PHP Weekly - 96.
A Zend szokásos heti hírlevelének 96. számából:
4.2.x biztonsági problémák - Sebezhető pontot találtak mind a 4.2.0-ás, mind a 4.2.1-es PHP-ben, amely lehetővé teszi a támadó számára tetszőleges kód futtatását a kiszolgálón. A lyuk a PHP HTTP_POST funkciójában található. A probléma megoldására azonnal új PHP verziót tettek közzé, amely egyszerűen egy biztonságossá tett 4.2.1, új funkciók nem kerültek bele. A sebezhetőség részletesebb megértéséhez a hivatalos weboldal, vagy a felfedező e-matters honlapja nyújt segítséget. A 4.2.2 a szokásos helyekről tölthető le.
A kézikönyv fordítása szlovák/cseh, svéd és holland nyelvekre - több önkéntes is jelentkezett már a listán azzal a szándékkal, hogy ezekre a nyelvekre fordítsák a PHP kézikönyvet. Ha valaki folyékonyan beszéli az angol mellett ezek valamelyikét, szívesen látják a jelentkezőket!
A 4.3.0 kiadásának folyamata - Stig Bakken hivatalosan elindította a 4.3.0 kiadásának folyamatát. Arról is döntés született, hogy a 4.2.3-as kiadás kimarad a 4.3.X előnyére, időszűke miatt. Körülbelül 10 fontos változtatás várható az új kiadásban, ezek közül sokat teljesítettek már, a Minőségbiztosítási Csoport "akciójától" függetlenül.
Emellett tervek készültek SAPI-specifikus .ini fájlok építésére is. Ha valaki például parancssoros módban futtatja a PHP-t, a PHP induláskor először a php-cli.ini fájlt keresi majd. Ha nem találja, akkor fordul az alapértelmezett php.ini-hez. Ez az újdonság kisebb, rugalmasabb .ini fájlokat jelent, a különböző célokra optimalizálva.
A kiadás folyamatáról a jövő héten várhatóan többet is hallhatunk majd.
Hibacsomagok - A Derick Rethans által összeállított 51 csomagból 28 kijavítására már akadt jelentkező. Ez azt jelenti, hogy még 23-ból lehet választani - ha valaki szeretne besegíteni a hibák javításában, írjon a listára, hogy még gyorsabban elérhessük a 4.3.0-t.
www.php.net - Amíg mindenki rohant, hogy letöltse a fent említett biztonsági javítást, a PHP honlap egyre jobban közelített a túlterheltség okozta leállás felé. Jelenleg azt elemzik, mit kell tenni, hogy ez ne történhessen meg újra. Ez valószínűleg a letöltések automatikus átirányítását jelenti tükörszerverekre. Persze sávszélességre vagy tárhelyre vonatkozó ajánlatokat is mindig szívesen fogadnak a listán.
OpenSSL funkciók - Arkadiusz Góralski készítette el a patchet a következő új funkciókkal az OpenSSL kiegészítő számára. Ezek mind a bizonyítványhitelesítő kérésekkel (Certificate Signing Requests) kapcsolatosak:
openssl_csr_file_verify
openssl_csr_verify
openssl_csr_parse
openssl_csr_get_public
Emellett az openssl_pkcs7_verify függvényt úgy módosította, hogy az a DER és PEM formátumokat is elfogadja. A javítás nagy valószínűséggel része lesz a 4.3.0-nak.
RPC kiegészítő - Harald Radi bejelentette RPC (remote procedure calls) absztrakciós felületét a Zend Engine számára. Harald üzenete szerint az új kiegészítő a következő tulajdonságokat tudja:
referenciaszámlálás,
példánytárolás (tartós példányok)
valós egyedek (csak egyetlen példány (újra)felhasználása)
egyebek
Többet később, a munka előrehaladtával.
PECL disztribúció - egy csoportnyi PHP fejlesztő nagyon egyszerű, ugyanakkor elegáns megoldást javasolt a C alapú PHP kiegészítők telepítésére a PECL gyűjteményből.
Röviden összefoglalva, a PHP Csoport elkészít majd egy hitelesítő sémát, amely lehetővé teszi a fejlesztők és végfelhasználók számára, hogy megkülönböztethessék a megbízható kiegészítőket. A letöltéskezelő eszköz pedig vagy visszautasítja a hitelesítetlen kódot, vagy helyette megfelelőt telepít.
Az ajánlatot érdemes elolvasni, Marko Karppinen üzenetében található.
Ennyit mára a tudomány és technika újdonságaiból...
■ 4.2.x biztonsági problémák - Sebezhető pontot találtak mind a 4.2.0-ás, mind a 4.2.1-es PHP-ben, amely lehetővé teszi a támadó számára tetszőleges kód futtatását a kiszolgálón. A lyuk a PHP HTTP_POST funkciójában található. A probléma megoldására azonnal új PHP verziót tettek közzé, amely egyszerűen egy biztonságossá tett 4.2.1, új funkciók nem kerültek bele. A sebezhetőség részletesebb megértéséhez a hivatalos weboldal, vagy a felfedező e-matters honlapja nyújt segítséget. A 4.2.2 a szokásos helyekről tölthető le.
A kézikönyv fordítása szlovák/cseh, svéd és holland nyelvekre - több önkéntes is jelentkezett már a listán azzal a szándékkal, hogy ezekre a nyelvekre fordítsák a PHP kézikönyvet. Ha valaki folyékonyan beszéli az angol mellett ezek valamelyikét, szívesen látják a jelentkezőket!
A 4.3.0 kiadásának folyamata - Stig Bakken hivatalosan elindította a 4.3.0 kiadásának folyamatát. Arról is döntés született, hogy a 4.2.3-as kiadás kimarad a 4.3.X előnyére, időszűke miatt. Körülbelül 10 fontos változtatás várható az új kiadásban, ezek közül sokat teljesítettek már, a Minőségbiztosítási Csoport "akciójától" függetlenül.
Emellett tervek készültek SAPI-specifikus .ini fájlok építésére is. Ha valaki például parancssoros módban futtatja a PHP-t, a PHP induláskor először a php-cli.ini fájlt keresi majd. Ha nem találja, akkor fordul az alapértelmezett php.ini-hez. Ez az újdonság kisebb, rugalmasabb .ini fájlokat jelent, a különböző célokra optimalizálva.
A kiadás folyamatáról a jövő héten várhatóan többet is hallhatunk majd.
Hibacsomagok - A Derick Rethans által összeállított 51 csomagból 28 kijavítására már akadt jelentkező. Ez azt jelenti, hogy még 23-ból lehet választani - ha valaki szeretne besegíteni a hibák javításában, írjon a listára, hogy még gyorsabban elérhessük a 4.3.0-t.
www.php.net - Amíg mindenki rohant, hogy letöltse a fent említett biztonsági javítást, a PHP honlap egyre jobban közelített a túlterheltség okozta leállás felé. Jelenleg azt elemzik, mit kell tenni, hogy ez ne történhessen meg újra. Ez valószínűleg a letöltések automatikus átirányítását jelenti tükörszerverekre. Persze sávszélességre vagy tárhelyre vonatkozó ajánlatokat is mindig szívesen fogadnak a listán.
OpenSSL funkciók - Arkadiusz Góralski készítette el a patchet a következő új funkciókkal az OpenSSL kiegészítő számára. Ezek mind a bizonyítványhitelesítő kérésekkel (Certificate Signing Requests) kapcsolatosak:
openssl_csr_file_verify
openssl_csr_verify
openssl_csr_parse
openssl_csr_get_public
Emellett az openssl_pkcs7_verify függvényt úgy módosította, hogy az a DER és PEM formátumokat is elfogadja. A javítás nagy valószínűséggel része lesz a 4.3.0-nak.
RPC kiegészítő - Harald Radi bejelentette RPC (remote procedure calls) absztrakciós felületét a Zend Engine számára. Harald üzenete szerint az új kiegészítő a következő tulajdonságokat tudja:
referenciaszámlálás,
példánytárolás (tartós példányok)
valós egyedek (csak egyetlen példány (újra)felhasználása)
egyebek
Többet később, a munka előrehaladtával.
PECL disztribúció - egy csoportnyi PHP fejlesztő nagyon egyszerű, ugyanakkor elegáns megoldást javasolt a C alapú PHP kiegészítők telepítésére a PECL gyűjteményből.
Röviden összefoglalva, a PHP Csoport elkészít majd egy hitelesítő sémát, amely lehetővé teszi a fejlesztők és végfelhasználók számára, hogy megkülönböztethessék a megbízható kiegészítőket. A letöltéskezelő eszköz pedig vagy visszautasítja a hitelesítetlen kódot, vagy helyette megfelelőt telepít.
Az ajánlatot érdemes elolvasni, Marko Karppinen üzenetében található.
Ennyit mára a tudomány és technika újdonságaiból...
