форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Предупреждение о проблемах безопасности после обновления до ..."	+/–
Сообщение от opennews (??) on 22-Авг-11, 13:54
Разработчики проекта PHP опубликовали уведомление (http://www.php.net/index.php#id2011-08-22-1), в котором попросили пользователей повременить с обновлением своих систем до вышедшей (http://www.opennet.ru/opennews/art.shtml?num=31537) несколько дней назад новой версии PHP 5.3.7 и дождаться выхода PHP 5.3.8, который будет доступен через несколько дней. Причиной стала проблема (https://bugs.php.net/bug.php?id=55439) безопасности, вызванная ошибкой в обновленной реализации функции crypt(), которая в версии 5.3.7 при запуске с явным указанием salt, вместо хэша MD5 возвращает только значение salt. Проблема проявляется только для хэшей MD5 и не затрагивает хэши DES и BLOWFISH. URL: http://www.php.net/index.php#id2011-08-22-1 Новость: http://www.opennet.ru/opennews/art.shtml?num=31555
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Предупреждение о проблемах безопасности после обновления до ..."	+/–
Сообщение от Аноним (??) on 22-Авг-11, 13:54
Не думал, что в PHP _вообще_ нет тестирования качества. Ладно какой-то трудноуловимый баг пропустить, но не проверить работу очевидного изменения после принятия патча, это нонсенс.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Предупреждение о проблемах безопасности после обновления..."	+2 +/–
	Сообщение от anonymous (??) on 22-Авг-11, 15:03
	> Не думал, что в PHP _вообще_ нет тестирования качества. почему же «нет»? на юзерах и тестируют. на то оно и похапэ.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	9. "Предупреждение о проблемах безопасности после обновления до ..."	–1 +/–
	Сообщение от Аноним (??) on 22-Авг-11, 15:25
	в linux kernel - ровно так же тестируют на хомячках.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	24. "Предупреждение о проблемах безопасности после обновления до ..."	+/–
	Сообщение от nagual (ok) on 23-Авг-11, 18:10
	> в linux kernel - ровно так же тестируют на хомячках. Процессоры интел точно так тестируются на хомячках и называются целероны :-))
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	18. "Предупреждение о проблемах безопасности после обновления до ..."	+/–
	Сообщение от solardiz (ok) on 22-Авг-11, 21:38
	В основном дереве исходников PHP есть unit test'ы - и их там очень много. Как я понял, проблема в том, что некоторые недостатки кода, для которых уже есть тесты, сознательно остаются не исправленными в определенных релизах и/или при определенных вариантах сборки, что и привело к тому, что еще один уже не сознательно не-прошедший тест попросту не заметили: http://news.php.net/php.internals/54739 Сейчас разработчики подняли дискуссию о том что им надо бы изменить ожидаемый результат части тестов на XFAIL (expected failure) или/и временно убрать часть тестов из основного дерева (перенести их в описания соответствующих багов), чтобы новые сбои были более заметны. Конечно, это лучше было сделать раньше...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Предупреждение о проблемах безопасности после обновления до ..."	+3 +/–
Сообщение от Аноним (??) on 22-Авг-11, 14:05
жесть! никогда не сомневался в кривости разрабов php, но чтобы так облажаться это надо уметь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Предупреждение о проблемах безопасности после обновления до ..."	+1 +/–
	Сообщение от pro100master (ok) on 22-Авг-11, 20:14
	-    strlcat(passwd, "$", 1); +    strcat(passwd, "$"); ------- как "так"? Может принимающий комиты пропустил, может код намерено в таком виде запостили. Запишитесь в тестеры, они давно уже народ набирают.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Предупреждение о проблемах безопасности после обновления до ..."	+/–
Сообщение от wiseman (ok) on 22-Авг-11, 14:46
Как знал, что не стоит торопиться с обновлением. Может я ошибаюсь, но кажется, такое уже с ними было
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Предупреждение о проблемах безопасности после обновления до ..."	+/–
Сообщение от Аноним (??) on 22-Авг-11, 15:43
head:~ # php -v PHP 5.3.7 (cli) Copyright (c) 1997-2011 The PHP Group Zend Engine v2.3.0, Copyright (c) 1998-2011 Zend Technologies только вчера обновился же
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Предупреждение о проблемах безопасности после обновления до ..."	+/–
Сообщение от Аноним (??) on 22-Авг-11, 16:04
Уже с патчем. (показал всем язык). :) http://www.freshports.org/commit.php?category=lang&port=php5...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Предупреждение о проблемах безопасности после обновления до ..."	+/–
Сообщение от Alexander (??) on 23-Авг-11, 17:14
remi оперативно выпустил апдейт: Updating: php                              x86_64                     5.3.7-2.el5.remi                        remi                     2.8 M ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема