Websecurity - Веб безпека

У серпні, 18.08.2011, вийшов PHP 5.3.7, а вже через п’ять днів, 23.08.2011, вийшов PHP 5.3.8. В яких виправлено більше 90 помилок, в тому числі й чимало уразливостей. Дані релізи направлені на покращення стабільності та безпеки гілки 5.3.x.

Після виходу версії 5.3.7 вияснилося, що в ній має місце уразливість - в функції crypt(). Тому розробники опублікували на сайті офіційне застереження з цього приводу і вже за добу випустили нову версію, в якій зокрема виправили дану уразливість.

Cеред секюріті покращень та виправлень в PHP 5.3.7:

• Оновлений crypt_blowfish до 1.2.
• Виправлений збій в error_log().
• Виправлений buffer overflow при довгій солі в crypt().
• Виправлений баг #54939 (File path injection уразливість в RFC1867 імені файла для завантаження).
• Виправлений stack buffer overflow в socket_connect().
• Виправлений баг #54238 (use-after-free в substr_replace()).
• Оновлений Sqlite3 до версії 3.7.7.1.
• Оновлений PCRE до версії 8.12.
• Виправлено 20 різних вибивань.

Cеред секюріті покращень та виправлень в PHP 5.3.8:

• Виправлений баг #55439 (crypt() повертав лише сіль для MD5).
• Відмінена зміна в обробці таймаутів, для відновлення поведінки PHP 5.3.6, яка призводила до того, що mysqlnd SSL з’єднання підвисали (баг #55283).

По матеріалам http://www.php.net.

This entry was posted on 22:46 19.09.2011 and is filed under Новини, Програми. You can follow any responses to this entry through the RSS 2.0 feed.