Archívum - Blog bejegyzés
július 23, 2002
PHP 4.2.2 - fontos biztonsági javítás!
Közlemény kibocsátva: 2002. július 22.
Érintett szoftverek: PHP 4.2.0 és 4.2.1
Platformok: Mind
A PHP Csoport komoly biztonsági sebezhetőségre bukkant a PHP 4.2.0 és 4.2.1 változatokban, amely eredményeként egy behatoló akár tetszőleges kódot is futtathat a webkiszolgáló jogosultságaival. A sebezhetőséget a webkiszolgáló kompromittálására, illetve bizonyos körülmények között jogosultságok megszerzésére is kihasználhatják illetéktelenek.
A PHP intelligens módon elemzi a HTTP POST lekérések fejléceit. A kód a böngésző által küldött "multipart/form-data" lekérések változóit és fájljait választja szét, ám hiányos a bemeneti ellenőrzése, ez vezet sebezhetőséghez.
A sebezhetőséget bárki kihasználhatja, aki HTTP POST lekéréseket tud küldeni az érintett webkiszolgálónak. Mind helyi, mind távoli felhasználók szerezhetnek így jogosulatlan hozzáférést a kiszolgálón, akár tűzfal mögött is.
A 32 bites IA platformokon (azaz Intel vagy AMD processzorú gépeken) a sebezhetőséget nem lehet kihasználni, ugyanis az architektúra felépítése (a stackek kiosztása) folytán ellenőrizhetetlen, hova kerül az inicializálatlan kódrész. Ennek eredményeként az IA32 platformon az nem fut le, viszont nagy valószínűséggel összeomlasztja a PHP-t, és gyakran a webkiszolgálót is.
A PHP csoport a sebezhetőség elhárítására új PHP verziót tett közre, és nyomatékosan felhívja a PHP 4.2.0 és 4.2.1 változatok használóit, hogy frissítsenek a hibát javító 4.2.2 változatra. Mind a forráskód, mind a windows telepítő, valamint a patchek letölthetőek a php.net oldalról, illetve magyarországi tükörszerverekről, a hu.php.net és a hu2.php.net címekről.
Érintett szoftverek: PHP 4.2.0 és 4.2.1
Platformok: Mind
A PHP Csoport komoly biztonsági sebezhetőségre bukkant a PHP 4.2.0 és 4.2.1 változatokban, amely eredményeként egy behatoló akár tetszőleges kódot is futtathat a webkiszolgáló jogosultságaival. A sebezhetőséget a webkiszolgáló kompromittálására, illetve bizonyos körülmények között jogosultságok megszerzésére is kihasználhatják illetéktelenek.
A PHP intelligens módon elemzi a HTTP POST lekérések fejléceit. A kód a böngésző által küldött "multipart/form-data" lekérések változóit és fájljait választja szét, ám hiányos a bemeneti ellenőrzése, ez vezet sebezhetőséghez.
A sebezhetőséget bárki kihasználhatja, aki HTTP POST lekéréseket tud küldeni az érintett webkiszolgálónak. Mind helyi, mind távoli felhasználók szerezhetnek így jogosulatlan hozzáférést a kiszolgálón, akár tűzfal mögött is.
A 32 bites IA platformokon (azaz Intel vagy AMD processzorú gépeken) a sebezhetőséget nem lehet kihasználni, ugyanis az architektúra felépítése (a stackek kiosztása) folytán ellenőrizhetetlen, hova kerül az inicializálatlan kódrész. Ennek eredményeként az IA32 platformon az nem fut le, viszont nagy valószínűséggel összeomlasztja a PHP-t, és gyakran a webkiszolgálót is.
A PHP csoport a sebezhetőség elhárítására új PHP verziót tett közre, és nyomatékosan felhívja a PHP 4.2.0 és 4.2.1 változatok használóit, hogy frissítsenek a hibát javító 4.2.2 változatra. Mind a forráskód, mind a windows telepítő, valamint a patchek letölthetőek a php.net oldalról, illetve magyarországi tükörszerverekről, a hu.php.net és a hu2.php.net címekről.
július 16
PHP Weekly - 94.
A Zend szokásos heti hírlevelének 94. számából:
Kiegészítők függvényeinek elnevezése - egy rövid tipp a C alapú PHP kiegészítők reményteli fejlesztőinek: a függvények elnevezésének formátuma legyen modul_fuggvenynev vagy modul_fuggveny_nev. Ne használj nagybetűket az elnevezésben, mert a PHP abban az esetben nem fogja megfelelően regisztrálni a függvényt!
Zend 2 állapot, PHP 5.0 - Az elmúlt héten jónéhány kérdés felbukkant a listán a második Zend motor időzítésével kapcsolatban. Természetesen a fejlesztők - mint minden szoftver esetében - itt sem szívesen adnak meg egy biztos dátumot, de két alfa megjelenés után az általános nézőpont az, hogy valamikor a jövő év legelején készül majd el. Feltételezhetően ehhez kapcsolódva mutatkozik majd be az új PHP 5.0 is. Amint új információt kapunk, azonnal beszámolunk róla ezeken az oldalakon!
Kiegészítők függvényeinek elnevezése - egy rövid tipp a C alapú PHP kiegészítők reményteli fejlesztőinek: a függvények elnevezésének formátuma legyen modul_fuggvenynev vagy modul_fuggveny_nev. Ne használj nagybetűket az elnevezésben, mert a PHP abban az esetben nem fogja megfelelően regisztrálni a függvényt!
Zend 2 állapot, PHP 5.0 - Az elmúlt héten jónéhány kérdés felbukkant a listán a második Zend motor időzítésével kapcsolatban. Természetesen a fejlesztők - mint minden szoftver esetében - itt sem szívesen adnak meg egy biztos dátumot, de két alfa megjelenés után az általános nézőpont az, hogy valamikor a jövő év legelején készül majd el. Feltételezhetően ehhez kapcsolódva mutatkozik majd be az új PHP 5.0 is. Amint új információt kapunk, azonnal beszámolunk róla ezeken az oldalakon!
július 12
július 9
PHP Weekly - 88.
Még egy jócskán elkésett Zend hírlevél mára...
Archív hírlevél, június 3.-án jelent meg, csupán akkor elmaradtam a fordításával.
Hibavadászat - gratulációk a PHP Minőségbiztosítási csoportnak! Míg a levelezőlista forgalma minden rekordot megdöntő alacsony szintre süllyedt, a QA tagok alaposan felforgatták a hibajelentő rendszert a téves bejelentések törlése érdekében. Úgy tűnik, hogy néhány száz hibás, téves bejelentést sikerült törölni, ami kétségkívül nagyban megkönnyíti a többi fejlesztő munkáját.
Csatolt XML - a PHP fejlesztői levelezőlista forgalmának legnagyobb részét ezen a héten az XML téma alkotta, nevezetesen, hogy mennyire fontos az XML a PHP szempontjából, valamint hogy a libxml könyvtár a PHP nyelv részeként belekerüljön-e a jövőbeli kiadásokba.
Könnyen igazolható, hogy miért jó, ha a libxml a PHP része - azt jelentené, hogy az XML szabványok (lásd a fenti linket) nagyobb része lenne a PHP-n belülről elérhető. A fejlesztők új kiegészítők írásánál mindig támaszkodhatnának arra a jelenlévő XML funkcionalitásra, anélkül, hogy extra könyvtárak meglétét kellene ellenőrizniük. Mindez végüli egyszerűbb telepítési folyamatot jelentene mindazoknak a végfelhasználóknak, akik szeretnék az XML-t, de nem kérnek a külső kód PHP-be történő fordításának gondjaiból.
A MySQL-t hozták fel annak példájaként, hogy egy jól csomagol kiegészítő és könyvtár egyszerűen csak "működik".
Míg a legtöbb fejlesztő pozitívan viszonyult az ötlethez, sokan aggódtak a könyvtár extra mérete miatt, és amiatt, hogyan lehet azt szinkronban tartani a "hivatalos, legutolsó, stabil változattal".
Végül még nem született meg a végső megegyezés, talán a jövő héten többet hallunk még erről a témáról.
Archív hírlevél, június 3.-án jelent meg, csupán akkor elmaradtam a fordításával.
Hibavadászat - gratulációk a PHP Minőségbiztosítási csoportnak! Míg a levelezőlista forgalma minden rekordot megdöntő alacsony szintre süllyedt, a QA tagok alaposan felforgatták a hibajelentő rendszert a téves bejelentések törlése érdekében. Úgy tűnik, hogy néhány száz hibás, téves bejelentést sikerült törölni, ami kétségkívül nagyban megkönnyíti a többi fejlesztő munkáját.
Csatolt XML - a PHP fejlesztői levelezőlista forgalmának legnagyobb részét ezen a héten az XML téma alkotta, nevezetesen, hogy mennyire fontos az XML a PHP szempontjából, valamint hogy a libxml könyvtár a PHP nyelv részeként belekerüljön-e a jövőbeli kiadásokba.
Könnyen igazolható, hogy miért jó, ha a libxml a PHP része - azt jelentené, hogy az XML szabványok (lásd a fenti linket) nagyobb része lenne a PHP-n belülről elérhető. A fejlesztők új kiegészítők írásánál mindig támaszkodhatnának arra a jelenlévő XML funkcionalitásra, anélkül, hogy extra könyvtárak meglétét kellene ellenőrizniük. Mindez végüli egyszerűbb telepítési folyamatot jelentene mindazoknak a végfelhasználóknak, akik szeretnék az XML-t, de nem kérnek a külső kód PHP-be történő fordításának gondjaiból.
A MySQL-t hozták fel annak példájaként, hogy egy jól csomagol kiegészítő és könyvtár egyszerűen csak "működik".
Míg a legtöbb fejlesztő pozitívan viszonyult az ötlethez, sokan aggódtak a könyvtár extra mérete miatt, és amiatt, hogyan lehet azt szinkronban tartani a "hivatalos, legutolsó, stabil változattal".
Végül még nem született meg a végső megegyezés, talán a jövő héten többet hallunk még erről a témáról.
PHP Weekly - 87.
Archív hírlevél, május 27-én jelent meg, csupán akkor elmaradtam a fordításával.
msession beta 4 - bejelentették az msession kiegészítő negyedik (utolsó?) bétáját. Egy nagy csomó új és izgalmas tulajdonság került bele ebbe a kiadásba, így ha valaki a PHP-t több gépen elosztva akarja futtatni, érdemes lehet kipróbálnia a msessiont.
Wez Furlong szabadságon - 10 napig szabin lesz, de azért megadta elérhetőségét. Jó pihenést!
msession beta 4 - bejelentették az msession kiegészítő negyedik (utolsó?) bétáját. Egy nagy csomó új és izgalmas tulajdonság került bele ebbe a kiadásba, így ha valaki a PHP-t több gépen elosztva akarja futtatni, érdemes lehet kipróbálnia a msessiont.
Wez Furlong szabadságon - 10 napig szabin lesz, de azért megadta elérhetőségét. Jó pihenést!
PHP Weekly - 93.
A Zend szokásos heti hírlevelének 93. számából:
Python a PHP-ben (PiP) - a PHP egyik fejlesztője, és a levelezőlista rendszeres hozzászólója, Jon Parise egy igen érdekes új kiegészítőt tett közzé, amely lehetővé teszi Python kód használatát PHP alatt. Habár egyelőre csak az elképzelés megvalósíthatóságának bizonyítási fázisában van, a kiegészítő működik, és Jon tesztelőket és visszajelzéseket vár. Honlapja a http://www.csh.rit.edu/~jon/projects/pip/ címen számos példát és linket tartalmaz, valamint természetesen innen tölthető le maga a kiegészítő is. Kérjük, vegyétek figyelembe, hogy egyelőre nem készült még hozzá config.m4 fájl, azaz a fordítása a Visual C++ for Windows kivételével minden egyéb fordítóval picinyég nehézkes.
Bemutatórendszer - amint ígérte, Rasmus Lerdorf átdolgozta neves bemutatórendszerét, amely sokkal letisztultabbá és modulárissá vált, valamint XML-t használ a képek (diák) absztrakt de használható kezelésére. Az élő demó a http://pres.lerdorf.com/ címen található, jelenleg legalább 1.0-s Mozillát és Flash 5-öt követel, az Internet Explorert nem támogatja. A README fájl elejét, az XML formátum példáit, valamint Rasmusnak a levelezőlistára írt üzenetének érdekesebb technikai részleteit tartalmazza.
Python a PHP-ben (PiP) - a PHP egyik fejlesztője, és a levelezőlista rendszeres hozzászólója, Jon Parise egy igen érdekes új kiegészítőt tett közzé, amely lehetővé teszi Python kód használatát PHP alatt. Habár egyelőre csak az elképzelés megvalósíthatóságának bizonyítási fázisában van, a kiegészítő működik, és Jon tesztelőket és visszajelzéseket vár. Honlapja a http://www.csh.rit.edu/~jon/projects/pip/ címen számos példát és linket tartalmaz, valamint természetesen innen tölthető le maga a kiegészítő is. Kérjük, vegyétek figyelembe, hogy egyelőre nem készült még hozzá config.m4 fájl, azaz a fordítása a Visual C++ for Windows kivételével minden egyéb fordítóval picinyég nehézkes.
Bemutatórendszer - amint ígérte, Rasmus Lerdorf átdolgozta neves bemutatórendszerét, amely sokkal letisztultabbá és modulárissá vált, valamint XML-t használ a képek (diák) absztrakt de használható kezelésére. Az élő demó a http://pres.lerdorf.com/ címen található, jelenleg legalább 1.0-s Mozillát és Flash 5-öt követel, az Internet Explorert nem támogatja. A README fájl elejét, az XML formátum példáit, valamint Rasmusnak a levelezőlistára írt üzenetének érdekesebb technikai részleteit tartalmazza.
június 23
Szomorú eset
Döbbenten olvastam a cikket a PostNuke.com-on, miszerint Greg Allan (Adam_Baum), a PN egyik alapítója és "core" fejlesztője június 16-án egy motorbalesetben életét vesztette, hátrahagyva szüleit, feleségét, 2 gyerekét és a kutyáját...
■ június 15
május 27
Magyar Portál
Nemrég elindult a phpinfón egy mozgalom magyar php-s portál fejlesztésére. Juhi nevű felhasználónk el is kezdte az egész szervezését. A magyar php-s portál feljlesztésének készített egy honlapot http://webtools.freeweb.hu/ címen. Érdemes megnézni, egyelőre elég kevés a tartalom de nagyon jó kezdeményezés!
■ május 22
Újra működik a fórum!
A gondot (elmondom, hátha másnak is problémát okoz ez,) az okozta, hogy a frissítés során az XForum telepítője nem változtatta meg a
A hiba javítva, a fórum egyben frissítve 1.81-re (amelynek telepítője ismét nem ellenőrzi a mező hosszát :( ).
Robi
■ nuke_XForum_members adatbázistáblában a Password, azaz jelszó mező lehetséges hosszát 18-ról 40 karakterre, így a (most már) megfelelően kódolt jelszó egyszerűen nem fért el a mezőben, azaz a fórum (teljesen helyesen) hibát jelzett.A hiba javítva, a fórum egyben frissítve 1.81-re (amelynek telepítője ismét nem ellenőrzi a mező hosszát :( ).
Robi
