Websecurity - Веб безпека

До речі, в минулому місяці вийшла нова версія PHP. На початку лютого вийшов реліз PHP 5.2.1, в якому було виправлено 19 помилок пов’язаних з безпекою і близько 180 інших недоробок.

Зміни пов’язані з безпекою:

• Обхід safe_mode і open_basedir через розширення session;
• Доданий захист від індексування phpinfo() сторінок пошуковими системами;
• Ряд проблем в обробці вхідного потоку в розширенні filter;
• Уразливість у коді функції unserialize() на 64-бітних системах;
• Переповнення буфера і псування вмісту стека в розширенні session;
• Спосіб виклику функції внутрішнього API sapi_header_op();
• Серія проблем пов’язаних з розподілом пам’яті;
• Переповнення стека в розширеннях zip, imap і sqlite;
• Декілька переповнень буферів у потокових фільтрах;
• Відсутність перевірки користувацького введення у функціях звільнення ресурсів у розширенні shmop;
• Переповнення буфера у функції str_replace();
• Можливість зміни значень системних глобальних змінних у деяких блоках коду;
• Витік інформації в розширенні wddx;
• Помилка форматування рядка у функціях *print() на 64-бітних системах;
• Переповнення буфера усередині функцій mail() та ibase_{delete,add,modify}_user();
• Помилка форматування рядка у функції odbc_result_all();
• Memory limit тепер включений за замовчуванням і дорівнює 128 МБ;
• Додані засоби захисту від переповнення кучі;
• У розширенні filter додана підтримка $_SERVER у CGI та apache2 SAPI.

По матеріалам http://www.opennet.ru.

This entry was posted on 20:08 07.03.2007 and is filed under Новини, Програми. You can follow any responses to this entry through the RSS 2.0 feed.