PHP stucca alcuni buchi

Gli autori del famoso linguaggio di scripting open source hanno rilasciato una nuova versione di PHP 4 che corregge alcune vulnerabilitÓ. Problemi anche per la versione 5

Roma - Nel celebre linguaggio di scripting open source PHP sono state scoperte, e in parte giÓ corrette, sei vulnerabilitÓ che gli esperti di sicurezza invitano webmaster e sviluppatori a non sottovalutare.

Le falle, descritte da Secunia in questo advisory, possono essere utilizzate dai cracker per causare denial of service, lanciare attacchi di tipo cross-site scripting, eseguire codice da remoto o aggirare le restrizioni di sicurezza. Alcuni problemi interessano esclusivamente le versioni di PHP 4.x, altre riguardano anche le pi¨ recenti release 5.x.

Attualmente il team di sviluppo di PHP ha corretto le vulnerabilitÓ di PHP 4.x rilasciando la release 4.4.1, ma a breve si attende l'arrivo di una patch anche per la versione 5.x.
"Tutti gli utenti di PHP 4.3 e 4.4 sono incoraggiati ad aggiornare all'ultima versione", si legge sul sito PHP.net.
TAG: sicurezza
25 Commenti alla Notizia PHP stucca alcuni buchi
Ordina
  • if (mentechiusa($utente) == TRUE && troll($utente) == TRUE && originalità($utente) < 2) echo "osserva pure, che ti fa beneSorride\npeccato che le falle sono state già corretteOcchiolino";

    die("have a nice day");
    non+autenticato
  • il php è una tecnologia old
    la vera novita del millennio è
    il framework django (python rulez)
    e ruby on rails
    io ho creato robbe assurde in python che scalano come
    dei puttanelli
    yeahhA bocca aperta
    non+autenticato

  • - Scritto da: Anonimo
    > il php è una tecnologia old
    > la vera novita del millennio è
    > il framework django (python rulez)
    > e ruby on rails
    > io ho creato robbe assurde in python che scalano
    > come
    > dei puttanelli
    > yeahhA bocca aperta

    Bravo.
    non+autenticato

  • - Scritto da: Anonimo
    > il php è una tecnologia old
    > la vera novita del millennio è
    > il framework django (python rulez)
    > e ruby on rails
    > io ho creato robbe assurde in python che scalano
    > come
    > dei puttanelli
    > yeahhA bocca aperta

    E che mi tocca leggere di primo mattino...
    non+autenticato
  • Cambia pusher! Ficoso
    non+autenticato
  • Lapo torna a dormine   :D
    non+autenticato
  • > il php è una tecnologia old

    Il termine "old" è deprecato, si dice "superato"


    > la vera novita del millennio è
    > il framework django (python rulez)

    Il framework si chiama Dugongo, non django


    > e ruby on rails

    Come sopra. Si chiama Furby e non ruby


    > io ho creato robbe assurde in python che scalano
    > come dei puttanelli yeahhA bocca aperta

    Ciao caro anonimo
    Impara a quotare
    Leggi la netiquette
    Do not feed the troll (detected)


    non+autenticato
  • > il php è una tecnologia old
    > la vera novita del millennio è
    > il framework django (python rulez)

    Si, si, come zope, tutti ne parlano bene ma nessuno riesce ad usarloA bocca aperta

    > e ruby on rails
    > io ho creato robbe assurde in python

    Si questo posso anche crederlo

    >che scalano
    > come
    > dei puttanelli
    > yeahhA bocca aperta

    Verso il bassoA bocca aperta


    non+autenticato
  • 'Le falle, descritte da Secunia in questo advisory, possono essere utilizzate dai cracker per causare denial of service, lanciare attacchi di tipo cross-site scripting, eseguire codice da remoto o aggirare le restrizioni di sicurezza. Alcuni problemi interessano esclusivamente le versioni di PHP 4.x, altre riguardano anche le più recenti release 5.x. '


    insomma parliamo di falle ad 'high critical' ma anche di falle che come dice qui:
    'Alcuni problemi interessano esclusivamente le versioni di PHP 4.x, altre riguardano anche le più recenti release 5.x. '

    quindi si fa benedire la teoria del sw oss con falle marginarie ma anche quella del'oss in cui le falle vengono chiuse prima di essere scoperte....quanto tempo è passato dalla php 4.x alla 5.x ??

    e così va via un'altro mattone nel castello di sabbia costruito attorno all'oss.

    la realtà deve essere proprio un brutto risveglio per certi venditori 'post a post' tipici di pi
    non+autenticato
  • > Alcuni problemi interessano esclusivamente le
    > versioni di PHP 4.x, altre riguardano anche le
    > più recenti release 5.x. '

    La frase sopra ("recenti release") non è corretta.

    Le release 4.x e 5.x sono portate avanti in parallelo. La 4.4.1 è appunto uscita ieri.
    Le versioni 4.x sono mantentenute e aggiornate perché le 5.x non sempre sono compatibili con i vecchi lavori (succede anche con i linguaggi MS?).
    Per contro, chi inizia ora a sviluppare nuovi SW, può usare la versione 5.x che ha maggiori funzionalità.

    > quindi si fa benedire la teoria del sw oss con
    > falle marginarie ma anche quella del'oss in cui
    > le falle vengono chiuse prima di essere
    > scoperte....quanto tempo è passato dalla php 4.x
    > alla 5.x ??

    Vedi sopra: la versione 4.4.1 è più nuova della 5.0.5 uscita a settembre.

    non+autenticato

  • - Scritto da: Anonimo
    > > Alcuni problemi interessano esclusivamente le
    > > versioni di PHP 4.x, altre riguardano anche le
    > > più recenti release 5.x. '
    >
    > La frase sopra ("recenti release") non è corretta.
    >
    > Le release 4.x e 5.x sono portate avanti in
    > parallelo. La 4.4.1 è appunto uscita ieri.
    > Le versioni 4.x sono mantentenute e aggiornate
    > perché le 5.x non sempre sono compatibili con i
    > vecchi lavori (succede anche con i linguaggi
    > MS?).
    > Per contro, chi inizia ora a sviluppare nuovi SW,
    > può usare la versione 5.x che ha maggiori
    > funzionalità.
    >
    > > quindi si fa benedire la teoria del sw oss con
    > > falle marginarie ma anche quella del'oss in cui
    > > le falle vengono chiuse prima di essere
    > > scoperte....quanto tempo è passato dalla php 4.x
    > > alla 5.x ??
    >
    > Vedi sopra: la versione 4.4.1 è più nuova della
    > 5.0.5 uscita a settembre.
    >
    Ma perdi tempo a spiegargli queste cose?
    Lascialo al suo bel mondo fatto di farfalle e finestre....
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > > Alcuni problemi interessano esclusivamente le
    > > > versioni di PHP 4.x, altre riguardano anche le
    > > > più recenti release 5.x. '
    > >
    > > La frase sopra ("recenti release") non è
    > corretta.
    > >
    > > Le release 4.x e 5.x sono portate avanti in
    > > parallelo. La 4.4.1 è appunto uscita ieri.
    > > Le versioni 4.x sono mantentenute e aggiornate
    > > perché le 5.x non sempre sono compatibili con i
    > > vecchi lavori (succede anche con i linguaggi
    > > MS?).
    > > Per contro, chi inizia ora a sviluppare nuovi
    > SW,
    > > può usare la versione 5.x che ha maggiori
    > > funzionalità.
    > >
    > > > quindi si fa benedire la teoria del sw oss con
    > > > falle marginarie ma anche quella del'oss in
    > cui
    > > > le falle vengono chiuse prima di essere
    > > > scoperte....quanto tempo è passato dalla php
    > 4.x
    > > > alla 5.x ??
    > >
    > > Vedi sopra: la versione 4.4.1 è più nuova della
    > > 5.0.5 uscita a settembre.
    > >
    > Ma perdi tempo a spiegargli queste cose?
    > Lascialo al suo bel mondo fatto di farfalle e
    > finestre....


    Il famoso formato dell "open windows" Occhiolino
    non+autenticato
  • Per qualche curiosa motivazione personaggi vari sostengono php.


    Sebbene php abbia rappresentato un'innovazione nell'ambito dello sviluppo web, a suo tempo, il motivo valido per usarlo adesso è... beh.. arduo da rintracciare.

    Giacché più e più volte il flame "php sux/php rulez" si ripresenta, raccolgo qua dei pensieri a riguardo, affinché siano usati dai detrattori del linguaggio come promemoria, ed ai fautori come stimolo. Nelle speranze dell'Autore, tale lista potrà tagliare nettamente la lunghezza di numerosi flame, ove questi non aggiungano nulla alle discussione passate. Parlo di php5, invero.

       1. php non ha namespace. Qualunque linguaggio che debba essere usato per un compito complesso dovrebbe fornire un metodo per segregare funzionalità diverse in spazi diversi da quello globale. PHP, simpaticamente, non lo fa.
       2. php ha un sistema ad oggetti ridicolo, in quanto:
       3. non esiste la possibilità di manipolare le metaclassi
       4. non esiste la possibilità gestire l'inizializzazione e l'allocazione di un oggetto distintamente, e numerose hot head di php non sanno neanche cosa significhi.
       5. non esiste una convenzione ne' forzata tramite sintassi ne' a livello sociale nel dare nomi a librerie, variabili, classi.
       6. Non c'è supporto per la metaprogrammazione a nessun livello.
       7. Non ci sono funzioni di ordine superiore, currying, e lambda. Manipolare una funzione in php significa fare l'eval ogni volta
       8. non c'è supporto per le coroutine
       9. non c'è supporto per directed coroutine (i generatori di python)
    10. non c'è call-with-current-continuation
    11. non ci sono eccezioni resumabili
    12. è impossibile estendere php in php (cfr tcl o lisp o in qualche misura ruby/python/smalltalk)
    13. SimpleXML è stato scritto da una manica di ubriachi. Ad esempio non è possibile gestire tag con nomi non nell'intervallo a-z.
    14. non c'è supporto per multilingualization, ovvero la possibilità di manipolare encoding vari in modo univoco. Addirittura non si possono usare encoding a più di otto bit.
    15. non esistono ne' mixin ne' trait ne' ereditarietà multipla, quindi mostruosa duplicazione del codice.
    16. hanno inventato un sistema di controllo dei tipi che avviene per ogni chiamata a funzione, ogni volta, controllando il tipo dei parametri. Vi lascio intuire che performance.
    17. lo zend engine è notoriamente un colabrodo a livello di sicurezza.
    18. php è un interprete lento, cercate sui benchmark del Grande Shootout o di scutigena.
    19. non c'è ottimizzazione delle tail call
    20. le classi non sono modificabili a run time
    21. le classi non si sa se siano oggetti, gli autori di php a riguardo non rispondono
    22. php non è completamente ad oggetti. Se pensate che non essere full OO sia un vantaggio in termini di semplicità, vi prego di postare un esempio, e ve lo mostrerò più semplice.
    23. non c'è DBC e dato #12 non si può infilarcelo
    24. per qualche strano motivo gli array sono degli hash
    25. il sistema di controllo d'accesso è antiquato
    26. non c'è un sistema di sicurezza degli script builtin (vedi #17)
    27. il sistema di type check è ridicolo per la sua imprecisione. Lo avessero lasciato completamente dinamico sarebbe meglio.

    Se ritenete che Queste motivazioni siano errate o incomplete vi prego di commentare.
    non+autenticato
  • Che palle!!

    Saranno 10 volte che posti questa lista di sciocchezze (tra l'altro non tue, ma tradotte dall'inglese da un post di un altro tizio)

    Vatti a rivedere le risposte che ti sono state date in precendenza per vedere che:

    la maggior parte delle opzioni di cui tu parli sono inutili o addirittura dannose.

    Le uniche cose serie che ti passo sono la mancanza dei namespaces e l'impossibilita' di mandare direttive al preprocessore
    non+autenticato
  • > Le uniche cose serie che ti passo sono la
    > mancanza dei namespaces

    Che volendo si puo' ovviare utilizzando le classi.

    >e l'impossibilita' di
    > mandare direttive al preprocessore

    Tenendo conto che il php e' un linguaggio principalmente orientato al web, in quali casi sarebbero utili?


    non+autenticato

  • - Scritto da: Anonimo
    > > Le uniche cose serie che ti passo sono la
    > > mancanza dei namespaces
    >
    > Che volendo si puo' ovviare utilizzando le classi.
    >
    > >e l'impossibilita' di
    > > mandare direttive al preprocessore
    >
    > Tenendo conto che il php e' un linguaggio
    > principalmente orientato al web, in quali casi
    > sarebbero utili?
    >
    >

    ???
    non+autenticato
  • - Scritto da: Anonimo
    > > Le uniche cose serie che ti passo sono la
    > > mancanza dei namespaces
    >
    > Che volendo si puo' ovviare utilizzando le classi.

    Vero, anche se non è comodissimo...

    > >e l'impossibilita' di
    > > mandare direttive al preprocessore
    >
    > Tenendo conto che il php e' un linguaggio
    > principalmente orientato al web, in quali casi
    > sarebbero utili?

    Metti caso che tu debba gestire un progetto molto ampio, e magari su server diversi con caratteristiche diverse (anche a livello di configurazione nel php.ini, per esempio. Oppure metti di avere diverse versioni di php, per esempio la 4.x e la 5! Sono radicalmente diversi)

    Dando delle direttive al preprocessore (in questo caso però non ci vorrebbe la compilazione just in time) potresti ricompilare la stessa applicazione perfettamente funzionante su diverse macchine, prevedendo parametri diversi.

    Magari avendo una versione compilata per il debug, etc...

    Ad oggi in azienda ce la caviamo facendo un switch sul server name nel file di configurazione, però non è esattamente una soluzione elegante.

    Oltre al fatto che ruba memoria inutilmente.
    non+autenticato

  • - Scritto da: Anonimo
    > Per qualche curiosa motivazione personaggi vari
    > sostengono php.
    >
    >
    > Sebbene php abbia rappresentato un'innovazione
    > nell'ambito dello sviluppo web, a suo tempo, il
    > motivo valido per usarlo adesso è... beh.. arduo
    > da rintracciare.
    >
    > Giacché più e più volte il flame "php sux/php
    > rulez" si ripresenta, raccolgo qua dei pensieri a
    > riguardo, affinché siano usati dai detrattori del
    > linguaggio come promemoria, ed ai fautori come
    > stimolo. Nelle speranze dell'Autore, tale lista
    > potrà tagliare nettamente la lunghezza di
    > numerosi flame, ove questi non aggiungano nulla
    > alle discussione passate. Parlo di php5, invero.
    >
    >    1. php non ha namespace. Qualunque linguaggio
    > che debba essere usato per un compito complesso
    > dovrebbe fornire un metodo per segregare
    > funzionalità diverse in spazi diversi da quello
    > globale. PHP, simpaticamente, non lo fa.
    > ....

    Che fai? Te la rigiochi ogni volta para para?
    http://www.google.it/search?q=php+non+ha+namespace...
    non+autenticato

  • > Che fai? Te la rigiochi ogni volta para para?
    > http://www.google.it/search?q=php+non+ha+namespace

    Sara' che se la gioca ogni volta uguale, ma non vedo alcuna risposta alla maggioranza delle questioni che pone.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > > Che fai? Te la rigiochi ogni volta para para?
    > >
    > http://www.google.it/search?q=php+non+ha+namespace
    >
    > Sara' che se la gioca ogni volta uguale, ma non
    > vedo alcuna risposta alla maggioranza delle
    > questioni che pone.

    gli sono state date un sacco di volte; molte di quelle caratteristiche all'atto pratico sono pochissimo utili o decisamente inutili per creare progettini web.
    non+autenticato
  • >   12. è impossibile estendere php in php (cfr tcl
    > o lisp o in qualche misura ruby/python/smalltalk)

    Ok per Lisp e Smalltalk. Vai e fanne buon uso!
    non+autenticato
  • - Scritto da: Anonimo
    >   22. php non è completamente ad oggetti. Se
    > pensate che non essere full OO sia un vantaggio
    > in termini di semplicità, vi prego di postare un
    > esempio, e ve lo mostrerò più semplice.

    Scusate, ma a questa è proprio irresistibile rispondere:

    <?php echo "ciao mondo" ?>


    Ficoso

  • - Scritto da: Anonimo
    > Per qualche curiosa motivazione personaggi vari
    > sostengono php.
    >
    >
    > Sebbene php abbia rappresentato un'innovazione
    > nell'ambito dello sviluppo web, a suo tempo, il
    > motivo valido per usarlo adesso è... beh.. arduo
    > da rintracciare.

    PHP serve a fare siti web dinamici in cui basta aprire una tabella MySQL e legegre dati, mi sai dire a cosa può servire un sito web dinamico in cui PHP manda direttive al preprocessore?
    non+autenticato