Релиз PHP 5.2.2 и 4.4.7, обзор 16 новых проблем безопасности

В очередной раз в новом релизе PHP 5.2.2 исправлено более 10 ошибок связанных с безопасностью..
Исправления проблем общих для PHP 5.2.2 и 4.4.7:

  • Целочисленное переполнение в функциях createwbmp и readwbmp библиотеки GD, позволяет запустить код через подстановку специально скомпонованных значений в поля размеров Wireless Bitmap (WBMP) изображений;
  • ASCIIZ байт (\0) воспринимался функцией mail() как конец сообщения, что может быть использовано для подстановки заголовков злоумышленника;
  • Ошибка в функции mb_parse_str() позволяющая злоумышленнику временно включить режим register_globals;
  • Доступ к нераспределенным блокам памяти через функцию array_user_key_compare();
  • Двойной вызов функции free() в коде session_regenerate_id(), может быть использован для выполнения кода злоумышленника;
  • Пропуск проверок open_basedir и safe_mode в zip:// and bzip:// врапперах.
  • Возможность переполнения стека в Zend Engine;
  • Возможность подстановки символов CRLF в ftp_putcmd();
  • Перезапись super-global переменных через import_request_variables();
  • Удаленное переполнение буфера через библиотеку libxmlrpc.

Проблемы исправленные только в PHP 5.2.2:

  • Возможность подстановки служебных заголовков через параметры Subject и To переданные функции mail();
  • Неверный расчет размера для типа данных S (serialisation format), приводящий к возможности утечки информации при выполнении unserialize();
  • Утечка информации через функции substr_compare() и substr_count();
  • Переполнение буфера через функции make_http_soap_request() и user_filter_factory_create().

Проблемы исправленные только в PHP 4.4.7:

  • XSS (межсайтовый скриптинг) уязвимость в phpinfo();

Из улучшений добавленных в PHP 5.2.2 можно отметить обновление библиотек GD, SQLite и PCRE; оптимизацию выполнения realloc() в Memory Manager; добавление новых методов в классы SPL DirectoryIterator и SplFileInfo; исправление более 120 ошибок не связанных с безопасностью.

Поделиться в соц. сетях

mailru Релиз PHP 5.2.2 и 4.4.7, обзор 16 новых проблем безопасности
facebook Релиз PHP 5.2.2 и 4.4.7, обзор 16 новых проблем безопасности
odnoklassniki Релиз PHP 5.2.2 и 4.4.7, обзор 16 новых проблем безопасности
livejournal Релиз PHP 5.2.2 и 4.4.7, обзор 16 новых проблем безопасности
googlebuzz Релиз PHP 5.2.2 и 4.4.7, обзор 16 новых проблем безопасности

Также рекомендуем:

  1. Руководитель «Линукс-Онлайн» ответит на вопросы интернет-сообщества Интернет-портал Софт@Mail.Ru (http://soft.mail.ru/) проводит интервью с генеральным директором компании «Линукс-Онлайн» Тимофеем Королевым, посвященное основному продукту компании – операционной системе Linux XP Desktop. Каждый желающий может задать свой вопрос. Авторы самых интересных вопросов получат бесплатную лицензию на Linux XP Desktop! . Одним из самых известных на данный момент продуктов «Линукс-Онлайн» является операционная система Linux XP Desktop [...]...
  2. Мессенджер QIP решил стать телефоном? Интернет-мессенджер QIP, являясь одним из самых популярных в России сервисов по обмену мгновенными сообщениями, вынашивает планы присвоить своим клиентам телефонные номера. В настоящее время владельцем сервиса, компанией «Медиамир» ведутся активные переговоры с оператором «Скайлинк» о возможности выделить часть номерной базы. Как пишет «Коммерсант», в случае успеха мероприятия пользователи QIP будут иметь возможность принимать звонки с [...]...
  3. После IPO в Яндексе появилось много миллионеров Выход лидера российского интернет поиска на биржу Nasdaq позволил основателям компании Яндекс и ведущим сотрудникам стать значительно богаче. Это связано с тем, что около 270 человек являются держателями акций компании в рамках опционной программы. Согласно официальным документам компании 270 человек примерно 10% от всего штата Яндекса.. В проспекте эмиссии акций голландской Yandex N.V. (управляющей компании [...]...
  4. Множественные уязвимости в Mozilla Firefox Программа: Mozilla Firefox 1.5.0.1 и более ранние версии.Mozilla Suit версии до 1.7.13 Опасность: Критическая Наличие эксплоита: Нет . Описание: Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, обойти ограничения безопасности, получить доступ к важным данным и скомпрометировать уязвимую систему. 1. Уязвимость существует из-за ошибки, которая позволяет внедрить JavaScript код в другую, в данный момент загружающуюся, [...]...
  5. Отказ в обслуживании в Microsoft Internet Explorer Программа: Microsoft Internet Explorer 6.x Опасность: Средняя Наличие эксплоита: Да . Описание: Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании. Уязвимость существует в библиотеке mshtml.dll при обработке тега OBJECT. Удаленный пользователь может с помощью специально сформированной Web страницы вызвать отказ в обслуживании браузера. Примеры: http://lcamtuf.coredump.cx/iedie2-1.htmlhttp://lcamtuf.coredump.cx/iedie2-2.htmlhttp://lcamtuf.coredump.cx/iedie2-3.htmlhttp://lcamtuf.coredump.cx/iedie2-4.html URL производителя: www.microsoft.com Решение: Способов устранения уязвимости не существует в [...]...
  6. Началось Бета-тестирование CMS "Битрикс: Управление сайтом 5.0" Компания «Битрикс» объявляет о завершении работ над новой версией программного продукта «Битрикс: Управление сайтом 5.0″ с концептуально новым интерфейсом. . Новый интерфейс административного раздела создан с использованием технологии AJAX. При проектировании нового интерфейса для консультаций были привлечены специалисты по веб-юзабилити компании «Группа Махаон». Новый интерфейс существенно отличается от предыдущей версии продукта. Для удобства работы информация [...]...
  7. Четыре рейтинга блогосферы На прошлой неделе «Яндекс» изменил алгоритм ранжирования записей в блогах при составлении рейтинга. Теперь рейтингов четыре — все разные. Опыт поисковой системы Topsy показывает, что рейтинг записей — не забавы ради, это мощный инструмент ранжирования результатов поиска.. Дискуссия о медийном влиянии «Яндекса» на прошлой неделе перешла из чрезвычайно ожесточенных блоговых дискуссий в практическую плоскость. Во-первых, [...]...
  8. Google распознает тексты с изображений Новые технологи поиска с Google Goggles позволят сделать поиск более релевантным. Эта технология позволяет распознавать надписи, которые присутствуют на изображениях. Но Google Goggles будет не только распознавать их, а еще и переводить.. Изначально эта функция создавалась для маркетинговых возможностей поисковика. Она позволяла отснять на телефон нужный товар, найти, как он называется, цену и возможные места [...]...
  9. Экспансия русского nginx Шведская компания Pigdom опубликовала очень оптимистичный прогноз роста популярности русских IT-технологий.. Ссылаясь на данные Netcraft, в блоге говорится о том, что 7% сайтов всей сети Интернет, а это около 16 млн. сайтов, управляются и работают на высоконагрузочном веб-сервере nginx. Этот сервер создал Игорь Сысоев из Рамблера. Конечно 7% это не такая уж и большая величина, [...]...
  10. Найти работу с Яндексом легко Все больше и больше возможностей получает Яндекс, помогая своим клиентам разрешить любые возникающие проблемы. Компания сообщила о запуске нового сервиса – «Яндекс.Работа». Данный сервис будет аккумулировать на одной площадке все предложения работодателей самых известных и популярных рекрутинговых сайтов России, Украины, Беларуси и Казахстана.. Необходимая информация, а именно: размер зарплаты на выбранной должности или количество вакансий [...]...
  11. В Яндекс.Метрика появился отчет по кнопке «Поделиться» Всем пользователям системы «Яндекс.Метрика» стал доступен специальный отчет, содержащий информацию о том, сколько ссылок на тот или иной ресурс было опубликовано в социальных сервисах с помощью кнопки «Поделиться».. В данном отчете также отображается количество ссылок на сайт в социальных сервисах и рейтинг страниц, на которые пользователи ссылаются чаще других. Отчет кнопке «Поделиться» можно найти в [...]...
  12. Стала доступна обновленная версия Google Analytics Еще в марте текущего года компания Google сообщила о скором выходе пятой версии пакета Google Analytics. Большинство новинок доступных в новой версии появились благодаря обратной связи с пользователями инструмента. Отныне новая версия сервиса доступна всем пользователям.. Среди основных нововведений следует отметить: Обновленный интерфейс. Возможность индивидуальной настройки панели инструментов, облака тегов для поиска терминов. Значительно расширенный [...]...
  13. Бегун ужесточил правила приема сайтов Система контекстной рекламы «Бегун» резко ужесточила правила приема сайтов для участия в своих партнерских программах. В частности, значительно возросли требования к посещаемости сайтов.. Отныне в партнерскую программу Бегун.Автоконтекст будут приниматься только сайты с посещаемостью не менее 100 уникальных посетителей в сутки для коммерческих хостингов и от 300 – для бесплатных. Для приема в программу данный [...]...
  14. Twitter может создать конкурента Facebook Pages Популярнейший сервис микроблогов Twitter рассматривает возможность запуска брендированных страниц, аналогичных уже существующим в социальной сети Facebook.. Об этом сообщает источник, приближенный к высшему руководству Twitter. Если верить представленной информации, то сервис по созданию и размещению брендированных страниц включен в долгосрочную стратегию по повышению доходности сети Twitter. Брендированные страницы позволят представителям бизнеса делиться корпоративными новостями со [...]...
  15. Экстренный выпуск PHP 4.4.6 В срочном порядке выпущена версия PHP 4.4.6 в которой устранена проблема приводящая к краху сервера, внесенная в код в версии 4.4.5. Проблема возникает при использовании session переменных при включенной опции register_globals. Кроме того в комплекте php обновлена библиотека PCRE до 7 версии , исправлена ошибка в расширении curl приводящая к краху. В статье «Upcoming PHP [...]...

Комментарии запрещены.