OpenNews: Корректирующие выпуски PHP 5.5.35, 5.6.21 и 7.0.6 с устранением уязвимостей

29.04.2016 11:18 Корректирующие выпуски PHP 5.5.35, 5.6.21 и 7.0.6 с устранением уязвимостей

Опубликованы корректирующие выпуски языка программирования PHP 7.0.6, 5.6.21 и 5.5.35, в которых внесено 55 изменений, в том числе устранено несколько уязвимостей:

Переполнения кучи в функциях php_raw_url_encode и php_url_encode;
CVE-2016-3078 - целочисленное переполнение в расширении Zip, позволяющее выйти за границы буфера при использовании вызовов ZipArchive::getFrom*;
CVE-2016-3074 - уязвимость в libgd, приводящая к переполнению кучи при обработке сжатых данных в формате gd2;
Крах при обработке некорректных данных в функции gethostbyname;
Крах в реализации DateInterval::format;
Обращение к данным за границей буфера при обработке заголовков EXIF;
Проблемы с парсингом некорректных данных XML.

Дополнительно можно отметить публикацию результатов проверки кодовой базы PHP7 с использованием статического анализатора PVS-Studio. Разобрано десять наиболее явных ошибок, связанных с обращением к переменным вне области видимости, неверным построением логических выражений, применение знаковых операций к переменным беззнакового типа, определение заведомо никогда не выполняющихся блоков кода и т.п.

исправить +1 +/–

Лицензия: CC-BY

Тип: Программы

Ключевые слова: php

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Линейный вид | Ajax | Показать все | RSS

1.1, Xenia Joness, 01:49, 30/04/2016 [ответить] [смотреть все] [к модератору]	–3 +/–
Слишком много глупых ошибок для столь серьёзного проекта, очень жаль Но всё рав... весь текст скрыт [показать]

2.2, бедный буратино, 03:56, 30/04/2016 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
> Слишком много глупых ошибок для столь серьёзного проекта, очень жаль. Но всё равно, PHP как и прежде, стоит использовать для решения практически любых задач. python намного вменяемее для практически любых задач. или ruby.

3.3, Gemorroj, 09:22, 30/04/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
для хипстоты да, для работяг нет.

4.4, бедный буратино, 10:13, 30/04/2016 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
я писал для веба на php с 2002 по 2011 и на python с 2011 по сей день - и я не могу придумать случаев, где php превосходил бы python. причём здесь "хипстота" - вообще непонятно.

5.5, Gemorroj, 11:27, 30/04/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
ну так может дело в том, что прогресс на месте не стоит? в 2011 еще и composer не было, symfony2 и всего того, что вывело php на новый уровень. писал бы ты на старом питоне и перешел на новые технологии пхп, возможно, говорил бы обратное.

6.6, бедный буратино, 11:39, 30/04/2016 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
Я не вижу, в чём заключается новый уровень. Никакие из принципиальных проблем не исправлены, а просто создана иллюзия. А python всегда был достаточно хорош. :) Кстати, во времена php3 и php4 жить было проще :)

7.8, Gemorroj, 12:20, 30/04/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
> принципиальных проблем что за они?

8.12, Аноним, 14:54, 30/04/2016 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
php.ini хотя бы

9.15, Аноним, 23:08, 30/04/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Ага Там, где в PHP можно обойтись правкой php ini в т ч в пределах отдельного... весь текст скрыт [показать]

9.18, Аноним, 10:11, 09/05/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Да, поддерживаю эта хня с конфетами просто убивает Почему не сделать скажем все... весь текст скрыт [показать]

6.7, бедный буратино, 11:41, 30/04/2016 [^] [ответить] [смотреть все] [к модератору]	–3 +/–
вот сейчас захотел решить банальный пример возвести 7605321364728 в 467 степень... весь текст скрыт [показать]

7.9, Gemorroj, 12:22, 30/04/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
как делалось? pow? про расширения для работы с большими числами не слышали? или сознательное искажение информации?

8.10, бедный буратино, 12:52, 30/04/2016 [^] [ответить] [смотреть все] [к модератору]

–1 +/–

> как делалось? pow? про расширения для работы с большими числами не слышали?
> или сознательное искажение информации?

Речь идёт о "простой работе для всего" (причём не только веб)

В python я просто беру и делаю, и оно работает. В php - нет. Вообще, в python кода получается намного меньше, чем в php.

9.11, Gemorroj, 13:04, 30/04/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Ясно, значит сознательное искажение информации.

9.16, Аноним, 23:20, 30/04/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Для полного счастья предлагаю тебе сравнить скорость выполнения print pow 760532... весь текст скрыт [показать]

10.17, АнонимУася, 13:20, 03/05/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Не мечите бисер перед свиньями. Они не понимают, что всему есть своя ниша, и у пыхи она куда побольше чем, у змеюки.

7.14, Аноним, 23:06, 30/04/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Это потому, что ты неосилятор Для операций с числами проивольной длины в PHP на... весь текст скрыт [показать]

3.13, Аноним, 23:01, 30/04/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
намного невменяемее fixed один синтаксис со значимыми пробелами перечёркивает вс... весь текст скрыт [показать]

Добавить комментарий