Buco in PHP, necessario l'upgrade

Il CERT emette un advisory, comunitÓ PHP sul chivalÓ e gli esperti di X-Force che avvertono: la diffusione di PHP sui server internet Ŕ ormai enorme e questa vulnerabilitÓ non va sottovalutata. I dettagli

Buco in PHP, necessario l'upgradeRoma - "VulnerabilitÓ in PHP", si chiama cosý l'advisory rilasciato ieri con urgenza dall'autorevole CERT (Computer Emergency Response Team) in merito ad un buco di sicurezza che riguarda tutti i sistemi sui quali girano le versioni del linguaggio di scripting open source PHP 4.2.0 e 4.2.1. Un advisory che segue la nota rilasciata da Stefan Esser di e-matters e precede l'advisory del PHP Group.

La notizia della vulnerabilitÓ sta naturalmente facendo il rapido giro della comunitÓ di sviluppatori e utilizzatori PHP e non Ŕ un caso che sia giÓ disponibile l'upgrade a PHP 4.2.2 che risolve il problema, scaricabile qui.

Secondo il CERT, si tratta di una vulnerabilitÓ che pu˛ consentire ad un aggressore remoto di far eseguire o mandare in crash PHP e web server. La falla riguarda quella parte di codice PHP che gestisce gli upload dei file, in particolare multipart/form-data.
"Inviando ad un server web una richiesta POST costruita allo scopo - si legge nella nota diffusa dal CERT - un aggressore pu˛ corrompere la struttura dati interna utilizzata da PHP. Nello specifico, un intruso pu˛ causare l'avvio di una struttura di memoria inizializzata in modo improprio". Il che si risolve nella possibilitÓ di far crashare PHP o il server web. "Ma ci sono circostanze - avverte il CERT - che consentono ad un aggressore di eseguire codice arbitrario con i privilegi del web server", e dunque di fare il bello e il cattivo tempo sulla macchina aggredita.

Il CERT spiega come non sia possibile eseguire codice su sistemi x86, ci˛ nonostante anche i gestori di macchine di questo tipo sono invitati ad aggiornare i propri sistemi sia per ridurre il rischio di attacchi del tipo denial-of-service sia altri tipi di aggressioni che possono svilupparsi su architetture x86.

La gravitÓ della vulnerabilitÓ viene posta in diretta relazione con la diffusione di PHP che ha ormai superato i due milioni di server. Secondo gli esperti di X-Force, divisione specializzata di Internet Security Systems, la vulnerabilitÓ va vista come grave per l'ampia adozione di PHP su tutti i generi di server web e sistemi operativi. X-Force ha per˛ anche sottolineato che fino a questo momento in rete non si Ŕ notata una diffusione significativa delle tecniche che consentono di sfruttare la vulnerabilitÓ.

Le ultime vulnerabilitÓ di un certo peso rilevate in PHP risalgono a qualche mese fa quando proprio Stefan Esser mise in guardia contro una serie di "crepe" nel linguaggio di scripting.
205 Commenti alla Notizia Buco in PHP, necessario l'upgrade
Ordina
  • http://www.noze.it ha sviluppato degli applicativi su Zope e anche siti.

    A quanto pare c'e' qualcuno che ci crede...

    Pero' anche loro non sono riusciti a far sparire quella palla di traceback!!! Deluso

    Scusate la "pubblicita'" ma se conoscete altra aziende che usano Zope segnalatele qui.
    non+autenticato


  • - Scritto da: Money
    > http://www.noze.it ha sviluppato degli
    > applicativi su Zope e anche siti.

    Si e' vero Noze lavora molto con zope
    E da quanto mi risulta e' pure una rispettabile
    societa open source (una delle poche in italia )
    Altre che potrebbero lavorare con zope
    credo
    www.prosa.it

    Ciao
    > A quanto pare c'e' qualcuno che ci crede...
    Io non lo avevo mai messo in dubbioA bocca aperta
    non+autenticato
  • zope non mi piace preferisco fare i siti
    con asp.net che e' la tecnologia migliore
    in assoluto
    non+autenticato
  • - Scritto da: Aspen
    > zope non mi piace preferisco fare i siti
    > con asp.net che e' la tecnologia migliore
    > in assoluto

    E' vero, per fare quelle 4 stupidaggini che ti chiedono i clienti: forum, chat, basic cmf, con asp e front page ci si mette pochissimo a fare i siti, e' gia' tutto fatto, e si puo' chiedere un sacco di $$$. YUP!!!

    E' quando non funziona qualcosa, si dice che e' colpa di Microsoft che fa le cose con i piedi e c'e' la si asciuga sempre Sorride)

    Con Microsoft si puo' far spendere al cliente con l'open source ci si rompe la testa e si puo' chiedere poco.

    Ho provato Zope, secondo me ha ottime potenzialita' ma non ho il tempo, ne la voglia, di studiarmi i manuali ed il python. Per rifarmi del tempo investito in formazione dovrei convincere i miei clienti a commissionarmi siti come il kataweb o virgilio.
    non+autenticato


  • - Scritto da: YUP
    > - Scritto da: Aspen
    > > zope non mi piace preferisco fare i siti
    > > con asp.net che e' la tecnologia migliore
    > > in assoluto
    >
    > E' vero, per fare quelle 4 stupidaggini che
    > ti chiedono i clienti: forum, chat, basic
    > cmf, con asp e front page ci si mette
    > pochissimo a fare i siti, e' gia' tutto
    > fatto, e si puo' chiedere un sacco di $$$.
    > YUP!!!
    >
    > E' quando non funziona qualcosa, si dice che
    > e' colpa di Microsoft che fa le cose con i
    > piedi e c'e' la si asciuga sempre Sorride)
    >
    > Con Microsoft si puo' far spendere al
    > cliente con l'open source ci si rompe la
    > testa e si puo' chiedere poco.

    grazie della testimonianza.

    Come cliente chiederò l'impiego di Zope o comunque di strumenti open source



    non+autenticato
  • - Scritto da: A.C.
    > http://oreillynet.com/pub/a/oscon2002/jc_phot
    >
    > Sorride

    Per python non ci stanno ?A bocca aperta
    peccato mettero la faccia virtuale di gsam :>

    non+autenticato
  • Proporre delle alternative al php puo' anche essere costruttivo ma...

    Scusate ma argomentazioni del tipo: perl e bello e tutti gli altri fanno schifo, viva zope che mi piance tanto ecc... non arricchiscono nessuno, tanto vale parlare della partita di calcio.

    Sembrate dei rappresentanti alle prime armi che si ritrovano assieme davanti ad un cliente!!!

    Immaturi, ignoranti, presuntuosi ed arroganti.

    Se veramente sapete di cosa state parlando portate esempi concreti: siti fatti in zope, dove sono portali dal 250mila euro fatti in perl?
    non+autenticato
  • - Scritto da: UFFA!!!
    > Se veramente sapete di cosa state parlando
    > portate esempi concreti: siti fatti in zope,

    ah, perché conoscere portali che utilizzano una certa tecnologia significa essere competenti?

    > dove sono portali dal 250mila euro fatti in
    > perl?

    i portali non si fanno in Perl, ma in Perl si possono programmare alcuni CMS (che costano 50-70k) per fare i portali
    non+autenticato
  • > ah, perché conoscere portali che utilizzano
    > una certa tecnologia significa essere
    > competenti?

    No, ma e' un punto di inizio, almeno vediamo di cosa si sta parlando.

    Poi approfondiamo... no?
    non+autenticato
  • - Scritto da: UFFA!!!
    > Immaturi, ignoranti, presuntuosi ed
    > arroganti.

    Stai parlando di te stesso vero ?

    > Se veramente sapete di cosa state parlando
    > portate esempi concreti: siti fatti in zope,
    > dove sono portali dal 250mila euro fatti in
    > perl?

    http://www.Zope.org/
    http://www.ishophere.com/
    http://www.squishdot.org/
    http://news.gnome.org/gnome-news
    http://fiawol.com/

    Per i progetti in python va su sourceforge.
    Dubito esistano portali da mezzo miliardo.
    non+autenticato

  • > Stai parlando di te stesso vero ?

    Prova a far leggere i post tra te e "nerino" da un amico "vero" e chiedigli la sua opinione.

    >    
    > > Se veramente sapete di cosa state parlando
    > > portate esempi concreti: siti fatti in
    > zope,
    > > dove sono portali dal 250mila euro fatti
    > in
    > > perl?
    >
    > http://www.Zope.org/
    > http://www.ishophere.com/
    > http://www.squishdot.org/
    > http://news.gnome.org/gnome-news
    > http://fiawol.com/

    Finalmente Sorride

    Sembrano tutti uguali a punto-informatico Triste

    > Dubito esistano portali da mezzo miliardo.

    Porc, proprio adesso che ne volevo comprare uno!!!
    A bocca apertaD

    Peccato ci tenevo a vederne uno. Triste
    non+autenticato
  • E' un complimento ?
    Non ho ben capito: PI indicizza una tonnellata di articoli e ha un forum "leggermente" affollato. Tra l'altro PI deve avere "un paio" di automazioni per facilitare il lavoro dei giornalisti: dubito siano tutti webmasters....
    Non è che cerchi Flash ?
    SquishDot (e appwatch, manco lo sapevo...) è scritto con Zope non è solo il sito che gira su Zope: l'hai capito vero ? Non è che perchè l'ignorantello di la crede che gli application server servano solo per fare portali questo sia vero...

    In ogni caso io non sono ne ignorante ne arrogante, casomai rissoso. Semplicemente odio chi getta merda su cose che non conosce.
    Zope è l'application server opensource più diffuso e, tra l'altro, finanzia lo sviluppo di Python.
    Se fosse poco usato e/o scarso non avrebbe avuto successo e non riuscirebbe a pagare la miriade di sviluppatori Python. Tutto il resto sono cazzate, che Nerino si vada a vedere i Benchmarks.
    non+autenticato
  • Zope mi ha entusiasmato subito.

    L'unico "difetto" e che lascia la possibilita' di toccare i suoi sorgenti a chi ha una vaga idea di come si programma in python come me,
    cosi' ho scassato il database Con la lingua fuori

    Vabbhe, lo stavo provando.

    Comunque, non e' immediato come il php e nemmeno python lo e' in piu' nessuno ci guadagna su, ergo nessuno lo "spinge" alle fiere e su Internet come strumento professionale anzi tutti lo vedono come Microsoft vede Linux, un pericoloso concorrente gratuito da sminuire il piu' possibile.

    Sinceramente, se dovessi scegliere, per un grosso lavoro, sceglierei software IBM, non in base alle caratteristiche tecniche ma perche' se qualcosa dovesse andare strorto, bhe pazienza, non ho fatto errori scegliendo un prodotto di una ditta leader di mercato altrimenti avrei tutti contro a dirmi e' stato lui che ha voluto quel "giocattolo" di Zope.
    E' una scelta opportunista, per mettersi il sedere al sicuro, ma non credo di essere il solo a farla.

    Ovviamente se tutto va alla grande nessuno mi dira' bravo ci hai fatto risparmiare.

    Certo se l'IBM scegliesse di includere Zope tra i sui prodotti, bhe diventerebbe una killer application. Sorride
    non+autenticato
  • sentendo i discorsi pythoniani nel post
    W perl mi sono fatto tentare ad installare
    zope.
    non l'avessi mai fatto uno schifo all'ennesima potenza
    per scrivere template ci devi mettere in mezzo
    8 chili di script non e' intuitivo per niente
    e oltretutto per fare qualche script ti devi
    rompere con il python.
    allora ragazzi senza offessa ma voi i vostri giocattoli fanno veramente cagare
    puo essere orientato agli oggetti quanto vi pare
    ma la realta e' che non si riuscira' mai a fare qualcosa di produttivo con strumenti cosi assurdi.
    ciaoSorride
    non+autenticato
  • belle argomentazioni... hai mai provato ad usare qualche altro CMS simile a Zope? Erano più semplici?

    P.S: Zope non piace tanto neanche a me... ma spero di avere motivi più validi (e non c'ho voglia di discuterli qui).
    non+autenticato
  • - Scritto da: Nerino
    > sentendo i discorsi pythoniani nel post
    > W perl mi sono fatto tentare ad installare
    > zope.
    > non l'avessi mai fatto uno schifo
    > all'ennesima potenza
    > per scrivere template ci devi mettere in
    > mezzo
    > 8 chili di script non e' intuitivo per
    > niente

    Eh, no non e' stato creato per essere intuitivo ma per essere produttivo.
    Occorre scaricarsi il manuale e studiarselo, oltre a python occorre capire anche come creare scripts con DTML e TAL, la sicurezza e la logica con cui creare gli script.

    In compenso poi e' semplice e veloce mantenere grossi siti su cui lavorano parecchie persone in aree diverse, content, layout, automazioni e che hanno bisogno di modificare ed aggiornare spesso i loro lavori senza intralciare il lavoro altrui.

    Se cercate qualcosa di semplice per un sito "semplice" con poche automazioni, Zope non fa al caso vostro.

    > e oltretutto per fare qualche script ti devi
    > rompere con il python.

    No puoi usare anche il php ed il perl.

    > allora ragazzi senza offessa ma voi i vostri
    > giocattoli fanno veramente cagare

    Si Zope senz'altro non fa per te.

    > puo essere orientato agli oggetti quanto vi
    > pare
    > ma la realta e' che non si riuscira' mai a
    > fare qualcosa di produttivo con strumenti
    > cosi assurdi.
    > ciaoSorride

    Molti ci sono riusciti.

    Non credo che tu ne abbia compreso a pieno le potenzialita' Deluso

    Zope non e' plug e play e' rivolto a tecnici non a "utenti finali" e si presenta come strumento su cui costruire qualcosa e non pronto ed impacchettato per fare qualcosa.

    Non basta cliccare occorre studiare! :-/
    non+autenticato
  • - Scritto da: Non e' facile eh!
    > Eh, no non e' stato creato per essere
    > intuitivo ma per essere produttivo.

    voglio proprio capire che cia di produttivo
    quel coso piu che annebbiare la vista
    alla gente non fa...

    > Occorre scaricarsi il manuale e studiarselo,
    > oltre a python occorre capire anche come
    > creare scripts con DTML e TAL, la sicurezza
    > e la logica con cui creare gli script.

    e una volta che ti sei studiato tutto quel popo
    di roba scopri che ci sono applicativi java
    sotto web server commerciali che fanno la stessa cosa ma in maniera piu efficiente.
    certo bisogna pagare cash ma intanto con quella
    roba si che fai i portali.

    > In compenso poi e' semplice e veloce
    > mantenere grossi siti su cui lavorano
    > parecchie persone in aree diverse, content,
    > layout, automazioni e che hanno bisogno di
    > modificare ed aggiornare spesso i loro
    > lavori senza intralciare il lavoro altrui.

    zope piu che troppo tecnico e troppo fuori mercato in 4 anni non e' riuscito a scalciare
    nessuno dei altri cms commerciali tipo vignette
    bea portal oracle ecc ecc
    e un motivo ci sara'Sorride perche fa schifoA bocca apertaA bocca aperta

    > Zope non e' plug e play e' rivolto a tecnici
    > non a "utenti finali" e si presenta come
    > strumento su cui costruire qualcosa e non
    > pronto ed impacchettato per fare qualcosa.
    appunto e' troppo tecnico e tutto lo cacano di pezzaA bocca apertaA bocca aperta
    Ciao Ciao baby
    non+autenticato
  • ripeto: credi che gli (anche quelli che hai citato tu) altri siano più facili da usare?
    non+autenticato
  • - Scritto da: nerino
    > - Scritto da: Non e' facile eh!
    > > Eh, no non e' stato creato per essere
    > > intuitivo ma per essere produttivo.
    >
    > voglio proprio capire che cia di produttivo
    > quel coso piu che annebbiare la vista
    > alla gente non fa...

    Che bella argomentazione si vede che sei un tecnico preparato.
    Prova con front page, forse, se ti impegni veramente, c'e' la fai A bocca apertaD


    > di roba scopri che ci sono applicativi java
    > sotto web server commerciali che fanno la
    > stessa cosa ma in maniera piu efficiente.

    Questo e' da dimostrare.
    Senz'altro alcuni sono piu' semplici da utilizzare.

    > certo bisogna pagare cash ma intanto con
    > quella
    > roba si che fai i portali.

    "quella roba li" un'altro giudizio tecnico azzeccato.

    >    
    > > In compenso poi e' semplice e veloce
    > > mantenere grossi siti su cui lavorano
    > > parecchie persone in aree diverse,
    > content,
    > > layout, automazioni e che hanno bisogno di
    > > modificare ed aggiornare spesso i loro
    > > lavori senza intralciare il lavoro altrui.
    >
    > zope piu che troppo tecnico e troppo fuori
    > mercato in 4 anni non e' riuscito a
    > scalciare
    > nessuno dei altri cms commerciali tipo
    > vignette
    > bea portal oracle ecc ecc
    > e un motivo ci sara'Sorride perche fa schifoA bocca aperta
    > A bocca aperta

    Senz'altro piu' pubblicizzati e piu' caldamente raccomandati dai rivenditori. $$$

    > appunto e' troppo tecnico e tutto lo cacano
    > di pezzaA bocca apertaA bocca aperta
    > Ciao Ciao baby

    Si si troppo difficile... non ti sforzare che poi ti fa male la testolina A bocca apertaDD
    non+autenticato
  • - Scritto da: Piccino
    > Che bella argomentazione si vede che sei un
    > tecnico preparato.

    Cala dalla pianta frofro il fatto che non uso
    zope non significa che non sono un tecnico

    > Prova con front page, forse, se ti impegni
    > veramente, c'e' la fai A bocca apertaD

    Esselo e' arrivato lo sbruffone che si crede di parlare con un utonto medio windows basedA bocca aperta

    > Questo e' da dimostrare.
    > Senz'altro alcuni sono piu' semplici da
    > utilizzare.

    No aspetta secondo te i portali chi li comprano? i tecnici del laboratorio sotto casa ?
    te lo dico io i portali si fanno ad aziende
    possibilmente grandi che possono spendere quei
    diciamo 250milaeuro come base.
    Ora se io vendo un portale con zope e devo spiegare all'editore di fare gli articoli con
    in mezzo un po di dtml zopettiani quelli mi sputano su un occhio.



    > > certo bisogna pagare cash ma intanto con
    > > quella
    > > roba si che fai i portali.

    > "quella roba li" un'altro giudizio tecnico
    > azzeccato.

    ho ho il pupetto mi riprende pureA bocca apertaA bocca aperta
    if(utonto->based())
    {
    lama_boy = pack(C) {\11\05\45\4C\4C\41 \52\4F\42\41 \4C\49 } /* Lama Hex Code */
    char *lama = hextoa(lama_boy);
    print_f("%s",lama);
    }
    Ora hai capito ? ?

    Cosi va meglio ?A bocca apertaA bocca aperta

    > Senz'altro piu' pubblicizzati e piu'
    > caldamente raccomandati dai rivenditori. $$$

    Sensaltro spari cazzate non conoscendo i prodotti sopracitati voglio capire come fai a dare dei giudizi equi.. dimmelo che sono curioso sei un mago ?A bocca aperta

    > > appunto e' troppo tecnico e tutto lo
    > cacano
    > > di pezzaA bocca apertaA bocca aperta
    > > Ciao Ciao baby
    >
    > Si si troppo difficile... non ti sforzare
    > che poi ti fa male la testolina A bocca apertaDD

    Si si come noA bocca apertaA bocca aperta
    ciao
    non+autenticato
  • > Cala dalla pianta frofro il fatto che non
    > uso
    > zope non significa che non sono un tecnico

    Si stava parlando di argomentazioni.

    >
    > > Prova con front page, forse, se ti impegni
    > > veramente, c'e' la fai A bocca apertaD
    >
    > Esselo e' arrivato lo sbruffone che si crede
    > di parlare con un utonto medio windows based
    > A bocca aperta

    Se non lo sei... lo imiti benissimo!!!

    > Ora se io vendo un portale con zope e devo
    > spiegare all'editore di fare gli articoli
    > con
    > in mezzo un po di dtml zopettiani

    O Madonna!! ma tu si che hai capito tutto di Zope, si vede che non hai nemmeno letto l'indice del manuale.

    > quelli mi sputano su un occhio.

    E fanno bene. Anche dentro magari A bocca apertaD

    > ho ho il pupetto mi riprende pureA bocca apertaA bocca aperta
    > if(utonto->based())
    > {
    > lama_boy = pack(C) {\11\05\45\4C\4C\41
    > \52\4F\42\41 \4C\49 } /* Lama Hex Code */
    > char *lama = hextoa(lama_boy);
    > print_f("%s",lama);
    > }
    > Ora hai capito ? ?

    Si, sei bravissimo con il copia e incolla A bocca apertaDD
    E in piu' copi ed incolli cavolate!

    > Sensaltro spari cazzate non conoscendo i
    > prodotti sopracitati voglio capire come fai
    > a dare dei giudizi equi.. dimmelo che sono
    > curioso sei un mago ?A bocca aperta

    E no, sparare cazzate al tuo livello e' difficile cosi' grosse non ci riesco, senz'altro sei un mago
    in questo.

    Comunque io non sto cercando ne' di venderti Zope ne di convincerti ad usarlo, speravo che potessi avere delle serie argomentazioni a sostegno delle tue opinioni e a quanto pare mi sono sbagliato. Vabbhe continua pure a fare i tuoi portali da "diciamo 250milaeuro A bocca apertaD" con quello che ritieni che tu sia in grado di usare.

    Pensa alla Salute A bocca apertaDD
    non+autenticato
  • 250000 euro per un portaleA bocca aperta
    Questo tizio non ha la MINIMA idea dei prezzi di mercatoA bocca aperta
    Script kiddie.
    non+autenticato


  • - Scritto da: gsam
    > 250000 euro per un portaleA bocca aperta
    > Questo tizio non ha la MINIMA idea dei
    > prezzi di mercatoA bocca aperta
    > Script kiddie.

    allora ti faccio un piccolo preventivo
    standard giusto per abbozzare
    db oracle 2 processori 30.000
    bea web logig server 15.0000
    cms web logic portal 8.0000
    3 macchine sun 12.000
    mettiamo anche 2mbit banda su noc e stiamo
    a 22.000
    ecco fai + + + e vedi quanto ti riporta
    certo se bisogna fare un portale economico
    il prezzo scende e di molto ma io facevo
    esempi di questa portata.
    :D
    bay
    non+autenticato
  • 87000
    163000 sono per il debug degli script Perl immaginoCon la lingua fuori
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 18 discussioni)