Мы рекомендуем
RSS
Объявлено о выходе релиза PHP 5.2.1
Объявлено о выходе релиза PHP 5.2.1, в котором исправлено 19 ошибок связанных с безопасностью и около 180 других недоработок. О дате выхода обновления PHP 4.4.5, в котором будут устранены идентичные проблемы безопасности, пока ничего не известно.
Изменения связанные с безопасностью:
-
Обход safe_mode и open_basedir через расширение session;
-
Добавлена защита от индексирования phpinfo() страниц поисковыми системами;
-
Ряд проблем в обработке входного потока в расширении filter;
-
Уязвимость в коде функции unserialize() на 64 bit системах;
-
Переполнение буфера и порча содержимого стека в расширении session;
-
Способ вызова функции внутреннего API sapi_header_op();
-
Серия проблем связанных с распределением памяти;
-
Переполнение стека в расширениях zip, imap и sqlite;
-
Несколько переполнений буферов в потоковых фильтрах;
-
Отсутствие проверки пользовательского ввода в функциях освобождения ресурсов в расширении shmop;
-
Переполнение буфера в функции str_replace();
-
Возможность изменения значений системных глобальных переменных в некоторых блоках кода;
-
Утечка информации в расширении wddx;
-
Ошибка форматирования строки в функциях *print() на 64-битных системах;
-
Переполнение буфера внутри функций mail() и ibase_{delete,add,modify}_user();
-
Ошибка форматирования строки в функции odbc_result_all();
-
Memory limit теперь включен по умолчанию и равен 128Мб.
-
Добавлены средства защиты от переполнения кучи;
-
В расширении filter добавлена поддержка $_SERVER в CGI и apache2 SAPI.
По поводу безопасности PHP полезно почитать интервью со Stefan Esser, создателем проекта Hardened-PHP, который отмечает наличие еще более 30 известных, но неисправленных проблем безопасности.