Рады видеть Вас в блоге нашей студии! Здесь мы копим нужную, а иногда просто интересную информацию о создании сайтов.
PHP Development Team выпустила версию PHP 5.3.9
Группа разработчиков PHP Development Team выпустила версию 5.3.9 популярного языка веб-программирования, устранив в последнем релизе недавно обнаруженную DoS-уязвимость, а также ряд других проблем и ошибок.
DoS-уязвимость была раскрыта в декабре 2011 года на Chaos Communication Congress в Германии специалистом по информационной безопасности Александром Клинком и его коллегой Джуллианом Вельде. Около месяца назад они сообщили, что подобные DoS-уязвимости были открыты не только в PHP, но также в ASP.Net, Java и Python.
Разработчики PHP обозначили уязвимость как CVE-2011-4885, сообщив, что она позволяет атакующему проводить так называемую хеш-коллизию, то есть отправлять на сервер специальный запрос, содержащий тысячи значений, которые провоцируют PHP-интерпретатор выполнять массу задач, приводящих в итоге к переполнению буфера и отказу в обслуживании. Для ASP.Net 100-килобайтный запрос приводил к 100%-ной загрузке сервера почти на две минуты. Отправка нескольких таких запросов способна "подвесить" даже довольно мощный кластер.
Также в PHP 5.3.9 была устранена и уязвимость в работе с памятью, занимаемой PHP и адресацией в ней. Здесь были обнаружены уязвимости в парсинге заголовков exif. Атакующий мог передать на сервер специальный злонамеренный Jpeg-файл, содержащий заданные значения offset_val в заголовках Exif.
Сегодня же группа разработки PHP сообщила, что сегодняшний стабильный релиз был последним в линейке PHP 5.3 и выход версии PHP 5.4 можно ожидать примерно через две недели. Сегодня же была презентована версия PHP 5.4 RC5, представляющая собой последний релиз-кандидат для PHP 5.4.