12/2010 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Да, критиковать гораздо проще чем делать чтото полезное. Сам грешил этим. Люди поддаются искушению критиковать все подряд, принципиально критиковать не разобравшись даже в сути проблемы, когда у них возникает навязчивое ощущение, что они ни на что не способны, что у них ничего ни когда не получится, это пугает людей и тогда чтобы избегать эти страхи, люди чтобы улучшить свое состояние и поднять самооценку начинают принципиально критиковать всё подряд переступая все разумные принципы. И это даже объединяет людей в большие группы, потому что критиковать всегда гораздо проще, чем делать чтото полезное.

2.19, Аноним (-), 16:31, 11/12/2010 [^] [^^] [^^^] [ответить]	+/–
> Да, критиковать гораздо проще чем делать чтото полезное. Сам грешил этим. Люди > поддаются искушению критиковать все подряд, принципиально критиковать не разобравшись > даже в сути проблемы, когда у них возникает навязчивое ощущение, что > они ни на что не способны, что у них ничего ни > когда не получится, это пугает людей и тогда чтобы избегать эти > страхи, люди чтобы улучшить свое состояние и поднять самооценку начинают принципиально > критиковать всё подряд переступая все разумные принципы. И это даже объединяет > людей в большие группы, потому что критиковать всегда гораздо проще, чем > делать чтото полезное. А вы сходите покритикуйте опенбзд, опеннтпд, всфтпд, я посмотрю как это у вас получится.

3.31, samm (ok), 12:04, 13/12/2010 [^] [^^] [^^^] [ответить]	+/–
Несомненно на всех трех вышеперечисленных продуктах приятно и легко писать веб приложения, да ;-)

1.27, StrangeAttractor (ok), 07:48, 12/12/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> а также PHP 5.2.15, устаревшей, но еще поддерживаемой ветки языка PHP. А сколько она ещё будет поддерживаться, кстати?

2.29, Аноним (-), 13:09, 12/12/2010 [^] [^^] [^^^] [ответить]	+/–
This release marks the end of support for PHP 5.2. All users of PHP 5.2 are encouraged to upgrade to PHP 5.3. Иными словами, если кому-то будет не лень, то что-нибудь пофиксят в ней :) .

3.30, StrangeAttractor (ok), 16:00, 12/12/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Я просто всё жду когда же на требования веб-разрабов даунгрейдить PHP на свежеустановленных системах я смогу законно посылать, как бы они ни плакались начальству...

2.35, Nas_tradamus (ok), 13:25, 13/12/2010 [^] [^^] [^^^] [ответить]	+/–
Bitrix до сих пор не умеет 5.3 корректно. А у меня вообще написаны сотни тысяч строк кода, не совместимого с 5.3. Писец, в общем.

3.37, StrangeAttractor (ok), 03:37, 14/12/2010 [^] [^^] [^^^] [ответить]

+/–

> Bitrix до сих пор не умеет 5.3 корректно.

Вот я надеюсь что официальное прекращение поддержки 5.3 заставит таких пейсаталей проснуться свой код поправить, а иначе сами они никогда не почешутся - будут однажды написанное продавать и продавать пока оно совсем уже явно морально не устареет.

> А у меня вообще написаны сотни тысяч строк кода, не совместимого с 5.3.

Я в PHP не специаллист (хот я как-то даже древний корпоративный PHP3-интранет-портал заставил на 5.3 корректно работать), вот может Вы меня просветите (правда интересно) как надо так писать чтобы оно было несовместимо? Мне кажется для этого в коде как минимум должны использоваться недокументированные и не рекомендованные конструкции и то, что давно уже числится как deprecated. Язык-то какой был, такой и остался, просто костыли некоторые повыкидывали (и то как минимум некоторые в конфиге можно повключать обратно) и плюшек подобавляли, на сколько я понимаю.

4.43, Nas_tradamus (ok), 12:09, 14/12/2010 [^] [^^] [^^^] [ответить]

–1 +/–

> Я в PHP не специаллист (хот я как-то даже древний корпоративный PHP3-интранет-портал
> заставил на 5.3 корректно работать), вот может Вы меня просветите (правда
> интересно) как надо так писать чтобы оно было несовместимо? Мне кажется
> для этого в коде как минимум должны использоваться недокументированные и не
> рекомендованные конструкции и то, что давно уже числится как deprecated. Язык-то
> какой был, такой и остался, просто костыли некоторые повыкидывали (и то
> как минимум некоторые в конфиге можно повключать обратно) и плюшек подобавляли,
> на сколько я понимаю.

Да есть нюансы. Сам не кодер тоже. Просто в какой-то степени участвую в разработке и поддержке проекта.

1.32, AlexAT (ok), 12:06, 13/12/2010 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Отлично, блин.

safe_mode задепрекатили, зато "Устранена недоработка, позволяющая обойти ограничения open_basedir и получить доступ к внешним файлам"... Ну и как теперь защищать клиентов от скрипт киди на соседних вхостах, кроме чрута или VPS/VDS?

Нет уж, сидим на 5.2, пока можно.

2.34, samm (ok), 13:18, 13/12/2010 [^] [^^] [^^^] [ответить]	+/–
Safe mode никогда и не был надежной защитой от.

3.36, AlexAT (ok), 13:25, 13/12/2010 [^] [^^] [^^^] [ответить]	+/–
От скрипт кидди - был, совместно с open_basedir.

2.39, kshetragia (ok), 05:42, 14/12/2010 [^] [^^] [^^^] [ответить]	+/–
Используя PHP вы добровольно подставляете свой зад. Так к чему же слезы?

3.40, К.О. (?), 07:25, 14/12/2010 [^] [^^] [^^^] [ответить]

+/–

> Используя PHP вы добровольно подставляете свой зад. Так к чему же слезы?

О да. Конечно же, православная жаба спасет вас от всех проблем безопасности разом. Не тешьте себя, в ней тоже может быть полно дыр, просто они пока мало интересны. Кроме того - увеличивать мощность площадки в X раз для тех же задач и заставлять всех клиентов учить монструозный язык - дело как бы весьма накладное, и профита не несущее.

4.41, kshetragia (ok), 09:40, 14/12/2010 [^] [^^] [^^^] [ответить]	+/–
Кто-то говорил про жабу?

5.42, AlexAT (ok), 09:51, 14/12/2010 [^] [^^] [^^^] [ответить]	–1 +/–
> Кто-то говорил про жабу? Варианты? Perl и Python можно даже не рассматривать, доля их использования в Web уже ниже плинтуса, и снижается далее.

6.44, Балмер (?), 18:04, 14/12/2010 [^] [^^] [^^^] [ответить]	+/–
Наш человек, наши лозунги. ;) Доля винды на десктопах тоже очень велика... Дальше думаю продолжите мысль сами. ;)

7.45, К.О. (?), 21:31, 14/12/2010 [^] [^^] [^^^] [ответить]

–1 +/–

> Наш человек, наши лозунги. ;) Доля винды на десктопах тоже очень велика...
> Дальше думаю продолжите мысль сами. ;)

Linux - не десктоп, ни разу. Это сервер, и его доля на серверах вполне себе соответствующая. Для серверов он вполне себе удобен. Точно так же, как и PHP вполне себе удобен для Web, для которого, в сущности, и предназначен.

Надеюсь, мысль ясна?

8.47, kshetragia (ok), 07:04, 16/12/2010 [^] [^^] [^^^] [ответить]	+/–
Нет, если честно Я всегда полагал, что на серверах сначала принято думать о без... текст свёрнут, показать

9.48, К.О. (?), 07:57, 16/12/2010 [^] [^^] [^^^] [ответить]	–1 +/–
Именно Поэтому на серверах винде не место, разве что на серверах рабочих групп ... текст свёрнут, показать

10.49, kshetragia (ok), 09:04, 16/12/2010 [^] [^^] [^^^] [ответить]	+/–
Тогда вы должны признать, что и PHP на серверах не место ... текст свёрнут, показать

11.50, AlexAT (ok), 09:05, 16/12/2010 [^] [^^] [^^^] [ответить]	+/–
Почему Обоснованно PHP - это приложение, на котором работают клиенты и техноло... текст свёрнут, показать

12.51, kshetragia (ok), 09:13, 16/12/2010 [^] [^^] [^^^] [ответить]	+/–
Потому, что он не безопасен для сервера и для остальных ... текст свёрнут, показать

11.52, Nas_tradamus (ok), 09:17, 16/12/2010 [^] [^^] [^^^] [ответить]	–1 +/–
В facebook наверное такие дураки работают, что они имеют 3-й по посещаемости в м... текст свёрнут, показать

12.53, kshetragia (ok), 12:17, 16/12/2010 [^] [^^] [^^^] [ответить]	+/–
Когда это популярность была критерием качества и как следствие безопасности Лин... текст свёрнут, показать

12.55, 2Nike (ok), 13:39, 17/12/2010 [^] [^^] [^^^] [ответить]	+/–
Я не знаю, как facebook, но vkontakte тоже говорит, что у них php А на деле на ... текст свёрнут, показать

13.56, Nas_tradamus (ok), 13:52, 17/12/2010 [^] [^^] [^^^] [ответить]	+/–
Логично для такой системы Как фронтэнд пхп - вполне себе и для серьезных проект... текст свёрнут, показать

1.57, Harry62 (?), 23:27, 28/11/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
FILTER_VALIDATE_EMAIL теперь ваще не работает, использовал для логина, все полетело...

игнорирование участников | лог модерирования

Добавить комментарий

Текст: