Несколько новых уязвимостей в PHP 4.4.2 и 5.1.2

ерундовые баги.. можно даже не обновлятся.. гобелен

ну ты что, а Cross Site Scripting через функцию phpinfo() такая дыра, это ж всем дырищам дыра :)

> ерундовые баги.. можно даже не обновлятся.. гобелен

чувствуется, что матерый пхпшник: баги не обновляем, программировать не умеем, зато пхп - в каждую дыру пихаем, вместо домашних страничек...

я на своем web-сервере вижу ежедневные попытки поиметь его через пых-пых: все время идут попытки заюзать mambo, phpmyadmin & other

а пых-пыха то нет :) только perl

PHP взрослый язык, PHP дорос до энтерпрайза, PHP хорошо расширяется, пыхыпы пыхыпы пыхыпы пыхпых.

Угу.

--wbr Николас

Дырки не критичные. Самое неприятное наверно это крэш апача из-за переполенния стэка, остальное фигня ибо если есть квоты то юзер не выжрет все иноды. tempnam создаст файл разве что в /tmp или /var/tmp, в другие места у него не должно быть прав писать. В общем, я всегда говорил что нельзя сажать несколько юзеров на один апач с mod_php. Я каждому даю свойс апач и свою пхп. Много юзеров не посадишь, зато безопасно.

//Бугага Офсетная

> нельзя сажать несколько юзеров на один апач с mod_php. Я каждому даю свойс апач и свою пхп.

А я не так поступаю. Вместо апача ставлю легкий вебсервер и php-cgi,
который запускается с правами юзера, который хостится. Типа suexec,
только ровно вдвое быстрее работает судя по тестам. И при этом нет
проблем с крахом апача.

>А я не так поступаю. Вместо апача ставлю легкий вебсервер и php-cgi

И это все чтобы не юзать Java? Бедные люди...

> Вместо апача ставлю легкий вебсервер и php-cgi, > ровно вдвое быстрее работает судя по тестам давно ли php-cgi стал работать быстрее mod_php ? что за тесты такие? или тестируешь на 1 юзере ;)

> ну ты что, а Cross Site Scripting через функцию phpinfo() такая дыра, это ж всем дырищам дыра :)

Нэ понял. Можно разжевать разрушительный эффект этой "дыры"? С примером,
если можно. Я так рассуждаю: чтобы это дело задействовать, нужно где-то
выставить в публичный доступ скрипт с выводом phpinfo(), далее нужно
сопроводить его очень длинным параметром, и запостить такой линк где-то
в публичном доступе опять же. Брр... Эффект, какой эффект от этого???

> # Возможность организации краха php/apache процесса;

Для этого достаточно обычно заюзать хорошую рекурсию.

После того, как mod_php4 сегфолтится, он то ли течет памятью, то ли еще что, но поднять следующий скрипт не в состоянии -- надо перезапускать апач.

PHP - это наше фсё. Как бы плох он не был, но в ближайшие пять лет
ничего более лучшего для строительства веба не будет. Хотите вы того или нет...

чо вы всё ерунду какую-то постите??? :) только недавно все высказались за то, что PHP гораздо круче Java. и дешевле и проще и практичнее... а вы всё про уязвимости какие-то ей Богу...

--седайко стюмчик

> а вы всё про уязвимости какие-то ей Богу...

Дык доростёт твоя жаба до использования в вебе в тех количествах, что
PHP, так и уязвимостей будет не меньше.

Распространённое заблуждение. Также говорят, что если линукс дорастёт до количества виндов, у него уязвимостей будет не меньше. Надеюсь, ты понимаешь, что это не так?

> я на своем web-сервере вижу ежедневные попытки поиметь его через пых-пых: все время идут попытки заюзать mambo, phpmyadmin & other

Стандартный скан на возможность инсталла своей панельки/на возможность наспамить в гостевуху или ещё куда. Дырявые скрипты писать можно и на шелле. При чём здесь PHP?

> а пых-пыха то нет :) только perl

Ну гений, гений.

Остаётся научиться читать и понимать, о чём речь, тогда, может быть, кто-то вверит тебе что-то большее, чем "свой web-сервер".

> PHP - это наше фсё. Как бы плох он не был, но в ближайшие пять лет ничего более лучшего для строительства веба не будет. Хотите вы того или нет...

По результатам общения с людьми в реальной жизни складывается впечатление, что о пхп как о большой дыре кричат в основном горе-админы, нежели специалисты по сетевой безопасности.

> Также говорят, что если линукс дорастёт до количества виндов, у него уязвимостей будет не меньше. Надеюсь, ты понимаешь, что это не так?

Увы, это так, и это жестокая правда жизни. Есть архитектурные проблемы
безопасности. В этом плане линукс безопаснее. А есть просто дыры,
которые тривиально находятся при достижении юзерской базы некоего
критического значения.

Ну, он дыряв, конечно. Кто бы спорил. Только где тот безопасный язык,
в котором нет дыр? Жаба что ли? Не смешно. Раби? А его - что, не люди
пишут? ;)

> А есть просто дыры, которые тривиально находятся при достижении юзерской базы некоего критического значения.

И кстати, применительно к линуксу это не недостаток! Это официальная
фича. Ибо сказал Линус: "много глаз рано или поздно отловят любые баги".

Если в архитектуре пхп никуда негодная, то этот поток багов будет бесконечным...

>Ну, он дыряв, конечно. Кто бы спорил. Только где тот безопасный язык,
в котором нет дыр? Не смешно. Раби? А его - что, не люди
пишут? ;)

Это все равно что говорить, - все машины ломаются.
Да, ломаются все, но, к сожалению наши ВАЗы заметно чаще.

Если верить статистике в securityfocus или хотя бы нашему securitylab - решения на PHP на порядок ненадежней решений на JAVA.

> Если в архитектуре пхп никуда негодная, то этот поток багов будет бесконечным...

Проблема в том, что основной и главный поток якобы багов php идёт от
плохой подготовки кодеров и незанания ими предмета. Такие баги, как
в топике есть почти в любой реализации ЯП. Жаба - не исключение.

> Да, ломаются все, но, к сожалению наши ВАЗы заметно чаще.

А остальные не имеют пользовательскую базу в 30 миллионов копий, и
не имеют права сказать "у нас багов нет". Правильно? Ибо баги в общем
случае прямо пропорциональны количеству пользователей. За очень редким
исключением, когда программы пишут инопланетяне, типа Бернштейна ;)

интересно - почему все говорят о пыхпых-уязвимостях
и никто не говорит о перловых

А они есть?

Вот так подарочек... От масштабируемого мегаязыка.

>> Да, ломаются все, но, к сожалению наши ВАЗы заметно чаще.

>А остальные не имеют пользовательскую базу в 30 миллионов копий, и
не имеют права сказать "у нас багов нет". Правильно?

не правильно.
Например java имеют базу пользователей гораздо большую чем у PHP, а securiy hole'ы в ней находят в примерно в 10 раз реже.

>Ибо баги в общем случае прямо пропорциональны количеству пользователей.

Тоже не верно.
у sendmail'a было много багов не из за большого числа пользователей.
Равно как и qmail стабилен по той причине, что его писал Security Officer.

>>Например java имеют базу пользователей гораздо большую чем у PHP, а >>securiy hole'ы в ней находят в примерно в 10 раз реже.

хаха, смеялся ;)) php пользователей нааааааааааамного больше ;)

> хаха, смеялся ;)) php пользователей нааааааааааамного больше ;)

Ага, конечно... Только если смотреть плотность толковых программистов, то у Java она в разы больше.

> хаха, смеялся ;)) php пользователей нааааааааааамного больше ;)

Эти пользователи не _пишут_ на PHP, а только видят результат работы PHP.

А количество разработчиков (не студентов, не быдлокодеров) на Java больше чем на PHP.

Google рулит - в сети много всяких анализов на эту тему.

> Эти пользователи не _пишут_ на PHP, а только видят результат работы PHP.

О, нет, не туда смотришь. Пользователь - это владелец сайта, портала,
вебстраники ;) Только и всего. Те, кто просто видят результаты - это
конечно тоже "пользователи", только косвенные. Они могут только
смотреть, но не трогать. Ну, типа как на чужую жену ;)

> А количество разработчиков (не студентов, не быдлокодеров) на Java больше чем на PHP.

Хм... Во-первых, определение небыдлокодера в студию. Во-вторых,
ну линк что ли на исследование...

> А количество разработчиков

Забыл сказать: я бы вообще-то не рискнул отнести разработчиков к
пользователям. Разработчики - это производители, писатели. Как писатели,
они вполне могут работать "в стол", то есть ни для кого. Чисто для
собственного удовольствия. В этом случае их, наверное, можно отнести к
пользователям.

> И это все чтобы не юзать Java? Бедные люди...
брат анонимус, ты что, с луны свалился? Где ты видел на хостингах по $3-5 в месяц (самых распространенных сейчас в сети ) Java?
PHP самое оно.

> Например java имеют базу пользователей гораздо большую чем у PHP

Ну вот, осталось всего-то только доказать это утверждение, и вопросов
больше не будет ;)

> Где ты видел на хостингах по $3-5 в месяц (самых распространенных сейчас в сети ) Java?

А я и на хостингах по $30-50 жабу не видел... Сколько он стоит реально
такой хостинг? Ну, вот, к примеру, чтобы сайт с небольшой посещаемостью
как у LOR выставить? И чтоб не тормозил при этом!

ну вот и поинтересуйтесь у админов ЛОРа, во сколько такой хостинг обходиться будет. ЗЫ: ЛОР кстати не тормозит.

>> Например java имеют базу пользователей гораздо большую чем у PHP

>Ну вот, осталось всего-то только доказать это утверждение, и вопросов
больше не будет ;)

А этого кто-то не знает? ;-)

Согласно http://www.tiobe.com/tpci.htm - java идет на первом месте.
На java написано большинство программ на sourceforge и tigris.

РОД-Linux в опасности?!

Настоящие прнограммеры пишут веб на асме или в крайнем случае на С
Все остальные БЫДЛО!!

> Настоящие прнограммеры пишут

Мне даже боязно спрашивать, кто это?

Хм ....
> # Обход ограничений режима "Safe Mode" через функцию copy();
нормальные люди просто не пользуются этой затычкой, при том что к 6й версии пхп ее обещали вообще убрать как факт.

> # Обход ограничений open_basedir через функцию tempnam();
см. предыдущий ответ

> # Возможность организации краха php/apache процесса;
опять же у нормальных людей php запускается процессом с правами юзера.
Если это cgi-процесс, он просто сдохнет и все. Они итак дохнут по окончании работы (обработки страницы)
Если это процесс fastcgi, его менеджер процессов запустит по-новой заместо сдохшего. Опять же fastcgi запускается от имени юзера, поэтому таксимум что сделает злоумышленник - накосячит его же собственному процессу который будет перезапущен.
Если это выделенный апач с mod_php, суть примерно как в предыдущем варианте, только апач будет своего child'а перезапускать. У апача вообще говоря нормальная практика своих детей периодически перезапускать, он так в принципе работает
И вот только если это апач один на всех с safe_mode .... ну тут во-первых смотри вопрос №1, а во-вторых, предыдущее утверждение :-)

> # Cross Site Scripting через функцию phpinfo().
а не выкладывай phpinfo() в публичный доступ :-) потом вся суть данной уязвимости что в страницу phpinfo() будет вставлен левый html. Ну как-то не смертельно ....

Вроде ничего страшного не обнаружили или я что-то упустил ?

судя по комментариям у жабофилов гипертрофированное чувство собственной неполноценности

>судя по комментариям у жабофилов гипертрофированное чувство собственной неполноценности

php программистки обвиняют java разработчиков в том что в php нашли очередную кучу дыр. ;-)

http://tony2001.livejournal.com/104870.html#cutid1

> LOR выставить? И чтоб не тормозил при этом! $100 в год. http://www.net.ru

> Согласно http://www.tiobe.com/tpci.htm - java идет на первом месте.

Извините, но это чушь:
The ratings are based on the world-wide availability of skilled
engineers, courses and third party vendors.

Я не принимаю условия этого рейтинга. Они измеряют длину питонов в
попугаях. Ещё раз повторю мысль: разработчики не являются
пользователями! Вы можете не соглашаться.

> На java написано большинство программ на sourceforge и tigris.

Да, и из них реально используются (то есть имеют пользователей, отличных
от авторов) сколько? Там же один мусор и пустая порода. А золотые
крупинки можно сосчитать на пальцах одной руки...

> LOR выставить? И чтоб не тормозил при этом! $100 в год. http://www.net.ru

120$ я вижу за "большой сайт" плюс десятка установка. Однако это не то.
64 сек процессора и 32 мб памяти на процесс. 600 Мб диска. Максимум 10
тысяч хитов в сутки. Я боюсь, этого маловато. Ближайший следующий более
жирный тариф - уже $360. И при этом ещё не известно, насколько быстрый
канал у них.

> Тоже не верно.
у sendmail'a было много багов не из за большого числа пользователей.
Равно как и qmail стабилен по той причине, что его писал Security Officer.

А я сделал оговорку, что есть исключения и особо крайние случаи.
И qmail не забыл. Sendmail - да, это другая противоположность. Однако
в общей массе можно легко найти и подтвердить закономерность, о которой
я говорил: больше юзеров - больше найденных багов.