OpenNews: Корректирующие выпуски PHP 5.5.35, 5.6.21 и 7.0.6 с устранением уязвимостей

29.04.2016 11:18 Корректирующие выпуски PHP 5.5.35, 5.6.21 и 7.0.6 с устранением уязвимостей

Опубликованы корректирующие выпуски языка программирования PHP 7.0.6, 5.6.21 и 5.5.35, в которых внесено 55 изменений, в том числе устранено несколько уязвимостей:

Переполнения кучи в функциях php_raw_url_encode и php_url_encode;
CVE-2016-3078 - целочисленное переполнение в расширении Zip, позволяющее выйти за границы буфера при использовании вызовов ZipArchive::getFrom*;
CVE-2016-3074 - уязвимость в libgd, приводящая к переполнению кучи при обработке сжатых данных в формате gd2;
Крах при обработке некорректных данных в функции gethostbyname;
Крах в реализации DateInterval::format;
Обращение к данным за границей буфера при обработке заголовков EXIF;
Проблемы с парсингом некорректных данных XML.

Дополнительно можно отметить публикацию результатов проверки кодовой базы PHP7 с использованием статического анализатора PVS-Studio. Разобрано десять наиболее явных ошибок, связанных с обращением к переменным вне области видимости, неверным построением логических выражений, применение знаковых операций к переменным беззнакового типа, определение заведомо никогда не выполняющихся блоков кода и т.п.

исправить +1 +/–

Лицензия: CC-BY

Тип: Программы

Ключевые слова: php

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Ajax/Линейный | Раскрыть все сообщения | RSS

1.1, Xenia Joness (ok), 01:49, 30/04/2016 [ответить] [показать ветку] [···] [к модератору]	–3 +/–
Слишком много глупых ошибок для столь серьёзного проекта, очень жаль Но всё рав... весь текст скрыт [показать]

2.2, бедный буратино (ok), 03:56, 30/04/2016 [^] [ответить] [к модератору]	–2 +/–
> Слишком много глупых ошибок для столь серьёзного проекта, очень жаль. Но всё равно, PHP как и прежде, стоит использовать для решения практически любых задач. python намного вменяемее для практически любых задач. или ruby.

3.3, Gemorroj (ok), 09:22, 30/04/2016 [^] [ответить] [к модератору]	+1 +/–
для хипстоты да, для работяг нет.

4.4, бедный буратино (ok), 10:13, 30/04/2016 [^] [ответить] [к модератору]	–2 +/–
я писал для веба на php с 2002 по 2011 и на python с 2011 по сей день - и я не могу придумать случаев, где php превосходил бы python. причём здесь "хипстота" - вообще непонятно.

5.5, Gemorroj (ok), 11:27, 30/04/2016 [^] [ответить] [к модератору]	+/–
ну так может дело в том, что прогресс на месте не стоит? в 2011 еще и composer не было, symfony2 и всего того, что вывело php на новый уровень. писал бы ты на старом питоне и перешел на новые технологии пхп, возможно, говорил бы обратное.

6.6, бедный буратино (ok), 11:39, 30/04/2016 [^] [ответить] [к модератору]	–2 +/–
Я не вижу, в чём заключается новый уровень. Никакие из принципиальных проблем не исправлены, а просто создана иллюзия. А python всегда был достаточно хорош. :) Кстати, во времена php3 и php4 жить было проще :)

7.8, Gemorroj (ok), 12:20, 30/04/2016 [^] [ответить] [к модератору]	+/–
> принципиальных проблем что за они?

8.12, Аноним (-), 14:54, 30/04/2016 [^] [ответить] [к модератору]	–1 +/–
php.ini хотя бы

9.15, Аноним (-), 23:08, 30/04/2016 [^] [ответить] [к модератору]	+/–
Ага Там, где в PHP можно обойтись правкой php ini в т ч в пределах отдельного... весь текст скрыт [показать]

9.18, Аноним (-), 10:11, 09/05/2016 [^] [ответить] [к модератору]	+/–
Да, поддерживаю эта хня с конфетами просто убивает Почему не сделать скажем все... весь текст скрыт [показать]

6.7, бедный буратино (ok), 11:41, 30/04/2016 [^] [ответить] [к модератору]	–3 +/–
вот сейчас захотел решить банальный пример возвести 7605321364728 в 467 степень... весь текст скрыт [показать]

7.9, Gemorroj (ok), 12:22, 30/04/2016 [^] [ответить] [к модератору]	+1 +/–
как делалось? pow? про расширения для работы с большими числами не слышали? или сознательное искажение информации?

8.10, бедный буратино (ok), 12:52, 30/04/2016 [^] [ответить] [к модератору]

–1 +/–

> как делалось? pow? про расширения для работы с большими числами не слышали?
> или сознательное искажение информации?

Речь идёт о "простой работе для всего" (причём не только веб)

В python я просто беру и делаю, и оно работает. В php - нет. Вообще, в python кода получается намного меньше, чем в php.

9.11, Gemorroj (ok), 13:04, 30/04/2016 [^] [ответить] [к модератору]	+/–
Ясно, значит сознательное искажение информации.

9.16, Аноним (-), 23:20, 30/04/2016 [^] [ответить] [к модератору]	+/–
Для полного счастья предлагаю тебе сравнить скорость выполнения print pow 760532... весь текст скрыт [показать]

10.17, АнонимУася (?), 13:20, 03/05/2016 [^] [ответить] [к модератору]	+/–
Не мечите бисер перед свиньями. Они не понимают, что всему есть своя ниша, и у пыхи она куда побольше чем, у змеюки.

7.14, Аноним (-), 23:06, 30/04/2016 [^] [ответить] [к модератору]	+/–
Это потому, что ты неосилятор. Для операций с числами проивольной длины в PHP надо явно использовать расширение GMP. echo(gmp_strval(gmp_pow(76053213628,467), 10));

3.13, Аноним (-), 23:01, 30/04/2016 [^] [ответить] [к модератору]	+1 +/–
намного невменяемее fixed один синтаксис со значимыми пробелами перечёркивает всё целиком и полностью

Добавить комментарий