Все новости от 20 декабря 2004 г.

Исправлены критические уязвимости в PHP

Сообщество программистов PHP Group выпустило версии PHP 4.3.10 и 5.0.3. Два программных обновления призваны исправить критические пробелы в защите, позволявшие злоумышленникам атаковать серверы, в которых используется язык программирования веб-страниц PHP.

«Всем пользователям PHP рекомендуется как можно быстрее перейти на одну из этих версий», — говорится в рекомендации на веб-сайте группы.

Наиболее опасная уязвимость связана с функцией, используемой для упаковки данных при их сохранении. Используя эту ошибку, злоумышленник может перехватить контроль над веб-сервером, исполняющим уязвимую версию РНР: Hypertext Preprocessing (PHP), утверждает группа Hardened-PHP, обнаружившая проблему.

PHP (Personal Home Page) состоит из языка сценариев для сервера, который можно встраивать в веб-страницы с целью создания динамического контента, и обрабатывающей программы, исполняющей эти команды. На РНР написаны многие программы для создания веб-журналов (блогов) и приложения управления контентом.

Язык РНР может применяться для управления контентом путем обращения к базам данных с целью создания веб-страниц в ответ на запросы посетителей. Обычно веб-страница содержит элементы кода РНР, который исполняется каждый раз при обращении посетителя к этой странице. Код вызывает отображение на странице контента, часто извлекая его из базы данных, в которой содержатся статьи, изображения или персонализированные настройки.

Кроме критической ошибки, Hardened-PHP обнаружила в РНР еще шесть уязвимостей. Группа разработала также собственную версию PHP с усиленной защитой и выпустила полностью исправленную версию системы с дополнительными мерами безопасности.

Обновления PHP Group, в которых исправлены эти уязвимости и несколько более мелких огрехов, опубликованы на веб-сайте группы. 

 Предыдущие публикации:

 В продолжение темы:

Обсуждение и комментарии

	AM 24 Dec 2004 9:43 AM
Вот не доверяю я этому РНР
	Woolf 24 Dec 2004 9:59 AM
Да в нём никогда ошибки не закончатся. Видно, что его не шибко умные люди делали. Умные люди отделяют код от данных и давно уже пользуются шаблонами. А эта PHP-солянка так и останется всегда просто поделкой для создания homepageй.
	DupleX 27 Dec 2004 11:33 AM
Умные нашлись! Во первых многие проблемы решаются оперативным администрированием хостинга, что в других языках программирования даже не предусмотрены. Ошибки безопасности в С и перле могли бы привести к гораздо страшным последствиям! Во вторых у кого нет багов? Скорее предпочтение отдаётся оперативному решению проблем, и в этом у php.net серьёзных проблем нет. Так можно любой продукт назвать, что его делали не шибко умные люди... И Линукс и Майкрософт. В третьих, на пхп создаются не крупные проекты, но он в сочетании с С например, идеальный продукт.
	Woolf 28 Dec 2004 6:50 PM
Я объяснил свою позицию. Нельзя смещавать данные и код, а PHP на том стоит. > Ошибки безопасности в С и перле могли > бы привести к гораздо страшным последствиям! Но не привели? ,-) Я не слышал про ошибки в Perl или C. Есть ошибки в программах на Perl и C, но это, согласитесь, совсем другое. Есть ошибки в библиотеках, но библиотеки тоже программы. > у кого нет багов? Если так подходить к софту, то он весь белый и пушистый :-) > Скорее предпочтение отдаётся оперативному решению А вот с тем, что PHP является оперативным средством разработки я в корне не согласен! На нём можно оперативно поднять мленький проект одному человеку. Но стиль разработки, навязываемый PHP, никак не способствует работе команды, где есть отдельно квалифицированные дизайнеры и отдельно квалифицированные программисты. PHP -- язык для разработки домашних страничек полупрограммистами и полудизайнерами. Т.е. одним полу-программистом-полу-дизайнером :-)