| 1.1, Аноним (-), 22:16, 02/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +11 +/– | |
> Стефан указал на то, что уязвимость в PHP пришлась весьма кстати
Прикольный метод напомнить о себе :)
| | |
| |
| 2.6, Аноним (-), 22:32, 02/02/2012 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Это кто такие, помимо самоделкиных (./configure && make all install)?
Все счастливые обладатели дистрибутивов, security team которых портировал исправление уязвиомсти из 5.3.9 в более старые версии.
> "Наш костыль не берут в upstream, возьмите хоть в дебиан".
У проекта PHP всегда было наплевательское отношение к безопасности.
> А ничего, что для python необходимости в подобном проекте нет?
А причем здесь Python ?
| | |
| |
| 3.16, myhand (ok), 23:32, 02/02/2012 [^] [^^] [^^^] [ответить]
| –7 +/– |
 > Все счастливые обладатели дистрибутивов, security team которых портировал исправление уязвиомсти из 5.3.9 в более старые версии.
Счастливые обладатели подобных дистрибутивов - имеют еще и включенный Suhosin патч (а то еще и расширение).
> А причем здесь Python ?
А чем здесь, казалось бы, должен он быть лучше?
| | |
|
| 2.8, Аноним (-), 22:38, 02/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
>Это кто такие, помимо самоделкиных (./configure && make all install)?
pacman -Ss php
extra/php 5.3.9-1
An HTML-embedded scripting language
| | |
| |
| 3.13, myhand (ok), 23:11, 02/02/2012 [^] [^^] [^^^] [ответить]
| –6 +/– |
Я же написал, кроме самоделкиных: ССЗБ, арчеводов и гентушников просят не беспокоиться.
| | |
| |
| 4.21, Аноним (-), 00:48, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
По логике, самоделкины - как раз мейнтейнеры бинарных дистров, которые сами собирают пакеты, вместо того, чтобы оставлять это пользователям.
| | |
| |
| 5.61, Аноним (-), 14:34, 03/02/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
> По логике, самоделкины - как раз мейнтейнеры бинарных дистров, которые сами собирают
> пакеты, вместо того, чтобы оставлять это пользователям.
Нет, самоделкины - это те кто за майнтайнеров сам отдувается. В этом случае майнтенанс системы, включая мониторинг дыр - остается на юзверге.
| | |
|
| 4.26, Crazy Alex (ok), 03:42, 03/02/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Ну так самоделки на продакшн и не расчитаны, по крайней мере - с мордой торчащей во внешний мир.
| | |
|
|
|
| 1.9, Mimo Shell (?), 22:42, 02/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А ничего что эти поделки Эссера сотоварищи обновляются тогда, когда это угодно левой пятке Стефана? Иногда неделю через после релиза, иногда - через пол-года. ну и причины исключения из Дебиана, по-моему, описаны довольно четко.
| | |
| |
| 2.15, myhand (ok), 23:19, 02/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> А ничего что эти поделки Эссера сотоварищи обновляются тогда, когда это угодно левой пятке Стефана?
Это как раз не страшно - дебиан не каждые полгода выходит.
> ну и причины исключения из Дебиана, по-моему, описаны довольно четко.
Она там, фактически, одна: 2. It doesn't help our users when reporting bugs to upstream - the
usual answer is - try if that happens with vanilla php.
Сильно-ли поможет, если в дебиане будет более старая версия чем у upstream? Я наблюдал аналогичную реакцию: "вы пробовали последнюю стабильную версию?"
PS: Вообще, исключение Suhosin - это скорее отдельная целая новость. И плохая :(
| | |
| 2.43, Аноним (-), 11:35, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> ну и причины исключения из Дебиана, по-моему, описаны довольно четко.
Там только одна причина: «Мы не можем майнтенить PHP, не хватает сил, поэтому шлите пожалуйста свои багрепорты не нам а в апстрим».
Все описанные якобы проблемы как я понял из последующего обсуждения решаются настройкой параметров.
| | |
| |
| 3.54, myhand (ok), 13:20, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Там только одна причина: «Мы не можем майнтенить PHP, не хватает сил, поэтому шлите пожалуйста свои багрепорты не нам а в апстрим».
Не врите. Речь там зашла о том, что люди *шлют сами* такие багрепорты. И их отфутболивают обратно. Не уверен, что так не будет и без suhosin (если версия будет отличаться от стабильной в апстрим).
> Все описанные якобы проблемы как я понял из последующего обсуждения решаются настройкой параметров.
Есть там еще одна проблема - Стефан. Было бы у него действительно желание - патч так или иначе интегрировали бы в апстрим.
| | |
| |
| 4.59, Аноним (-), 13:47, 03/02/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Есть там еще одна проблема - Стефан. Было бы у него
> действительно желание - патч так или иначе интегрировали бы в апстрим.
s/желание/прямые руки/
| | |
| |
| 5.63, myhand (ok), 14:46, 03/02/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
Руки у него вроде прямые. Тут больше "социальные" проблемы. Ну, переср*лся он там со всеми, понимаешь :)
| | |
| |
| 6.67, Andrey Mitrofanov (?), 15:22, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
>Тут больше "социальные" проблемы. Ну, переср*лся он там со всеми, понимаешь :)
Ага. ...но объяснить похапэшникам про безопасность не смог. Пичально$))
| | |
|
|
| 4.81, arisu (ok), 20:21, 03/02/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Есть там еще одна проблема — Стефан. Было бы у него
> действительно желание — патч так или иначе интегрировали бы в апстрим.
человек таки улучшил безопасность. похапэшники, у которых с безопасностью традиционно «мы не знаем, что это» вместо чтобы руками и ногами ухватиться, встали в позу «а ты нас попроси хорошенько, может, мы тогда и соизволим…» по-моему, дальнейшее поведение автора патчей вполне очевидно: «идите-ка вы в задницу, дорогой апстрим. с барабаном, пионерским горном и бравыми песнями.»
| | |
|
|
|
| 1.22, Аноним (-), 00:57, 03/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Та же самая ситуация наблюдается в Red Hat Enterprise Linux 5 и 6, а также в Fedora Linux.
Что-то мне подсказывает, что редхатовские сборки, как обычно, неуязвимы из-за фирменного редхатовского харденинга.
| | |
| |
| 2.23, myhand (ok), 02:10, 03/02/2012 [^] [^^] [^^^] [ответить]
| –2 +/– |
А в Debian - как минимум из-за suhosin. Плюс, выпущено обновление - в отличие от.
| | |
| |
| 3.24, playnet (ok), 03:09, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
 > А в Debian - как минимум из-за suhosin.
...который успено выпилен, не?
| | |
| |
| 4.25, myhand (ok), 03:19, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> ...который успено выпилен, не?
"Не". Выключен он в unstable (sid). Стабильный релиз, естественно, это никак не затронуло.
| | |
|
| |
| |
| 5.75, Andrey Mitrofanov (?), 18:35, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
>> В Debian вчера ещё обновление свалилось
> "For the oldstable distribution (lenny), no fix
И? Развейте же _Вашу_ мысль??
stable тоже "в Debian". В нём -- вчера. _Это обновление появилось _вчера _в _D.
Не пролезаете.
| | |
| |
| |
| 7.78, Andrey Mitrofanov (?), 18:49, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
>> И? Развейте же _Вашу_ мысль??
> Ля, предупреждать же надо, что с соседним тредом разговариваешь.
Но да, поднимем стакан за "фирменного редхатовского харденинга". Не чокаясь.
| | |
|
|
|
|
| 3.57, Аноним (-), 13:43, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> А в Debian - как минимум из-за suhosin.
Читайте новость. Suhosin не закрывает эту дыру, просто с ним нужен немного другой сплойт.
> Плюс, выпущено обновление - в отличие от.
У редхата тоже выпущено обновление, в тот же день.
Вот только у редхата обновлены все поддерживаемые версии, а у дебиана - далеко не все.
В задницу такую "поддержку".
| | |
| |
| 4.62, myhand (ok), 14:45, 03/02/2012 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Читайте новость. Suhosin не закрывает эту дыру, просто с ним нужен немного другой сплойт.
Ага, совсем "немного". Фантазер.
> Вот только у редхата обновлены все поддерживаемые версии, а у дебиана - далеко не все.
Не все. Буратины, которые не вкурсе что поддержка Lenny закончится через 3 дня - пока подождут.
> В задницу такую "поддержку".
Люди делают качественную работу, причем на хорошем уровне (чуть даже быстрее RHEL иногда, как в этот раз) и бесплатно. Только форумные тролли вроде тебя считают, что им кто-то что-то должен и писают фонтаном от того, что им дали объедки со стола клиентов RHEL в виде обновлений для CentOS и прочих клонов.
| | |
| |
| 5.68, Аноним (-), 15:33, 03/02/2012 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Ага, совсем "немного". Фантазер.
Вы таки утверждаете, что suhosin дает 100% гарантию от этой дыры?
> Не все. Буратины, которые не вкурсе что поддержка Lenny закончится через 3 дня - пока подождут.
Важно их отношение к безопасности. В следующий раз будет "Буратины, которые не вкурсе что поддержка squeeze закончится через год - пока подождут. Ну и хрен с ним, что критическая дыра. Нам как-то влом."
> Люди делают качественную работу, причем на хорошем уровне
В RHEL - да.
А про дебиан такое теперь не скажет даже самый лживый демагог. Свое отношение к пользователям они продемонстрировали четко и недвусмысленно.
| | |
| |
| 6.71, myhand (ok), 15:57, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Вы таки утверждаете, что suhosin дает 100% гарантию от этой дыры?
100% гарантии раздают только мошейники. Но вероятность эксплуатации уязвимости - да, близка к 0. Это я еще не упомянул что DEB_BUILD_HARDENING включен.
> Важно их отношение к безопасности. В следующий раз будет
Вот когда "будет" - тогда и скажете. Обновление для Lenny уже давным давно доступно в CVS. Лень проверять - может уже и выгрузили.
> В RHEL - да.
> А про дебиан такое теперь не скажет даже самый лживый демагог. Свое
> отношение к пользователям они продемонстрировали четко и недвусмысленно.
Тем что выпустили обновление, как нередко бывает, вперед RHEL? :) Мне нравится такое отношение.
| | |
|
|
| 4.74, Аноним (-), 18:04, 03/02/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Вот только у редхата обновлены все поддерживаемые версии, а у дебиана - далеко не все.
O_O нихрена себе вборс.
| | |
| |
| |
| 6.79, myhand (ok), 19:08, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> +++Они опять убили Ленни, сволочи!
> ---А обещали ещё _целых_ _три_ _дня_ поддержки oldstable.
Не кормите троллей. Обновление для oldstable было доступно еще утром.
| | |
| |
| 7.80, Andrey Mitrofanov (?), 20:06, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Не кормите троллей. Обновление для oldstable было доступно еще утром.
Да ну нафиг...
php5_5.2.6.dfsg.1-1+lenny16.dsc 03-Feb-2012 14:56
Это 18:56 по Москве, то есть за _12_(?!) минут до твоего поста.
| | |
|
|
|
|
|
|
| 1.28, Аноним (-), 06:26, 03/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Это как с полковником кольтом. Вот раньше были сишники, удел которых был писать серьёзные софты, в том числе всякие сетевые. И был бейсик с паскалем, где ютились начинающие софтописатели и те, кто по какойто причине остановился в прогрессе. Любой сишник мог всегда опустить вторых. И вот появился PHP c JAVA и уровнял всех в правах. Теперь мало кто пишет софт для сети на сях, зато даже начинающий школьник может начать писАть на PHP и JAVA.
| | |
| |
| 2.33, Аноним (-), 09:08, 03/02/2012 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>Теперь мало кто пишет софт для сети на сях, зато даже начинающий школьник может начать писАть на PHP и JAVA.
Но язык - лишь инструмент и результат начинающего школьника похож на го#но.
>И вот появился PHP c JAVA и уровнял всех в правах.
Так кажется только при поверхностном и беглом анализе (плохо, если вы этим довольствуетесь), поэтому это не отражает суть. Никогда noobies не равно hackers. Но потребители дешевого кода гоняются за дешевизной и ширпотребом (и школ пойдет если за 2 копейки).
| | |
| 2.90, AdVv (ok), 23:02, 06/02/2012 [^] [^^] [^^^] [ответить] | +/– |  Я тебе еще раз повторю для верности, PHP написан на С, языке, который предлагает... большой текст свёрнут, показать | | |
|
| 1.29, Аноним (-), 06:32, 03/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
PHP - самый популярный язык в вебе. Он по-своему ужасен и не логичен, имеет постоянные проблемы и критические уязвимости, но сайтостроители хавают.
Windows - самая популярная ОС для домашних ПК. Она по-своему ужасна и не логична, имеет постоянные и критические уязвимости, но домохозяйки хавают.
Видимо секрет успеха не в том, чтобы все стабильно работало, не в гибкости и расширяемости системы, а, наоборот, в очевидных ограничениях и трудностях, ну и плюс маркетинг и пиар.
Все-таки в дерьме что-то есть, миллионы мух не могут ошибаться (с) Станислав Ежи Лец.
| | |
| |
| 2.38, SubGun (ok), 10:37, 03/02/2012 [^] [^^] [^^^] [ответить]
| +6 +/– |
 Что ж, за ушлый вы народ,
Прямо оторопь берет.
Всяк другого мнит уродом,
Несмотря, что сам урод.
(с) Сказ про Федота-Стрельца
| | |
| 2.51, Maris (?), 12:26, 03/02/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
Приравнивать популярность PHP со стороны пиара и маркетинга к Windows не совсем корректно. За масштабами пиара и маркетинга, а также усилиями Microsoft по внедрению своего OS в notebooks и учебные заведения (бесплатные лицензии), стоят миллионы а может и миллиарды. Популярность PHP по таким критериям никак несравнима с популярностью windows.
| | |
| |
| 3.89, AdVv (ok), 22:47, 06/02/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Приравнивать популярность PHP со стороны пиара и маркетинга к Windows не совсем
> корректно. За масштабами пиара и маркетинга, а также усилиями Microsoft по
> внедрению своего OS в notebooks и учебные заведения (бесплатные лицензии), стоят
> миллионы а может и миллиарды. Популярность PHP по таким критериям никак
> несравнима с популярностью windows.
Ты не улавливаешь суть, у посредственностей всегда есть желание выделиться, почувствовать себя уникальным, принадлежащим к элитарному меньшинству. Чтобы потом погнуть пальцы, брезгливо морщить нос и кидаться фекалиями. И не важно что будет выбрано в качестве мишени, Дима Билан, PHP или Windows, это все явления одного порядка.
| | |
|
|
| 1.32, Аноним (-), 08:55, 03/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Еще одно доказательство старой истины- программирование это процесс устранения одних ошибок и добавление других.
| | |
| 1.47, Аноним (-), 11:45, 03/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
МНЕ КАЖЕТСЯ, что я нашёл ещё одну уязвимость в PHP-5. (Fedora 16+SELinux. php-код вешает MySQL-сервер из PHP, перестают работать все виртуалхосты, зависимые от MySQL) Я не слишком разбираюсь в этом и не уверенн, что это баг (может быть я попытался сделать неправильное действие), но всё-же на всякий случай наверное стоило-бы сообщить разработчикам. Скажите пожалуйста куда обратиться с предполагаемым багом.
| | |
| |
| 2.50, Аноним (-), 12:10, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
если не слишком разбираешься, то и не нужно писать. возможно, об ошибку уже знаю, поищи на англоязычном багтрекере. прочитай английский howto как правильно сообщать об ошибках. и только если будешь все готов сделать правильно, то пиши. в федора ошибок в любом случае немеряно.
| | |
|
| 1.49, Аноним (-), 12:08, 03/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
в каких дистрибутивах используется уязвимая версия php? что-то мне кажется не так много их.
| | |
| |
| 2.52, Аноним (-), 12:37, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> в каких дистрибутивах используется уязвимая версия php? что-то мне кажется не так
> много их.
В половине. Многие дистрибутивы эту пресловутую защиту от DoS-атаки портировали и за одним новую дыру открыли.
| | |
|
| 1.55, Аноним (-), 13:39, 03/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Дебиановцы, как всегда, отличаются прекрасным качеством поддержки:
> For the oldstable distribution (lenny), no fix is available at this time.
Если не собираешься поддерживать свои продукты, нафига людей обманывать?
| | |
| 1.56, Аноним (-), 13:40, 03/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Народ, скажите пожалуйста, как сильно отстает remi репозиторий от выпуска самых последних апдейтов php?
| | |
| 1.66, ILYA INDIGO (ok), 15:21, 03/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Ожидал ещё вчера релиза 5.4.0, а тут на тебе...
Как говориться хотели как лучше, а вышло как всегда!
Радует что я сначала обновился до 5.3.10, но офф сайте так и не понял причину обновления, а тут уже потом прочитал её.
Хоть что то на openSUSE собирают мгновенно :)
| | |
| |
| |
| 3.92, Аноним (-), 22:58, 11/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
В итоге обновил 10 января. 8-го ещё не было обновления, а вот 9-го не помню проверял ли.
| | |
|
|
| 1.87, Ne01eX (??), 08:27, 06/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 А чё альты такие расслабленные? У них-то как раз очки ломы должны перекусывать, - php5-5.3.8.20110823-alt2 до сих пор.
P.S. Райдеру привет =)
| | |
|
