URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 100973
[ Назад ]

Исходное сообщение
"Обновление PHP 5.6.4, 5.4.36 и 5.5.20 с устранением уязвимо..."
Отправлено opennews , 22-Дек-14 10:51

Доступны (http://php.net/index.php#id2014-12-18-3) корректирующие выпуски языка программирования PHP - 5.6.4, 5.5.20 и 5.4.36, в которых устранены две уязвимости в коде распаковки сериализированных данных. Первая проблема (https://bugs.php.net/bug.php?id=68545) (CVE-2014-8142) может привести к разыменованию указателя NULL и краху интерпретатора. Вторая уязвимость (https://bugs.php.net/bug.php?id=68594) вызвана обращением к уже освобождённому блоку данных (Use after free) и теоретически может быть использована для выполнения кода атакующего при обработке функцией unserialize() специально оформленных внешних данных. Кроме того, в выпуске 5.6.4 исправлено 26 ошибок.
URL: http://php.net/index.php#id2014-12-18-3
Новость: http://www.opennet.dev/opennews/art.shtml?num=41306

Содержание

Обновление PHP 5.6.4, 5.4.36 и 5.5.20 с устранением уязвимо...,sergey_klay, 10:51 , 22-Дек-14
Обновление PHP 5.6.4, 5.4.36 и 5.5.20 с устранением уязвимо...,Аноним, 15:23 , 22-Дек-14
- Обновление PHP 5.6.4, 5.4.36 и 5.5.20 с устранением уязвимо...,Andrey Mitrofanov, 15:29 , 22-Дек-14
  - Обновление PHP 5.6.4, 5.4.36 и 5.5.20 с устранением уязвимо...,pavel_simple, 15:43 , 22-Дек-14
  - Обновление PHP 5.6.4, 5.4.36 и 5.5.20 с устранением уязвимо...,Иван Ерохин, 17:35 , 23-Дек-14
    - Обновление PHP 5.6.4, 5.4.36 и 5.5.20 с устранением уязвимо...,Andrey Mitrofanov, 19:12 , 23-Дек-14
      - Обновление PHP 5.6.4, 5.4.36 и 5.5.20 с устранением уязвимо...,АЛЕКСАНДР, 21:10 , 16-Авг-19

Сообщения в этом обсуждении

"Обновление PHP 5.6.4, 5.4.36 и 5.5.20 с устранением уязвимо..."
Отправлено sergey_klay , 22-Дек-14 10:51

Всегда недоверял serialize, когда речь шла о упаковке данных vs json_encode

"Обновление PHP 5.6.4, 5.4.36 и 5.5.20 с устранением уязвимо..."
Отправлено Аноним , 22-Дек-14 15:23

только на прошлой неделе скомпилил 5.6.3 :(

"Обновление PHP 5.6.4, 5.4.36 и 5.5.20 с устранением уязвимо..."
Отправлено Andrey Mitrofanov , 22-Дек-14 15:29

> только на прошлой неделе скомпилил 5.6.3 :(
Ср.: "Прямо сегодня потратил 10 минут, чтобы обновить серверы скачанными собранными добрым дядей ещё 19-го числа пакетами."

"Обновление PHP 5.6.4, 5.4.36 и 5.5.20 с устранением уязвимо..."
Отправлено pavel_simple , 22-Дек-14 15:43

>> только на прошлой неделе скомпилил 5.6.3 :(
> Ср.: "Прямо сегодня потратил 10 минут, чтобы обновить серверы скачанными собранными добрым
> дядей ещё 19-го числа пакетами."
читер

"Обновление PHP 5.6.4, 5.4.36 и 5.5.20 с устранением уязвимо..."
Отправлено Иван Ерохин , 23-Дек-14 17:35

>собранными добрым дядей
и не страшно? вдруг дядя окажется не таким уж и добрым или его заставят?

"Обновление PHP 5.6.4, 5.4.36 и 5.5.20 с устранением уязвимо..."
Отправлено Andrey Mitrofanov , 23-Дек-14 19:12

>>собранными добрым дядей
> и не страшно? вдруг дядя окажется не таким уж и добрым или
> его заставят?
У меня продакшон сервера на PHP - мне уже ничего не страшно.

"Обновление PHP 5.6.4, 5.4.36 и 5.5.20 с устранением уязвимо..."
Отправлено АЛЕКСАНДР , 16-Авг-19 21:10

>>>собранными добрым дядей
>> и не страшно? вдруг дядя окажется не таким уж и добрым или
>> его заставят?
> У меня продакшон сервера на PHP - мне уже ничего не страшно.