Archívum - Júl 2002
július 23
PHP 4.2.2 - fontos biztonsági javítás!
Közlemény kibocsátva: 2002. július 22.
Érintett szoftverek: PHP 4.2.0 és 4.2.1
Platformok: Mind
A PHP Csoport komoly biztonsági sebezhetőségre bukkant a PHP 4.2.0 és 4.2.1 változatokban, amely eredményeként egy behatoló akár tetszőleges kódot is futtathat a webkiszolgáló jogosultságaival. A sebezhetőséget a webkiszolgáló kompromittálására, illetve bizonyos körülmények között jogosultságok megszerzésére is kihasználhatják illetéktelenek.
A PHP intelligens módon elemzi a HTTP POST lekérések fejléceit. A kód a böngésző által küldött "multipart/form-data" lekérések változóit és fájljait választja szét, ám hiányos a bemeneti ellenőrzése, ez vezet sebezhetőséghez.
A sebezhetőséget bárki kihasználhatja, aki HTTP POST lekéréseket tud küldeni az érintett webkiszolgálónak. Mind helyi, mind távoli felhasználók szerezhetnek így jogosulatlan hozzáférést a kiszolgálón, akár tűzfal mögött is.
A 32 bites IA platformokon (azaz Intel vagy AMD processzorú gépeken) a sebezhetőséget nem lehet kihasználni, ugyanis az architektúra felépítése (a stackek kiosztása) folytán ellenőrizhetetlen, hova kerül az inicializálatlan kódrész. Ennek eredményeként az IA32 platformon az nem fut le, viszont nagy valószínűséggel összeomlasztja a PHP-t, és gyakran a webkiszolgálót is.
A PHP csoport a sebezhetőség elhárítására új PHP verziót tett közre, és nyomatékosan felhívja a PHP 4.2.0 és 4.2.1 változatok használóit, hogy frissítsenek a hibát javító 4.2.2 változatra. Mind a forráskód, mind a windows telepítő, valamint a patchek letölthetőek a php.net oldalról, illetve magyarországi tükörszerverekről, a hu.php.net és a hu2.php.net címekről.
Érintett szoftverek: PHP 4.2.0 és 4.2.1
Platformok: Mind
A PHP Csoport komoly biztonsági sebezhetőségre bukkant a PHP 4.2.0 és 4.2.1 változatokban, amely eredményeként egy behatoló akár tetszőleges kódot is futtathat a webkiszolgáló jogosultságaival. A sebezhetőséget a webkiszolgáló kompromittálására, illetve bizonyos körülmények között jogosultságok megszerzésére is kihasználhatják illetéktelenek.
A PHP intelligens módon elemzi a HTTP POST lekérések fejléceit. A kód a böngésző által küldött "multipart/form-data" lekérések változóit és fájljait választja szét, ám hiányos a bemeneti ellenőrzése, ez vezet sebezhetőséghez.
A sebezhetőséget bárki kihasználhatja, aki HTTP POST lekéréseket tud küldeni az érintett webkiszolgálónak. Mind helyi, mind távoli felhasználók szerezhetnek így jogosulatlan hozzáférést a kiszolgálón, akár tűzfal mögött is.
A 32 bites IA platformokon (azaz Intel vagy AMD processzorú gépeken) a sebezhetőséget nem lehet kihasználni, ugyanis az architektúra felépítése (a stackek kiosztása) folytán ellenőrizhetetlen, hova kerül az inicializálatlan kódrész. Ennek eredményeként az IA32 platformon az nem fut le, viszont nagy valószínűséggel összeomlasztja a PHP-t, és gyakran a webkiszolgálót is.
A PHP csoport a sebezhetőség elhárítására új PHP verziót tett közre, és nyomatékosan felhívja a PHP 4.2.0 és 4.2.1 változatok használóit, hogy frissítsenek a hibát javító 4.2.2 változatra. Mind a forráskód, mind a windows telepítő, valamint a patchek letölthetőek a php.net oldalról, illetve magyarországi tükörszerverekről, a hu.php.net és a hu2.php.net címekről.
július 22
ablakokba adattöltés
Szeretnék 1 olyan dolgot +valósítani, amelybe több brózer ablak szerepel és az egyiből, ami a menü, a másik brózerablakba nyitom az oldalakat.
NEM frame kell...
Előre is köszi...
■ NEM frame kell...
Előre is köszi...
július 20
július 19
Blokkok "összecsukása, kinyitása"
Hal!
Nemtom mit csináltam de egyszer csak észre vettem, hogy nem lehet becsukni, elrejteni az 1es blokkokat (nincs ott az a kis plusz, minusz jel a blokk neve mellett). Mit csinálhattam rosszul? A hiba (már amennyiben ez hiba) un. globális mert egyik témában sem jelenik meg. Viszont ha egy új rendszert telepítek abban alapban benne van. Ezek szerint valahol kikapcsoltam ezt a funkciót csak azt nemtom, hogy hol.
Segítsetetek lécci!
Kösz, Pali
■ Nemtom mit csináltam de egyszer csak észre vettem, hogy nem lehet becsukni, elrejteni az 1es blokkokat (nincs ott az a kis plusz, minusz jel a blokk neve mellett). Mit csinálhattam rosszul? A hiba (már amennyiben ez hiba) un. globális mert egyik témában sem jelenik meg. Viszont ha egy új rendszert telepítek abban alapban benne van. Ezek szerint valahol kikapcsoltam ezt a funkciót csak azt nemtom, hogy hol.
Segítsetetek lécci!
Kösz, Pali
július 18
Képfeltöltés válogatós?
Azt tapasztaltam többféle PHP-s képfeltöltõ rutinnál (olyannál is, amelyik file-t hoz létre, meg olyannál is, ami MySQL táblába rakja a kép adatait), hogy akadnak képek, amelyeket valami titokzatos ok miatt nem hajlandó feltölteni, legalábbis nem elsõre (néha sokadszorra sem). Ha a kérdéses képet kicsit megszerkesztgetem valami képeditáló programban, a hiba többnyire szertefoszlik.
Találkoztatok már ezzel a problémával? Esetleg van valami tippetek, mi okozhatja?
■ Találkoztatok már ezzel a problémával? Esetleg van valami tippetek, mi okozhatja?
PN 714 telepítés
Megpróbáltam telepíteni a fent említett postnuke-ot. Az install.php a nyelv kérdéssel kezd, én válaszolok aztán nem lép tovább. Ilyenkor mi van?
■ július 17
Block modul hiba (?)
Fatal error: Cannot redeclare blocks_php_block() in /includes/blocks/php.php on line 44
Nos, ezt az üzenetet kaptam, amikor új blokkot szerettem volna az oldalunkhoz adni. Most upgradeletem a PostNuke 7.13-asra, és utánna már nem ment. Segítsen vki plíz! :o
■ Nos, ezt az üzenetet kaptam, amikor új blokkot szerettem volna az oldalunkhoz adni. Most upgradeletem a PostNuke 7.13-asra, és utánna már nem ment. Segítsen vki plíz! :o
PHP Weekly - 94.
A Zend szokásos heti hírlevelének 94. számából:
Kiegészítők függvényeinek elnevezése - egy rövid tipp a C alapú PHP kiegészítők reményteli fejlesztőinek: a függvények elnevezésének formátuma legyen modul_fuggvenynev vagy modul_fuggveny_nev. Ne használj nagybetűket az elnevezésben, mert a PHP abban az esetben nem fogja megfelelően regisztrálni a függvényt!
Zend 2 állapot, PHP 5.0 - Az elmúlt héten jónéhány kérdés felbukkant a listán a második Zend motor időzítésével kapcsolatban. Természetesen a fejlesztők - mint minden szoftver esetében - itt sem szívesen adnak meg egy biztos dátumot, de két alfa megjelenés után az általános nézőpont az, hogy valamikor a jövő év legelején készül majd el. Feltételezhetően ehhez kapcsolódva mutatkozik majd be az új PHP 5.0 is. Amint új információt kapunk, azonnal beszámolunk róla ezeken az oldalakon!
Kiegészítők függvényeinek elnevezése - egy rövid tipp a C alapú PHP kiegészítők reményteli fejlesztőinek: a függvények elnevezésének formátuma legyen modul_fuggvenynev vagy modul_fuggveny_nev. Ne használj nagybetűket az elnevezésben, mert a PHP abban az esetben nem fogja megfelelően regisztrálni a függvényt!
Zend 2 állapot, PHP 5.0 - Az elmúlt héten jónéhány kérdés felbukkant a listán a második Zend motor időzítésével kapcsolatban. Természetesen a fejlesztők - mint minden szoftver esetében - itt sem szívesen adnak meg egy biztos dátumot, de két alfa megjelenés után az általános nézőpont az, hogy valamikor a jövő év legelején készül majd el. Feltételezhetően ehhez kapcsolódva mutatkozik majd be az új PHP 5.0 is. Amint új információt kapunk, azonnal beszámolunk róla ezeken az oldalakon!
július 15
Kepek az adatbazisban
Hi !
A problemam az, hogy az adatbazisba sikeresen betoltottem a kepet, de kiolvasni mar nem sikerul. Tobb kodot is kiprobaltam mar ami masnak mukodott, de nekem 1ikse.
Xitami servert futtatok Windows alatt, a legutolso mysql serverrel, es 4.0.6os phpvel.
■ A problemam az, hogy az adatbazisba sikeresen betoltottem a kepet, de kiolvasni mar nem sikerul. Tobb kodot is kiprobaltam mar ami masnak mukodott, de nekem 1ikse.
Xitami servert futtatok Windows alatt, a legutolso mysql serverrel, es 4.0.6os phpvel.
