Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасностью

1 ноября 2005 года

Wikinews-logo-ru.svg

Обнаружено несколько неприятных проблем с безопасностью в версиях PHP ниже 4.4.1 и 5.0.6 (который еще не вышел).

Проблемы:

  • Возможность (при register_globals=on) подмены значений в массиве "GLOBALS" через "multipart/form-data" запрос или функции extract(), import_request_variables();
  • Ошибка в функции parse_str(), которая может привести к активации настройки register_globals;
  • "Cross-Site Scripting" - атакующий может сформировать ссылку на скрипт с phpinfo(), подставив свой HTML код;
  • Возможность выхода за пределы директории, заданной в open_basedir и safe_mode, через модули "ext/curl" и "ext/gd" или вызов virtual() под apache 2 SAPI;
  • Целочисленное переполнение в pcrelib;
  • Исправлено более 30 ошибок не касающихся безопасности.
 

ИсточникиПравить


Эта статья содержит материалы из статьи «Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасностью», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Вышел PHP 4.4.1 с исправлением ошибок, связанных с безопасностью