Dvě bezpečnostní chyby v PHP 4 a 5

Secunia dnes informovala o dvou bezpečnostních chybách v PHP (chyba 1, chyba 2). Přestože jsou obě hodnocené stupněm „méně kritické“, tak jsou zajímavé doporučeným řešením – omezit přístup k PHP na důvěryhodné uživatele, protože chyby dovolují obejít bezpečnostní mechanismy PHP.

Komentáře

Nejde o DVE bezpecnostni chyby, ale o vice nez 30, viz PHP Security - Month of PHP bugs. A ja osobn ebych preferoval, aby se o tom moc nepsalo, protoze PHP tym neni schopen vydat novy release a treba ten exploit na zval v array jsem zkousel a funguje i se zapnutym Suhosin

16.3.2007 19:56 Láďa | skóre: 9
Rozbalit Rozbalit vše Re: Dvě bezpečnostní chyby v PHP 4 a 5

O měsíci PHP brouků samozřejmě vím, tyhle chyby jsou ale specifické tím, že postihují současné verze. Co se týče psát/nepsat jde o dobrou otázku - způsob vydávání nových release v PHP je úplně nesmyslný a komplikuje život všem. Tím, že se o tom nebude psát, se nic nezmění. Ostatně stačí se podívat na chyby s ignorováním safe_mode a open_basedir při otvírání souborů pomocí zip:// nebo compress.bzip2:// a je vidět, že bezpečnostní systém PHP je očividně šitý horkou jehlou. Prakticky každá verze opravuje nějaký problém se safe_mode nebo open_basedir.

17.3.2007 16:31 JoHnY
Rozbalit Rozbalit vše Re: Dvě bezpečnostní chyby v PHP 4 a 5

Smutna pravda. PHP vzdycky byla splacanost sama. Nicmene je to stale jazyk ve kterem jsem absolutne nejefektivnejsi a ktery i pres vsechny ty hruzy povazuju za zazrak :)

17.3.2007 23:07 Tomas
Rozbalit Rozbalit vše Re: Dvě bezpečnostní chyby v PHP 4 a 5

a ted jak se ma citit admin serveru na kterem ma 100 webu a vi, ze kdokoliv z tech 100 lidi muze stahnout ten exploit a jen ho spustit a je tam?

ja doufam,ze mesic php bugu tomu pomuze, aspon to prestanou vyvojari PHP brat na lehkou vahu...

18.3.2007 13:47 JoHnY
Rozbalit Rozbalit vše Re: Dvě bezpečnostní chyby v PHP 4 a 5

No crit admin serveru s PHP musi mit uz od narozeni nocni mury, ty mam z PHP i ja a to spravuju 3 virtualhosty na jedny masince. Bohuzel jsou na ni i dulezity veci.

18.3.2007 17:02 Láďa | skóre: 9
Rozbalit Rozbalit vše Re: Dvě bezpečnostní chyby v PHP 4 a 5

Můžeš dosáhnout mnohem vyšší bezpečnosti, když budeš provozovat PHP jako FastCGI. Pro větší instalace je to bohužel nepoužitelný, ale pro 3 virtualhosty žádný problém.

No, me osobne pristup vyvojaru docela toci i tim, ze dokazou do stable verze vypustit totalni kraviny, ne jen bezpecnostni chyby (ty proste clovek nemusi videt dopredu). Pred nejakou dobou jsem upgradoval php tusim nejakou 4.2 na nejakou 4.4 (upozornuji, ze to byla stable verze) a prestal chodit Squirrelmail. Tak jsem hledal proc a zjistil jsem, ze kdyz se nejaka funkce na prochazeni poli volala z naprogramovane funkce, tak proste nefungovala. Kdyz se ta sama funkce uplne stejne volala z hlavni casti, tak fungovala normalne. Parada ... takze reseni, downgrade na nizsi verzi (aspon nejaky upgrade). Jak se neco takovyho muze dostat do stable fakt nechapu. Jinak akceptuju: PHP je jednoduchy (jak na uceni, tak na pouziti vlozenim do HTML kodu), vyviji se rychle, pribyva spousta funkci. Ale jinak ty chyby jsou hnusny.