https://opennet.ru/openforum/vsluhforumID3/104082.html Доступны (http://php.net/archive/2015.php#id2015-08-06-4) корректирующие выпуски языка программирования PHP 5.6.12, 5.5.28 и 5.4.44, в которых устранены двенадцать уязвимостей и исправлена порция ошибок (http://php.net/ChangeLog-5.php). Большая часть уязвимостей может привести к отказу в обслуживании и проявляется в дополнениях (SPL, GD, SOAP, ODBC и OpenSSL). Уязвимость также выявлена в коде работы с директориями (https://bugs.php.net/bug.php?id=70002временными). Не обошлось и без ставших привычными уязвимостей в функции сериализации данных (unserialize) - 69793 (https://bugs.php.net/bug.php?id=69793) и 70121 (https://bugs.php.net/bug.php?id=70121).<br><br><br><br>Одновременно сообщается о приближении ветки PHP 5.4 к концу цикла поддержки (http://php.net/supported-versions.php) (последний выпуск ожидается в сентябре или октябре), а также переводе ветки PHP 5.5 на стадию финального сопровождения, на которой прекращено исправление ошибок общего плана и устраняются только уязвимости.<br><br><br>URL: http://php.net/archive/201 https://opennet.ru/openforum/vsluhforumID3/104082.html#35 Mon, 10 Aug 2015 07:54:55 GMT По делу:<br><br>#70012 Exception lost with nested finally block<br>Хитрая хрень. Неправильный проброс исключения через вложенные finally. Даже с трудом представляю реальный кейс для такой конструкции.<br><br>#69793 Remotely triggerable stack exhaustion via recursive method calls<br>Вот нифига не "remotely". Десериализовать untrusted-данные - это стрельба себе по ногам, пора бы уже запомнить.<br><br>#69892 Different arrays compare indentical due to integer key truncation<br>LOL.<br><br>&gt; Уязвимость также выявлена в коде работы с директориями. - <br><br>#70002 (TS issues with temporary dir handling)<br>Package: Apache2 related, OS: Windows 2008 R2 - pfff, ваще пофиг.<br><br>Пара незначительных исправлений в CLI. Целая пачка в GD - вот это неприятно, там и утечка памяти, и сегфолт, и переполнение стека. <br>Есть OpenSSL-related баги, но не понял, насколько они значительные.<br><br>Баг в SOAP снова связан с десериализацией. Кто-нибудь, расскажите - зачем сериализовать объекты SoapClient? <br>SPL - тоже самое, unserialize. <br> https://opennet.ru/openforum/vsluhforumID3/104082.html#34 Mon, 10 Aug 2015 07:25:04 GMT &gt; Если бы в nginx, apache, openssh, vsftpd и других нормальных программах закрывали бы через каждые несколько недель по *надцать УЯЗВИМОСТЕЙ и куче ОШИБОК, то нормальный люд давно бы взвыл и выкинул бы к чертям собячим такой мусор.<br><br>Откройте глаза. А потом откройте ченджлоги nginx, apache, openssh, vsftpd или любого другого крупного проекта и посмотрите на количество багфиксов. <br><br>&gt; Спасибо, но пользоваться этим я не буду никогда.<br><br>Держите нас в курсе.<br> https://opennet.ru/openforum/vsluhforumID3/104082.html#33 Mon, 10 Aug 2015 06:53:47 GMT приятно видеть адекватов среди анонимов.<br><br><br> https://opennet.ru/openforum/vsluhforumID3/104082.html#32 Mon, 10 Aug 2015 06:52:34 GMT &gt;&gt; речь идет О СУММАРНОМ КОЛИЧЕСТВЕ УЯЗВИМОСТЕЙ И ОШИБОК за несолько месяцев и в PHP вопрос идет вопрос на СОТНИ.<br>&gt; Количество - не единственный показатель.<br><br>Истинно так. Поэтому надо не тупо таращиться на количество багфиксов, а сравнивать количество CVE. И тут внезапно выясняется, что flash и ослик делают всех как стоячих.<br> https://opennet.ru/openforum/vsluhforumID3/104082.html#31 Mon, 10 Aug 2015 06:49:35 GMT &gt; Если ПХП и Флэш - программы,<br><br>flash-плеер вполне себе программа<br><br>&gt; то ХТМЛ - язык программирования.<br><br>рекомендую найти толкового психотерапевта и не пугать окружающих загибами своего воображения<br><br><br> https://opennet.ru/openforum/vsluhforumID3/104082.html#30 Mon, 10 Aug 2015 06:46:11 GMT &gt; речь идет О СУММАРНОМ КОЛИЧЕСТВЕ УЯЗВИМОСТЕЙ И ОШИБОК за несолько месяцев и в PHP вопрос идет вопрос на СОТНИ. <br><br>Количество - не единственный показатель. Вы сначала попробуйте эксплуатировать хотя бы одну из этих уязвимостей, на каком-нибудь реальном проекте, тогда и поговорим. Или может приведете пример, когда бы ошибка в самом PHP привела к массовому взлому сайтов? Реальность такова, что большинство этих багов находят в API, которым или пользуется 3,5 человека, или для воспроизведения бага требуется сочетание каких-нибудь нереальных условий. <br><br>&gt; И где в этих проектах закрытые сотни проблем? <br><br>Да в любом крупном проекте. http://nginx.org/en/CHANGES - каждый месяц по нескольку багфиксов. И что? Ну давайте в других языках посмотрим: https://docs.python.org/3/whatsnew/changelog.html - что, большая разница? Короче говоря, умерьте свой капслок. И ещё: http://www.opennet.ru/opennews/art.shtml?num=15991<br> https://opennet.ru/openforum/vsluhforumID3/104082.html#29 Mon, 10 Aug 2015 05:37:47 GMT Сколько можно уже делать высеров насчет PHP? Да, обычный шаблонизатор. Да без поддержки потоков рашньше был. Сегодня вполне себе годный язык. Для быстрой разработки сайтов и быстрого деплоя. Есть и достоинства и недостатки. Что за притеснение по языковому признаку. А ответка тоже не ахти. За что Вы так на java или с++ они вам не конкуренты разные совершенно рынки. И да рынок фундаментальной разработки в России страдает, так как пользователи пока не готовы к заказам сложнее сайтов, но это не проблема программистов, а проблема рынка... От того страдают программисты<br> https://opennet.ru/openforum/vsluhforumID3/104082.html#28 Sun, 09 Aug 2015 09:17:27 GMT GCC 4.9.1<br>https://gcc.gnu.org/bugzilla/buglist.cgi?bug_status=RESOLVED&resolution=FIXED&target_milestone=4.9.1<br><br>Тоже ничего.<br> https://opennet.ru/openforum/vsluhforumID3/104082.html#27 Sat, 08 Aug 2015 10:45:16 GMT К слову об "экосистеме" PHP и его авторах из http://www.opennet.ru/opennews/art.shtml?num=42237 :<br><br>&gt; некорректное устранение уязвимости CVE-2006-7243