Релиз PHP 5.2.2 и 4.4.7, обзор 16 новых проблем безопасности - «Интернет»
OpenAI подарила неограниченный доступ к ИИ-генератору видео Sora, но не всем и не навсегда - «Новости сети»
OpenAI подарила неограниченный доступ к ИИ-генератору видео Sora, но не всем и не навсегда - «Новости сети»
Fallout: London получит несколько DLC в 2025 году, а его авторы уже работают над оригинальной игрой на другом движке - «Новости сети»
Fallout: London получит несколько DLC в 2025 году, а его авторы уже работают над оригинальной игрой на другом движке - «Новости сети»
Telegram после обновления стал быстрее разряжать Apple iPhone - «Новости сети»
Telegram после обновления стал быстрее разряжать Apple iPhone - «Новости сети»
Ventiva предлагает ионную систему охлаждения для чипов с TDP до 40 Вт — в ней вообще нет движущихся частей - «Новости сети»
Ventiva предлагает ионную систему охлаждения для чипов с TDP до 40 Вт — в ней вообще нет движущихся частей - «Новости сети»
Саудовская Аравия привлечёт роботов для строительства футуристического мегаполиса в пустыне - «Новости сети»
Саудовская Аравия привлечёт роботов для строительства футуристического мегаполиса в пустыне - «Новости сети»
Подключайте Телеграм-бота от Яндекс Вебмастера — «Блог для вебмастеров»
Подключайте Телеграм-бота от Яндекс Вебмастера — «Блог для вебмастеров»
S.T.A.L.K.E.R. 2: Heart of Chornobyl уже окупилась и взяла курс на новые платформы - «Новости сети»
S.T.A.L.K.E.R. 2: Heart of Chornobyl уже окупилась и взяла курс на новые платформы - «Новости сети»
Половина трафика замедленного YouTube перетекла на отечественные аналоги, заявил глава Минцифры - «Новости сети»
Половина трафика замедленного YouTube перетекла на отечественные аналоги, заявил глава Минцифры - «Новости сети»
Роскомнадзор пообещал не собирать данные о личных устройствах тех, кто посещает заблокированные сайты - «Новости сети»
Роскомнадзор пообещал не собирать данные о личных устройствах тех, кто посещает заблокированные сайты - «Новости сети»
Китай испытал прямоточный воздушно-реактивный двигатель с детонацией для самолётов вдвое быстрее Ту-144 и «Конкорда» - «Новости сети»
Китай испытал прямоточный воздушно-реактивный двигатель с детонацией для самолётов вдвое быстрее Ту-144 и «Конкорда» - «Новости сети»
Новости мира Интернет » Новости » Новости мира Интернет » Релиз PHP 5.2.2 и 4.4.7, обзор 16 новых проблем безопасности - «Интернет»

В очередной раз в новом релизе PHP 5.2.2 исправлено более 10 ошибок связанных с безопасностью.

Исправления проблем общих для PHP 5.2.2 и 4.4.7:

  • Целочисленное переполнение в функциях createwbmp и readwbmp библиотеки GD, позволяет запустить код через подстановку специально скомпонованных значений в поля размеров Wireless Bitmap (WBMP) изображений;
  • ASCIIZ байт () воспринимался функцией mail() как конец сообщения, что может быть использовано для подстановки заголовков злоумышленника;
  • Ошибка в функции mb_parse_str() позволяющая злоумышленнику временно включить режим register_globals;
  • Доступ к нераспределенным блокам памяти через функцию array_user_key_compare();
  • Двойной вызов функции free() в коде session_regenerate_id(), может быть использован для выполнения кода злоумышленника;
  • Пропуск проверок open_basedir и safe_mode в zip:// and bzip:// врапперах.
  • Возможность переполнения стека в Zend Engine;
  • Возможность подстановки символов CRLF в ftp_putcmd();
  • Перезапись super-global переменных через import_request_variables();
  • Удаленное переполнение буфера через библиотеку libxmlrpc.
  • Проблемы исправленные только в PHP 5.2.2:

  • Возможность подстановки служебных заголовков через параметры Subject и To переданные функции mail();
  • Неверный расчет размера для типа данных S (serialisation format), приводящий к возможности утечки информации при выполнении unserialize();
  • Утечка информации через функции substr_compare() и substr_count();
  • Переполнение буфера через функции make_http_soap_request() и user_filter_factory_create().
  • Проблемы исправленные только в PHP 4.4.7:

  • XSS (межсайтовый скриптинг) уязвимость в phpinfo();
  • Из улучшений добавленных в PHP 5.2.2 можно отметить обновление библиотек GD, SQLite и PCRE; оптимизацию выполнения realloc() в Memory Manager; добавление новых методов в классы SPL DirectoryIterator и SplFileInfo; исправление более 120 ошибок не связанных с безопасностью.


    В очередной раз в новом релизе PHP 5.2.2 исправлено более 10 ошибок связанных с безопасностью. Исправления проблем общих для PHP 5.2.2 и 4.4.7: Целочисленное переполнение в функциях createwbmp и readwbmp библиотеки GD, позволяет запустить код через подстановку специально скомпонованных значений в поля размеров Wireless Bitmap (WBMP) изображений; ASCIIZ байт () воспринимался функцией mail() как конец сообщения, что может быть использовано для подстановки заголовков злоумышленника; Ошибка в функции mb_parse_str() позволяющая злоумышленнику временно включить режим register_globals; Доступ к нераспределенным блокам памяти через функцию array_user_key_compare(); Двойной вызов функции free() в коде session_regenerate_id(), может быть использован для выполнения кода злоумышленника; Пропуск проверок open_basedir и safe_mode в zip:// and bzip:// врапперах. Возможность переполнения стека в Zend Engine; Возможность подстановки символов CRLF в ftp_putcmd(); Перезапись super-global переменных через importFiltered_variables(); Удаленное переполнение буфера через библиотеку libxmlrpc. Проблемы исправленные только в PHP 5.2.2: Возможность подстановки служебных заголовков через параметры Subject и To переданные функции mail(); Неверный расчет размера для типа данных S (serialisation format), приводящий к возможности утечки информации при выполнении unserialize(); Утечка информации через функции substr_compare() и substr_count(); Переполнение буфера через функции make_http_soapFiltered() и user_filter_factory_create(). Проблемы исправленные только в PHP 4.4.7: XSS (межсайтовый скриптинг) уязвимость в phpinfo(); Из улучшений добавленных в PHP 5.2.2 можно отметить обновление библиотек GD, SQLite и PCRE; оптимизацию выполнения realloc() в Memory Manager; добавление новых методов в классы SPL DirectoryIterator и SplFileInfo; исправление более 120 ошибок не связанных с безопасностью.

    Смотрите также

    А что там на главной? )))



    Комментарии )))