PHP некорректно устранила уязвимость в функции chunk_split()

В настоящее время выпущен новый патч, доступный через CVS, эффективность которого снова ставится под сомнение.

Неделю назад в PHP были устранены несколько уязвимостей в функции chunk_split(), которые позволяли злоумышленнику выполнить целочисленное переполнение буфера и обойти ограничения open_basedir.

Сообщалось что в новой версии PHP 5.2.3 ошибка устранена. Однако, как оказалось, разработчики просто перенесли проблему в другую строку кода, не устранив причину уязвимости. В настоящее время выпущен новый патч, доступный через CVS. Стефан Эссер (Stefan Esser), соучредитель «Месячника уязвимостей PHP», ставит под сомнение эффективность нового патча: для подсчёта памяти, выделяемой функции, теперь используется значение с плавающей точкой, преобразуемое затем в целочисленное. В результате для очень больших чисел может быть выделено меньшее количество памяти.


или введите имя

CAPTCHA
Страницы: 1  2  
1
10-06-2007 12:09:18
Всем известно что открытый код пишут халтурщики, которых не взяли даже уборщиками в компанию Microsoft.. Какая тут безопасность млин, если PHP до сих пор не может сделать встроенного предкомпилятора кода. У ASP прекомпилятор с рождения есть.
0 |
1
10-06-2007 12:45:13
Твоя правда!
0 |
1
10-06-2007 14:17:42
ASP vs PHP это как минимум некорректно. Вот если Java vs .NET вот это да и здесь Java легко делает .NET и прочие аспы. PHP это вообще продукт из другой оперы, как и питон и рубби и перл.
0 |
1
10-06-2007 15:27:01
Ну вот нифига. PHP и ASP языки одного класса. Особенности - частично предкомпилируемый код. Только встроенная предкомпиляция в PHP вообще полный остой. Что мешает тот же eaccelerator или APC включить по умолчанию в PHP???? PHP без аксселератора это ОГРОМНЫЙ тормоз. Ни один другой язык для Web страниц не требует дополнительной акселерации.
0 |
10-06-2007 14:33:54
Петросян?
0 |
1
10-06-2007 18:26:38
> PHP до сих пор не может сделать встроенного предкомпилятора кода. Парень, ты из какой глуши? На всех мало мальски нагруженных серверах стоят прекомпиляторы с кэшированием apc eaccelerator turck zend xcache ... Либы подключаются в конфиге этого самого php.
0 |
1
10-06-2007 19:21:43
apc eaccelerator turck zend xcache Хи Хи Все это продукты сторонних производителей (кроме APC) которые совместимы далеко не со всеми скриптами и отличаются нестабильной работой. О каком же то встоенном прекомпиляторе тут можно говорить??
0 |
1
10-06-2007 23:02:53
Вам встроенный или родной? Все перечисленное - подключается к интерпретатору в виде библиотек. И работает как либа при обработке страницы, т.е. встроенный. По поводу от производителя, я же написал, zend
0 |
10-06-2007 13:54:01
Только вот пчемуто пол мира и весь инет держится на открытом коде. Бог мой, криво исправили уязвимость - всё, ппц. А как в виндах исправляют по 2-3 раза 1 и тот же патч так это норм, канешн.
0 |
1
10-06-2007 15:27:59
Ты где живешь? Весь мир последние 20 лет держится на продукции компании Microsoft, Oracle и других. А открытый код не более 1% рынка.
0 |
1
10-06-2007 17:14:47
Весь мир последние 20 лет держится на продукции компании Microsoft, Oracle и другихну это реальный гон в статье про рынки базар идет причем про веб-серверы. там у мелкософта реальный слив а уж про оракл... гы-гы.. чувак, ты походу уже не догониш эту жизнь
0 |
1
10-06-2007 13:57:43
Жжоте ребята. Особо можете сказать это разработчикам ядра линукса например. Во всём что касается сети - он рвёт винду как тузик грелку. Или *BSD с виндой сравните... И вообще, производительность винды в области работы с сетью лучше не пытаться сравнивать с чем-либо. Что бы за вЯнду не было обидно. В общем - не несите ахинею. Качество кода не зависит от лицензии. Оно зависит от разработчиков. И там и там ламеров с завышенным самомнением хватает.
0 |
1
10-06-2007 15:29:43
Конечно лицензия тут не причем. Но если два человека выполняют одинаковую работу, один из них получает немаленькие деньги, а другой делает эту работу бесплатно. Кто статистически (отдельные отколнения не в счет) будет делать свою работу лучше?
0 |
10-06-2007 15:57:28
Кто статистически (отдельные отколнения не в счет) будет делать свою работу лучше? Тот, кому интересна эта работа. Тот, у кого есть энтузиазм по отношению к этому проекту. Чем больше зарплата, тем больше вероятность, что человек работает только ради денег
0 |
1
11-06-2007 00:51:37
Полностью согласен. Есть даже пример из жизни когда мы меняли перловый модуль, написанный 2 года назад тремя программерами за $3k/мес каждый на аналог, недавно появившийся на CPAN, написанный бесплатно одним (!) человеком. Небо и земля. Вобщем-то мой опыт использования опенсорсного софта это только подтверждает, но как обычно из каждого правила бывают исключения. PHP действительно язык-выродок, но убогие/дырявые опенсорсные проекты можно пересчитать по пальцам и для них всегда есть намного превосходящие их опенсорсные же аналоги.
0 |
11-06-2007 11:52:57
Но если два человека выполняют одинаковую работу, один из них получает немаленькие деньги, а другой делает эту работу бесплатно. Проснитесь, вы пердите. Опенсорсники получают деньги, давно уже. Большой вклад в опенсорц делают и RedHat, и IBM, и Oracle, и HP, и многие другие корпорации. Так что не надо гнать про бесплатно пишущих код студентов.
0 |
1
12-06-2007 13:32:16
Проснитесь, вы пердитеправильно так: "Проснись! Ты сЕреш!"
0 |
1
10-06-2007 13:59:27
ну, что касается PHP, то тут надо отдать должное, что последнее время у них че-то фигово с поддержкой стало может народ разбежался, может еще что...
0 |
1
10-06-2007 15:59:09
PHP это позор юникс систем... Гнать таких разрабочиков надо поганой мелой. Но ответье на вопрос почему он так популярен, прям как винда? Потому, что прост! Всякий дилетант на колене сделает сайт! Как всякий вин админ за 30 мин поднимет домен контроллер на винде. Аналогию улавливаете?
0 |
1
10-06-2007 17:19:53
он популярен, потому что "девелоперов" под пхп как грязи разные лохи сделают гостевуху и сразу пальцы веером, сопли пузырями - я! струя! мегадевелопер! а как начнеш на собеседовании спрашивать чуваков - не то что про взаимодействие с окружением ничего рассказать не могут - не знают даже что такое PEAR у пхп. в москве млин за перловыми девелоперами уже охота началась - от 3 килобаксов зарплату предлагают, друг у друга переманивают. а пхп-шники вон никому нафиг не нужны - за 1.5 к довольно сносной квалификации можно прикупить.
0 |
1
10-06-2007 22:07:39
У админов дело еще хуже! Знаете какой вопрос задаю я соискателям которые хотят устроиться ко мне в помошники? Написать статический маршут из сетки 192.168.0.0 с маской 255.255.255.0 в сеть 192.168.1.0 с маской 255.255.255.0 если шлюз имеет ip 192.168.0.254. Так до сих пор никто и не ответил... Это показатель! Причем предлагается нормальная зарплата! Вот оно влияние винды...
0 |
1
10-06-2007 22:31:58
Гы.... Правда что-ли? Это жеж детсад! Где работаешь и сколько платишь? Может возьмёшь работать?
0 |
1
11-06-2007 13:05:46
Написать статический маршут из сетки 192.168.0.0 с маской 255.255.255.0 в сеть 192.168.1.0 с маской 255.255.255.0 если шлюз имеет ip 192.168.0.254. Так до сих пор никто и не ответил...все знаю -- сам админа уже больше месяца ищу
0 |
1
11-06-2007 14:49:05
Я делаю проше. Спрашиваю, что знает и по этому "знаю" начинаю спрашивать. Не поверите, мало кто знает этого "знаю". ПС - Помошника искал полгода
0 |
11-06-2007 18:20:35
скока?
0 |
1
12-06-2007 01:18:27
За ответ на такой вопрос наша фирма готова платить штуку? Только вопросы на этом от меня не ограничатся... До сих пор я видел людей, пару раз поднявших домен контроллер и возомнившийх себя супер админами. Причем я отчетливо понимаю, если я такого чела возьму то буду его всему учить САМ!!!
0 |
1
12-06-2007 13:36:47
фига се... я за 1.5к админа ищу и месяц уже найти не могу...
0 |
1
12-06-2007 13:46:34
Я искал не админа а помошника, уровнем выше эникей. Можно студента. Пока в связи со структурной перестройкой фирмы поиски остановлены, но всеравно придется искать...
0 |
13-06-2007 11:10:14
2 йцу. 1.5к, это, канешна, по мне, тож не айс, но обсудить, за пивом, можно. кандидатуры имеются да и у меня самого ситуация... подвешенная, скажем
0 |
13-06-2007 11:03:49
москва/питер? просто и там, и там за штуку реально только таких найти штука для человека, которому приходится снимать квартиру/комнату и кормить семью, все же уже маловато по нашим реалиям. хотя зависит от обязанностей, отношения, интересности, возможности роста/приработка и тп. может и найдете. хотя, на прошлой моей работе за 1.2к так и не нашли за год. адекватный человек, сейчас идущий на штуку, надо отдавать отчет, приходит временно, до того момента, пока не найдет лучше/научится новому. потом свалит. это я все про москву.
0 |
13-06-2007 11:11:59
-- еще больший оффтопик -- админам. странности с отображением ответов. отвечал басмачу, а получается, что йцу --
0 |
1
11-06-2007 16:01:02
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.0.254 Эьл имелось ввиду?
0 |
11-06-2007 18:22:33
мож. а мож и route add 192.168.1.0 mask 255.255.255.0 192.168.0.254 или /sbin/ip ro a 192.168.1.0/24 via 192.168.0.254 всяко может быть
0 |
1
11-06-2007 19:08:29
ясно
0 |
1
12-06-2007 01:05:08
Да ясно! Знаете чем всякие виндузятники отличаются от нормальных админов? Нормальные админы МОГУТ ответить на такой вопрос, это им труда не составит, а людям воспитанным на винде это в тягость им это никак не встречалось! И показательно то что на мой коммент не ответил ни один виндузятник!!! Эй где вы? Ну что? Не осилили? А вы хоть знаете где и как в вашей винде задать статический марштут? Але? Ответье? На самом деле это же катастрофа! Нет людей! Просто нет! Все зомби мелкософта!
0 |
Страницы: 1  2