Stuccate diverse falle in PHP

Il team di sviluppo di PHP ha reso disponibili due nuove versioni del celebre linguaggio che correggono diverse falle di sicurezza, tra cui alcune particolarmente rischiose

Roma - La comunità di sviluppatori del noto linguaggio di scripting open source PHP ha corretto nei giorni scorsi alcune vulnerabilità di sicurezza, tra cui alcune descritte come "davvero serie".

"Raccomandiamo vivamente a tutti gli utenti di installare una delle release aggiornate di PHP non appena possibile", si legge in un advisory di PHP Group.

Fra le vulnerabilità corrette dai nuovi aggiornamenti la più seria riguarda un bug contenuto all'interno di una funzione utilizzata per comprimere i dati da archiviare. Un aggressore potrebbe sfruttare la falla per compromettere, ed eventualmente prendere il controllo, di un server web su cui giri una versione vulnerabile di PHP.
Un advisory dettagliato su questa e le altre vulnerabilità di PHP si trova qui. Le versioni aggiornate di PHP in cui sono stati corretti tutti i più recenti problemi di sicurezza sono la 4.3.10 e la 5.0.3, entrambe scaricabili da PHP.net. Alcuni suggerimenti su come rendere più sicure le installazioni del linguaggio sono state pubblicate da SANS Institute qui.

PHP è divenuto nel tempo uno dei prodotti open source più utilizzati per la costruzione dei siti web, specie in associazione con altri software aperti come Linux e il server web Apache.
38 Commenti alla Notizia Stuccate diverse falle in PHP
Ordina
  • Ma OSX è affetto dalle vulnerabilità? non mi sembra...
    http://secunia.com/advisories/13481/
    e che cosa si intende nello specifico con:
    "Successful exploitation requires that PHP runs on a multi-threaded Unix web server"
    non+autenticato
  • Erano anni che aspettavo che finalmente trovassero un bug in quel sistema di sviluppo ed eccolo qui.
    Non e' possibile che ce' ne siano a bizzeffe in strumenti creati da professionisti ed in questo software non se ne trovi uno.

    non+autenticato

  • - Scritto da: Anonimo
    > Erano anni che aspettavo che finalmente
    > trovassero un bug in quel sistema di
    > sviluppo ed eccolo qui.
    > Non e' possibile che ce' ne siano a bizzeffe
    > in strumenti creati da professionisti ed in
    > questo software non se ne trovi uno.
    >

    lol... tu hai aspettato anni per trovare un bug in php, per trovare un bug in asp dot not e roba simile ci metti qualche secondo

    > Non e' possibile che ce' ne siano a bizzeffe
    oltre alla tua ignoranza sul software vedo che hai anche carenze grammaticali.. ce' ne siano?
    non+autenticato
  • - Scritto da: Anonimo
    > Erano anni che aspettavo che finalmente
    > trovassero un bug in quel sistema di
    > sviluppo ed eccolo qui.
    > Non e' possibile che ce' ne siano a bizzeffe
    > in strumenti creati da professionisti ed in
    > questo software non se ne trovi uno.

    Pensa che tristezza la tua vita, sei un invidioso patetico.

    Anzichè apprezzare quella o questa tecnologia/linguaggio, imparare ad usarli stai a lì a gufare perchè escano bug in quella che ti sta antipatica, come se fosse la tua squadra di calcio.

    Che tristezza
    non+autenticato
  • Il php ha il vantaggio, decisamente notevole, di essere di immediato apprendimento.

    Peccato che il supporto alla programmazione ad oggetti sia ancora in uno stadio iniziale, speriamo nella versione 5.
    Per il momento mi trovo molto bene con il linguaggio python.

    Per quanto riguarda i bugs mi stavo chiedendo come mai non se ne trovassero, mentre su sistemi di sviluppo "professionali" se ne trovano piu' di uno alla settimana.

    Forse questo rendera' il php piu'.... "professionale"A bocca apertaA bocca aperta
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Per quanto riguarda i bugs mi stavo
    > chiedendo come mai non se ne trovassero,
    > mentre su sistemi di sviluppo
    > "professionali" se ne trovano piu' di uno
    > alla settimana.
    >

    certo che se per te i bugs sono solo quelli che pubblica punto-informatico... allora siamo messi proprio male

    guarda qui e... tieniti forte:

    http://secunia.com/search/?search=php
    non+autenticato
  • lo zend engine al momento è ridicolo per quel che riguarda sicurezza e prestazioni. Codice scandaloso.
    Consiglio la lettura di questo piccolo thread:
    http://www.wup.it/article.php?sid=6864


    Molto meglio ruby (rails) e python (cherrypy)
    non+autenticato
  • > lo zend engine al momento è ridicolo
    > per quel che riguarda sicurezza e
    > prestazioni. Codice scandaloso.
    > Consiglio la lettura di questo piccolo
    > thread:
    > www.wup.it/article.php?sid=6864

    :DA bocca apertaA bocca aperta

    Ha si davvero divertente un forum di smanettoni quasi a livello di quelli che si trovano qui.A bocca apertaA bocca aperta

    >
    > Molto meglio ruby (rails) e python (cherrypy)
    >
    Preferisco anch'io python ma gli hosting sono pochi e quelli per zope sono pietosi.


    non+autenticato

  • - Scritto da: Anonimo
    > Peccato che il supporto alla programmazione
    > ad oggetti sia ancora in uno stadio
    > iniziale, speriamo nella versione 5.

    Programmazione ad oggetti ed open source non vanno d'accordo.

    Molti sostenitori dell'open source ce l'hanno con la programmazione ad oggeti perché la ritengono fallata o cavallo di troia per bloccare l'innovazione.

    La realtà è che non l'hanno capita ma... vaglielo a spiegare.

    > Per il momento mi trovo molto bene con il
    > linguaggio python.

    Sì sì ma sono tutti script!!!!

    > Per quanto riguarda i bugs mi stavo
    > chiedendo come mai non se ne trovassero,
    > mentre su sistemi di sviluppo
    > "professionali" se ne trovano piu' di uno
    > alla settimana.
    >
    > Forse questo rendera' il php piu'....
    > "professionale"A bocca apertaA bocca aperta

    Forse perché i sistemi di sviluppo sono "professionali" e la gente ci lavora invece che giocare.
    non+autenticato
  • > Molti sostenitori dell'open source ce
    > l'hanno con la programmazione ad oggeti
    > perché la ritengono fallata o cavallo
    > di troia per bloccare l'innovazione.

    Infatti python si basa sugli oggetti ed e' open source.

    > > Per il momento mi trovo molto bene con
    > il
    > > linguaggio python.
    >
    > Sì sì ma sono tutti script!!!!

    No e' possibile compilare, oppure utilizzare pyc allo stesso modo di java.

    > Forse perché i sistemi di sviluppo
    > sono "professionali" e la gente ci lavora
    > invece che giocare.

    Diciamo che ci fa i soldi piu' che lavorare.
    non+autenticato
  • Purtroppo in PHP ci sono troppi "spaghettari" della domenica... e se non si rinnoverà sul serio, rischierà di fare la fine del clipper...
    non+autenticato
  • - Scritto da: Anonimo
    > Purtroppo in PHP ci sono troppi
    > "spaghettari" della domenica... e se non si
    > rinnoverà sul serio, rischierà
    > di fare la fine del clipper...
    Commento molto inerente, visto che il php non è certo un linguaggio ad oggetti (supporta gli oggetti, ma non si basa sugli oggetti)...
    Lascio da parte le discussioni sulla bontà del C#, che mi sembrano del tutto fuori luogo...
    non+autenticato
  • > Purtroppo in PHP ci sono troppi
    > "spaghettari" della domenica... e se non si
    > rinnoverà sul serio, rischierà
    > di fare la fine del clipper...

    Ricordo che il clipper ha risistito parecchio anche dopo la comparsi di OS a finestre.

    Forse per la complessita' di utilizzo delle api di windows, tanto tempo perso solo per creare finestrelle che alla fine rallentavano il lavoro di inserimento e consultazione dati del gestionale.

    Poi la borland ha inglobato queste api con oggetti, piu' o meno stabili, in delphi ed e' stato necessario il passaggio all'utilizzo delle finestre.

    Non credo che si sia stato un reale vantaggio per l'utente, certo la grafica risultava piu' carina e l'utilizzo del mouse, poteva semplificare il lavoro di inserimento dati ma alla lunga l'utilizzo dei "tasti scorciatoia" si riconfermava il metodo piu' veloce per fare le cose.

    Anche l'M$ si e' accorta che semplificando le cose, almeno in apperanza, si allargava il bacino di utenza, C# e' alquanto semplice e ci sono parecchie cose gia' pronte da proporre al cliente come incredibili novita', questo attirera' molti nuovi clienti per il sistema di sviluppo M$ sopratutto programmatori dell'ultimo minuto attirati dalla "semplicita' "
    non+autenticato
  • - Scritto da: Anonimo
    > Purtroppo in PHP ci sono troppi
    > "spaghettari" della domenica... e se non si
    > rinnoverà sul serio, rischierà
    > di fare la fine del clipper...

    Php, sebbene supporti gli oggetti, non è nato per quello. E' soprattutto un linguaggio di scripting lato server. E' paragonabile ad asp, tuttalpiù, rispetto al quale può fare una infinita' di cose (puoi usare le porte seriali con asp? Non credo. Con php si)

    C# è "paragonabile" a Java. Dal quale ha preso molto, del resto.
    non+autenticato
  • visto che ASP.NET è c#, direi che questo commento è ben poco utile.

    non+autenticato


  • - Scritto da: Anonimo
    > Purtroppo in PHP ci sono troppi
    > "spaghettari" della domenica... e se non si
    > rinnoverà sul serio, rischierà
    > di fare la fine del clipper...

    dal tuo commento si evince che tu sei il Re degli "spaghettari"

    vedo che hai colto in pieno le differenze tra PHP e C# bravo
    non+autenticato
  • certo, c# è vera oo, e php è un linguaggio enterprise.
    Piantatela di farvi fregare da marketing e dal sentito dire.

    non+autenticato
  • cioè ora C# non è orientato agli oggetti?
    non+autenticato
  • non del tutto.
    Se non hai mai usato un linguaggio davvero OO (Eiffel, Smalltalk, Self, ruby) è difficile riuscire a capirlo, se lo hai fatto è talmente lampante che fa male agli occhi.
    non+autenticato
  • I prodotti gratis open source sono troppo scadenti e le patch ritardano parecchio (non credete più alle leggende delle patches istantanee... sono solo vecchie bufale)...

    usate solo software proprietario e se proprio ci tenete, chiedete pure la vista dei sorgenti... ma non fidatevi per favore degli anonimi del linux world.
    non+autenticato
  • se non imparate l'uso dei prodotti open source finirete fuori mercato.
    non+autenticato

  • - Scritto da: Anonimo
    > se non imparate l'uso dei prodotti open
    > source finirete fuori mercato.

    prima però bisogna aspettare che il mercato si accorga dell'open sourceA bocca aperta
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > se non imparate l'uso dei prodotti open
    > > source finirete fuori mercato.
    >
    > prima però bisogna aspettare che il
    > mercato si accorga dell'open sourceA bocca aperta

    In realtà sembra che se ne sia già accorto...

    http://news.netcraft.com/archives/web_server_surve...
    non+autenticato
  • > In realtà sembra che se ne sia
    > già accorto...
    >
    > news.netcraft.com/archives/web_server_survey.
    Ottimo almeno si smettera di parlare di monopolio
    che evidentemente non esiste più.
    non+autenticato

  • - Scritto da: Anonimo
    > > In realtà sembra che se ne sia
    > > già accorto...
    > >
    > >
    > news.netcraft.com/archives/web_server_survey.
    > Ottimo almeno si smettera di parlare di
    > monopolio

    te lo scordi

    quelle statistiche si rifderiscono ai server

    il monopolio sul desktop c'è; eccome

    e le denunce contro il monopolio continueranno a fioccare
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > > In realtà sembra che se ne
    > sia
    > > > già accorto...
    > > >
    > > >
    > >
    > news.netcraft.com/archives/web_server_survey.
    > > Ottimo almeno si smettera di parlare di
    > > monopolio
    >
    > te lo scordi
    >
    > quelle statistiche si rifderiscono ai server
    >
    > il monopolio sul desktop c'è; eccome
    >
    > e le denunce contro il monopolio
    > continueranno a fioccare

    beh, allora vuol dire apache ha il monopolio dei server web e va terminato
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > - Scritto da: Anonimo
    > > > > In realtà sembra che
    > se ne
    > > sia
    > > > > già accorto...
    > > > >
    > > > >
    > > >
    > >
    > news.netcraft.com/archives/web_server_survey.
    > > > Ottimo almeno si smettera di
    > parlare di
    > > > monopolio
    > >
    > > te lo scordi
    > >
    > > quelle statistiche si rifderiscono ai
    > server
    > >
    > > il monopolio sul desktop c'è;
    > eccome
    > >
    > > e le denunce contro il monopolio
    > > continueranno a fioccare
    >
    > beh, allora vuol dire apache ha il monopolio
    > dei server web e va terminato

    no, perché
    1) non appartiene ad una società privata
    2) non è installato di default da nessuna parte
    3) si può disinstallare con un comando e il SO continua a funzionare
    4) non costa nulla
    non+autenticato

  • - Scritto da: Anonimo
    >
    > no, perché
    > 1) non appartiene ad una società
    > privata

    ho capito, allora IE è cattivo perchè è un prodotto proprietario

    > 2) non è installato di default da
    > nessuna parte

    se installi una distro qualsiasi, anche mozilla è di default

    > 3) si può disinstallare con un
    > comando e il SO continua a funzionare

    con il service 1 di XP e il SP3 di windows 2000 è possibile disabilitarlo per far largo a mozilla e company...

    è ovvio che non puoi cancellarlo giacchè IE ed explorer sono la stessa cosa per il 99% della GUI.

    te queste cose non le sai perchè sei un linaro

    > 4) non costa nulla

    ancora peggio... questa è concorrenza sleale bella e buona...

    se berlusconi si mettesse a regalare pane a tutti (ne avrebbe pure le risorse), sarebbe corretto secondo te?
    non+autenticato
  • > - Scritto da: Anonimo
    > > no, perché
    > > 1) non appartiene ad una società
    > > privata
    >
    > ho capito, allora IE è cattivo
    > perchè è un prodotto
    > proprietario

    Quello che voleva dirti è che essendo open chiunque può distribuirlo e quindi è difficile che si instauri una situazione di "monopolio" dove un solo vendor impone i suoi prezzi.

    Ma capisco che per te era difficile.

    > se installi una distro qualsiasi, anche
    > mozilla è di default

    Un browser dovranno pur dartelo, altrimenti dove li prendi eventuali altri browser? E poi puoi toglierlo quando vuoi, IE no.

    > con il service 1 di XP e il SP3 di windows
    > 2000 è possibile disabilitarlo per
    > far largo a mozilla e company...

    Non è vero! Prova a farlo! Disinstallalo, e poi richiama da console IE
    Ta-da! La disinstallazione è fittizia, è solo una presa per i fondelli

    > è ovvio che non puoi cancellarlo
    > giacchè IE ed explorer sono la stessa
    > cosa per il 99% della GUI.

    Ah allora lo sai!

    > te queste cose non le sai perchè sei
    > un linaro

    Perchè secondo te chi ha linux non ha mai visto windows...

    > > 4) non costa nulla
    >
    > ancora peggio... questa è concorrenza
    > sleale bella e buona...

    Quindi tutti i software gratuiti sono concorrenza sleale?

    Winamp è concorrenza sleale?

    Ma per favore, ascolta, se vuoi parlar male di linux (altrimenti ti senti male) almeno trova argomenti decenti!
    non+autenticato

  • - Scritto da: Anonimo
    > è ovvio che non puoi cancellarlo
    > giacchè IE ed explorer sono la stessa
    > cosa per il 99% della GUI.

    a me suona come concorrenza sleale nei confornti degli altri browser...

    > > 4) non costa nulla
    >
    > ancora peggio... questa è concorrenza
    > sleale bella e buona...

    accusa l'open source di concorrenza sleale nei confronti di M$?? AHAHAHA AHAH

    ma scusa la M$ quando ha tirato fuori quel cesso di Explorer 1 a gratis a danno di Netscape quella non era CONCORRENZA SLEALE?!


    > se berlusconi si mettesse a regalare pane a
    > tutti (ne avrebbe pure le risorse), sarebbe
    > corretto secondo te?

    il piccolo nano buffone ha imparato da M$, ha tagliato le tasse... tanto rumore per nulla, come ogni release di M$...

    Fan Apple
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)